Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   klif mini filter fre_wnet_x86/rootkit problem (https://www.trojaner-board.de/69356-klif-mini-filter-fre_wnet_x86-rootkit-problem.html)

Venusman 31.01.2009 11:20
klif mini filter fre_wnet_x86/rootkit problem
 
Hi ihr Spezialisten!
Ich habe ein Rootkitproblem, denke ich zumindest..
Angefangen hat es damit, dass ich vor ca 1,5 Wochen mein Virenprogramm nicht mehr updaten konnte. Da das bei Avg-free aber schonmal vorkam und am Programm selbst lag, habe ich mir nichts weiter dabei gedacht. Einige Tage später landete ich desöfteren bei irgendwelchen kuriosen Seiten, wenn ich bei Google Links anklickte. Eine davon war irgendwas mit free-weather.net oder so. Zusätzlich ging ohne dass ich irgendwas getan hab ein Fenster auf mit der Frage, mit welchem Bildbearbeitungsprogramm ich die Datei(keine Ahnung welche) bearbeiten möchte...
Naja, ich habe dann nach meinem Problem gegoogelt und bin bei einigen Beiträgen hier im Board gelandet, wo wohl schon ähnliches passiert ist. Bin dann auch so wie dort beschrieben vorgegangen(gmer.exe hat ein rootkit gefunden und avenger hat es gelöscht) und habe inzwischen ZoneAlarm und Avg durch KasperskyInternetSecurity2009 ersetzt.. Zuerst wollte das auch nicht aktualisieren aber ich habe dort eine alternative Updatequelle eingefügt und jetzt geht es. Gestern ging dann auch alles wieder wie gewohnt aber jetzt ging das mit den Googlelinks wieder los und ich landete wieder bei free-weather.net... gmer.exe findet folgendes:

Code:
---- System - GMER 1.0.14 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwAdjustPrivilegesToken [0xA770F81A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwClose [0xA770FDC6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwConnectPort [0xA771182A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwCreateFile [0xA77111E0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwCreateKey [0xA770EF90]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwCreateSymbolicLinkObject [0xA771318C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwCreateThread [0xA770FBC2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwDeleteKey [0xA770F3D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwDeleteValueKey [0xA770F5D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwDeviceIoControlFile [0xA77114EC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwDuplicateObject [0xA7713698]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwEnumerateKey [0xA770F6E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwEnumerateValueKey [0xA770F750]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwFsControlFile [0xA77113A2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwLoadDriver [0xA7712C50]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwOpenFile [0xA771103C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwOpenKey [0xA770F0F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwOpenProcess [0xA770F9E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwOpenSection [0xA77131B6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwOpenThread [0xA770F93E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwQueryKey [0xA770F7B8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwQueryMultipleValueKey [0xA770F4BC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwQueryValueKey [0xA770F29A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwQueueApcThread [0xA7712EB8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwReplaceKey [0xA770EC12]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwRequestWaitReplyPort [0xA77120B4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwRestoreKey [0xA770ED74]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwResumeThread [0xA7713568]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwSaveKey [0xA770EA10]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwSecureConnectPort [0xA77116CC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwSetContextThread [0xA770FCC0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwSetSecurityObject [0xA7712D4A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwSetSystemInformation [0xA77131E0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwSetValueKey [0xA770F148]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwSuspendProcess [0xA77132C4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwSuspendThread [0xA77133F0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwSystemDebugControl [0xA7712B7C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwTerminateProcess [0xA770FA92]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        ZwWriteVirtualMemory [0xA770FB04]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                        FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) 

---- Registry - GMER 1.0.14 ----

Reg            HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys@start                                                    1
Reg            HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys@type                                                      1
Reg            HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys@imagepath                                                \systemroot\system32\drivers\gaopdxjkolewfo.sys
Reg            HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys@group                                                    file system
Reg            HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys\modules                                                 
Reg            HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys\modules@gaopdxserv                                        \\?\globalroot\systemroot\system32\drivers\gaopdxjkolewfo.sys
Reg            HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys\modules@gaopdxl
Also habe jetzt nicht den ganzen log gepostet aber 2 Sachen, die mich stutzig machen...
1. Kommt es nur mir so vor oder hat dieses klif mini filter fre_wnet_x86 eine starkte ähnlichkeit zu der Seite free-weather.net auf der ich gelandet bin (habe die Seite beim Scan nicht mehr aufgehabt)
2.gaopdxserv.sys so hieß gestern glaube ich auch das entfernte rootkit.. ist wohl nicht komplett entfernt...

Aber gmer.exe sagt nichts mehr von Bedrohungen...keine roten Einträge nichts...

ps: gibts hier sowas wie ne spoiler-funktion?

edit: kompletter virenscan läuft noch...


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131