Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Merkwürdiger Treiber wird geladen (https://www.trojaner-board.de/47698-merkwuerdiger-treiber-geladen.html)

hans1254 03.01.2008 18:19
Merkwürdiger Treiber wird geladen
 
Hallo und Grüß Gott, liebe Leute,

Gleich mal vorweg: Ich bin neu hier, also bitte um "sanfte" Zurechtweisungsinformationen, falls ich in diverse Näpfchen treten sollte ....:heilig:

Meine Frage:
beim booten meines PCs wird unter anderem folgender Treiber geladen (Auszug aus ntbtlog.txt):
Treiber geladen \??\C:\WINDOWS\system32\6527E.sys

Also erstmal irritieren mich die zwei Fragezeichen im Pfad, und zweitens habe ich auf der ganzen C-Platte kein File mit dieser Bezeichnung gefunden.

Ach ja: mein System ist ein DELL Latitude C640 mit XP-Pro / SP2 auf Letztstand (automatisch aktualisiert).

Ist vielleicht ein bißchen paranoid, daß ich dieser Sache nachlaufe (McAfee-Virenscanner und -Rootkit-Detektor haben nichts Böses entdeckt), aber vielleicht kennt ja jemand von euch diese Sache.

liebe Grüße aus Wien
Hans

Dr. PC 03.01.2008 20:21
Lad dir Hijackthis runter , installier es , klick "Do a system scan and save a logfile" und kopier dann den Log ohne Veränderungen hier rein

Hier kannse Hijackthis downloaden:

HijackThis 2.0.2 - Freeware - ZDNet.de, Downloads, Internet & Kommunikation, Sonstige

raman 03.01.2008 20:33
Mache bitte einmal ein scan mit der Gmer beta hxxp://www2.gmer.net/beta/gmer.exe

Starten, scan druecken, danach copy druecken und den Report hier einfuegen

*Christian* 03.01.2008 23:07
Ich denke das HijackThis-Log kannst du dir sparen - würden gleich auch mal mit Gmer anfangen da der Verdacht begründet ist, dass ein Rootkit aktiv ist.

hans1254 04.01.2008 00:28
Zitat:
Zitat von *Christian* (Beitrag 313640)
Ich denke das HijackThis-Log kannst du dir sparen - würden gleich auch mal mit Gmer anfangen da der Verdacht begründet ist, dass ein Rootkit aktiv ist.

OK, getan.
Hier ist der - meiner Meinung nach mehr als unauffällige - Report.
Und wie schon gesagt, auch McafeeRootkitDetective10final gibt nichts her.

Kennt jemand von euch dieses doppelte Fragezeichen im Pfad VOR dem Laufwerk?

l.g.
Hans

raman 04.01.2008 08:29
Okay, wie man sieht, sieht man nichts!:) Haette gepasst, zur Zeit sind einige dieser Art Rootkits unterwegs. Dann doch bitte HIjackthis und Combofix Report.


Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

hans1254 05.01.2008 01:02
Hallo zusammen,

so, jetzt hab ich HiJackThis und Combofix durchlaufen lassen. Ergebnisse siehe attachments.

Was ist eigentlich
2005-08-21 15:58 56 --sh--r C:\WINDOWS\system32\B3F360A68A.sys
? Kennt das jemand ?

Bin schon gespannt auf eure Analysen. Danke auch schon mal.

l.g.
Hans


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131