Beim scan mit anti rootkit GMER stürzt XP ab

#0
07.11.2006, 20:33
...neu hier

Beiträge: 3
#1 Hallo und guten Abend,

mein Virenscanner ( Avast ) hatte mir vor ein paar Tagen nach einem Scan einen Virus gemeldet: Win32:Qqpass-DY in der Notepad.exe. Ich kann zwar nicht so recht verstehen wie der in die Notepad.exe kommen kann aber das ist ja nun erstmal egal.
Der Virus lies sich beseitigen und es kam auch keine Meldung mehr von Avast. Nun habe ich gelesen, daß man nach einem Virenbefall auch andere Scanner laufen lassen soll. Dastat ich mit AV Antivirus, der meldete noch Win32:CTX, lies sich auch beseitegen, bzw in den Container verschieben. Zur Sicherheit wollte ich nun noch GMER drüber laufen lassen. Hatte viel gutes von dem Anti Rootkit gelesen. Könnte ja sein ich habe mir noch so ein Teil (Rootkit) eingefangen. Nun mein eigentliches Problem.
Nachdem ich GMER gestartet habe zeigt er mir beim Reiter Rootkit

GMER 1.0.12.11889 - http://www.gmer.net
Rootkit scan 2006-11-07 20:33:08
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT d347bus.sys ZwEnumerateKey
SSDT d347bus.sys ZwEnumerateValueKey

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 82231658

---- Modules - GMER 1.0.12 ----

Module _________ F8433000

---- EOF - GMER 1.0.12 ----
---------------------------------------------------------------------------
diese Meldung an. Nun wollte ich ihn scannen lassen, nachdem ich Avast ausgeschalten habe. Leider stürzt der Scan regelmäßig ab.

Was kann ich noch probieren oder ist das schon ein Rootkit das den Scan verhindert?

Viele Grüße und danke im voraus, Schnerm
Seitenanfang Seitenende
07.11.2006, 20:58
Member

Beiträge: 130
#2 Die notepad.exe war nicht verseucht. war ein fehler von avast, das kann ich dir schonmal sagen ;)

Guten Morgen
Est gab ein fehler im letzten Avast update VPS 0643-5 !
http://forum.avast.com/index.php?topic=24494.0


Hast du versucht mit Panda zu scannen?
24.10.2006 11:06:34 Matthias 616 Sign of "Win32:CTX" has been found in "C:\WINDOWS\system32\ActiveScan\pskavs.dll" file.
http://board.protecus.de/t26094.htm

wenn ja, dann hättest du die meldung ignorieren können ;)
Dieser Beitrag wurde am 07.11.2006 um 21:02 Uhr von Terementor editiert.
Seitenanfang Seitenende
08.11.2006, 07:22
...neu hier

Themenstarter

Beiträge: 3
#3 Guten Morgen allesamt,

danke erstmal für die Info mit dem Fehler in Avast. Da bin ich ja schon mal beruhigter. Mit Panda habe ich noch nicht gescannt. Diesen Scanner habe ich leider nicht. Gibt es den auch als Freeware?
Da hätten wir ja ein Problem schon gelöst, aber was ist dem Absturz von Windows beim Scan mit GMER?

Viele Grüße, Schnerm
Seitenanfang Seitenende
08.11.2006, 07:31
Moderator
Avatar hevtig

Beiträge: 2307
#4 Ich kenne GMER nicht, könnte aber aus deinem Log schließen, daß GMER Probleme mit deinem Daemon Tools hat. Dieses scheint sich nämich auch vor der Windows API zu verstecken und wird zumindest vom RootKit Revealer ebenfalls angezeigt. Ich vermute allerdings, daß das ein normales Verhalten ist.
Im Zweifel könntest du Daemon Tools deaktivieren und den Scan noch einmal versuchen, zur Not evtl. erst deinstallieren.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
08.11.2006, 17:39
Member

Beiträge: 130
#5 Übrigens ist Panda ein kostenloser onlinescannen.

Hier unter Punt 6.1 zu finden, kannst ja mal mit einem der scanner dein system checken ;)
http://board.protecus.de/t8128.htm
Seitenanfang Seitenende
08.11.2006, 19:29
...neu hier

Themenstarter

Beiträge: 3
#6 Schönen guten Abend,

1. danke für den Tip mit Panda, lasse ihn gerade mal laufen. Die Geschichte mit GMER und den Daemontools probiere ich dann mal. Ist Panda eigentlich ein ordentliches Onlinetool oder gibt es da auch bekannte Fehlalarme oder übersehene Viren?

2. nach dem Scan mit Panda

so weit, so gut panda hat folgendes Log erstellt:

Incident Status Location

Spyware:Cookie/Tribalfusion Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Toplist Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[.toplist.cz/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/WebtrendsLive Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a7cofwts.default\cookies.txt[fe.lea.lycos.de/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\Hendrik\Cookies\hendrik@ad.yieldmanager[1].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Hendrik\Cookies\hendrik@atwola[1].txt
Spyware:Cookie/Cgi-bin Not disinfected C:\Dokumente und Einstellungen\Hendrik\Cookies\hendrik@cgi-bin[1].txt
Spyware:Cookie/GoStats Not disinfected C:\Dokumente und Einstellungen\Hendrik\Cookies\hendrik@gostats[2].txt
Spyware:Cookie/Searchportal Not disinfected C:\Dokumente und Einstellungen\Hendrik\Cookies\hendrik@searchportal.information[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Ines\Anwendungsdaten\Mozilla\Firefox\Profiles\kous8esy.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Ines\Anwendungsdaten\Mozilla\Firefox\Profiles\kous8esy.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Ines\Anwendungsdaten\Mozilla\Firefox\Profiles\kous8esy.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Ines\Cookies\ines@atwola[1].txt
Hacktool:Exploit/WinampPLS Not disinfected C:\Programme\Ratajik Software\StationRipper\StreamRipper.log
Hacktool:Exploit/WinampPLS Not disinfected C:\Programme\Ratajik Software\StationRipper\StreamRipper.log.bak
Possible Virus. Not disinfected C:\ubcd4win\plugin\AutoBuild\Files\Cax.exe
Possible Virus. Not disinfected C:\ubcd4win\temp\cax.exe
Possible Virus. Not disinfected G:\Laufwerk_E\Alter PC\H\Trojanercheck\TFAK5\tfak.dll
Possible Virus. Not disinfected G:\Laufwerk_E\Alter PC\H\Trojanercheck\TFAK5\tfak.exe
Possible Virus. Not disinfected G:\Laufwerk_E\Alter PC\H\Trojanercheck\TFAK5.zip[tfak.dll]
Possible Virus. Not disinfected G:\Laufwerk_E\Alter PC\H\Trojanercheck\TFAK5.zip[tfak.exe]

leider kann er das nicht kostenlos desinfizieren. Ich habe jetzt mit ccleaner die ganzen Cookies entfernen lassen, Fazit beim erneuten Scan mit Panda hat er sie alle wieder gefunden. Die anderen gefundenen Probleme in desr aufgeführten Software scheinen Fehlalarme zu sein. Diese Software stammt vom PC Magazin.
GMER stürzt auch nach der Deinstallation der Daemon Tools immer noch ab, zeigt allerdings beim Reiter Rootkits keine Einträge mehr an.
Woran könnte also das Abstürzen des Systemes noch liegen?



Viel Grüße, Schnerm
Dieser Beitrag wurde am 08.11.2006 um 20:49 Uhr von Schnerm editiert.
Seitenanfang Seitenende
09.11.2006, 14:26
Member

Beiträge: 130
#7 die cookies sind eher unwichtig und solang dir diese sachen bekannt sind ist, sollte der pc sauber sein...

Hacktool:Exploit/WinampPLS Not disinfected C:\Programme\Ratajik Software\StationRipper\StreamRipper.log
Hacktool:Exploit/WinampPLS Not disinfected C:\Programme\Ratajik Software\StationRipper\StreamRipper.log.bak
Possible Virus. Not disinfected C:\ubcd4win\plugin\AutoBuild\Files\Cax.exe
Possible Virus. Not disinfected C:\ubcd4win\temp\cax.exe
Possible Virus. Not disinfected G:\Laufwerk_E\Alter PC\H\Trojanercheck\TFAK5\tfak.dll
Possible Virus. Not disinfected G:\Laufwerk_E\Alter PC\H\Trojanercheck\TFAK5\tfak.exe
Possible Virus. Not disinfected G:\Laufwerk_E\Alter PC\H\Trojanercheck\TFAK5.zip[tfak.dll]
Possible Virus. Not disinfected G:\Laufwerk_E\Alter PC\H\Trojanercheck\TFAK5.zip[tfak.exe]
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: