Rootkit verdacht ->veränderte disk.sys, immer wieder 2.exe, psexec

#0
07.10.2009, 10:14
...neu hier

Beiträge: 10
#1 Hallo

ich habe folgendes Problem ich betreue momentan ein kleines firmennetzwerk und habe immer wieder probeleme mit einem bestimmten rechner.

bei uns ist dauerhaft kaspersky in version 6 aktiv und wird auch täglich geupdated. das komplette netzwerk befindet sich hinter einer relativ restriktiv eingestellten hardware firewall.

trotzdem werde ich auf besagtem rechner die viren nicht los. angefangen hatte es damit dass kaspersky immer wieder eine 2.exe im system32 fand, diese loeschte und die datei ein paar h später doch wieder da war. abhilfe schaffte nur eine linux antivirus cd aus der ct mit bitdefender, antivir und kaspersky.

da das keinen dauerhaften erfolg brachte (keine 2.exe mehr dafuer aber psexec) habe ich mich an den business support von kaspersky gewendet. dort wurde mir empfohlen mit der 30 tage testversion des neuen kaspersky 2010 im abgesichterten modus zu scannen. gesagt getan. es gab auch einige funde in den wiederherstellungspunkten von windows und im system und system32.

merkwürdig daran: einige probleme konten nicht behoben werden da die dateien plötzlich nicht mehr vorhanden waren. Dazu kommt dass sich der dateiname der scheinbar infizierten dateien geändert hat wenn ich nur mit dem mauszeiger ueber den eintrag im scan bericht gegangen bin. Nach dem Neustart zeigt Kaspersky 2010 jetzt an dass auf grund von aenderungen in der disk.sys ein rootkit vermutet wird. Mit wird allerdings nur angeboten die ausführung zu erlauben oder die ausführung dauerhaft zu erlauben. Sehr witzig! Ich habe den rechner jetzt erstmal vom netzwerk getrennt und lasse gerade mit gmer einen scan laufen. wenn der fertig ist kann ich noch ein hijackthis log anfertigen lassen und werde anschließend die beiden log und den bericht von kaspersky hier posten. Tut mir leid dass ich noch keine virennamen nennen konnte aber so gut war mein gedächnis gerade nicht. Lässt sich irgendwie festellen auf welchem weg sich der nutzer diese viren eingefangen hat?
Seitenanfang Seitenende
07.10.2009, 10:42
Member

Beiträge: 3716
#2 Hi, bitte zeige auch einen Scan mit MalwareBytes.
Obwohl das beste sein wird, den Rechner zu formatieren, da es ein Firmen pc ist, und ihr sicher nicht wollt, dass ihr ausgespät werdet. Wie siehts aus mit einem Upgrade auf kaspersky 2010? Kaspersky 6 ist doch schon recht alt.
Seitenanfang Seitenende
07.10.2009, 10:56
...neu hier

Themenstarter

Beiträge: 10
#3 den rechner zu formatieren wäre sehr unguenstig und ist eigentlich nur die allerletzte alternative. ausserdem müssten dafür auch noch einge daten gesichert werden und ich weiss nicht wie groß die wahrscheinlichkeit ist beim backup die infektion mit zu sichern. Ein Upgrade auf Kaspersky 2010 ist aus kostengründen einfach gerade nicht möglich. Wobei ich mit Kaspersky auch nur schlechte erfahrungen gemacht habe und lieber wechseln würde. Scan mit malwarebytes wird gemacht. ich habe während der scans bisher den virenscanner deaktiviert um konflikte zu vermeiden. reicht das oder sollt eich die scans lieber im abgesicherten modus durchführen. welche chancen hab ich mit einem linux livesystem die probleme komplett los zu werden?

Edit: und würde formatieren überhaupt helfen falls es ein rootkit ist?
Dieser Beitrag wurde am 07.10.2009 um 11:01 Uhr von ChrisG editiert.
Seitenanfang Seitenende
07.10.2009, 11:17
Member

Beiträge: 3716
#4 Hallo, du solltest dich dann evtl. nach einer billigeren Alternative umsehen, dein Av ist aber definitiv zu alt. ist das Backup auf CD oder auf dem PC?
Die scans im normalen modus ohne Internetverbindung ausführen.
Das Problem bei Rootkits ist nun mal, dass sie deinen PC ausspionieren und evtl. enderungen fornehmen, die nicht rückgängig zu machen sind, je nach dem wie sensibel die Daten sind, würde ich zum formatieren raten. Aber lass uns erst mal sehen, was die Scans ergeben.
Seitenanfang Seitenende
07.10.2009, 12:32
...neu hier

Themenstarter

Beiträge: 10
#5 es existiert ein backup auf nem datenserver (der bisher sauber zu sein scheint) das ist allerdings ca. eine woche alt und daher nicht ganz ausreichend

Edit: das mit dem AV aussuchen ist so ne sache ...wir haben halt kaspersky lizensen bis mitte 2010 die ein upgrade auf 2010 nicht hergeben... ich sehe schwarz fuer einen frueheren umstieg... ausserdem habe ich gerade festgestellt dass es fuer dir business reihe von kaspersky kein AV 2010 gibt... da gibts nur 6 ... also ist das vielleicht nur eine andere versions philosophie
Dieser Beitrag wurde am 07.10.2009 um 12:38 Uhr von ChrisG editiert.
Seitenanfang Seitenende
07.10.2009, 13:03
Member

Beiträge: 3716
#6 aso ich dachte es gäbe zu mindest die Version 7. Was währe denn zu sichern, dokumente? Wie sieht es bei euch mit der Verwendung von wechseldatenträgern aus und der Verwendung der Autorunfunktion, dies könnte zb ein Grund für Infektionen sein.
Seitenanfang Seitenende
07.10.2009, 13:55
...neu hier

Themenstarter

Beiträge: 10
#7 hier nun erstmal das gmer log

Code

GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-07 13:41:50
Windows 5.1.2600 Service Pack 3
Running: kwrzx2fp.exe; Driver: C:\DOKUME~1\ADMINI~1.TAR\LOKALE~1\Temp\fxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwAdjustPrivilegesToken [0xB6C2136E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwClose [0xB6C21A86]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwConnectPort [0xB6C2260C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreateEvent [0xB6C22B40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreateFile [0xB6C21D78]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreateMutant [0xB6C22A18]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreateNamedPipeFile [0xB6C1FD0A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreatePort [0xB6C228D4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreateSection [0xB6C21102]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreateSemaphore [0xB6C22C72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreateSymbolicLinkObject [0xB6C2440E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreateThread [0xB6C21886]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwCreateWaitablePort [0xB6C22976]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwDeleteKey [0xB6C20A20]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwDeleteValueKey [0xB6C20CF8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwDeviceIoControlFile [0xB6C2221C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwDuplicateObject [0xB6C24980]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwEnumerateKey [0xB6C20E3A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwEnumerateValueKey [0xB6C20EE4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwFsControlFile [0xB6C22016]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwLoadDriver [0xB6C23EA6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwLoadKey [0xB6C2043C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwLoadKey2 [0xB6C2044E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwNotifyChangeKey [0xB6C21030]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwOpenEvent [0xB6C22BE2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwOpenFile [0xB6C21B08]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwOpenMutant [0xB6C22AB0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwOpenProcess [0xB6C2156E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwOpenSection [0xB6C24438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwOpenSemaphore [0xB6C22D14]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwOpenThread [0xB6C21492]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwQueryKey [0xB6C20F8E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwQueryMultipleValueKey [0xB6C20BB6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwQueryValueKey [0xB6C208BC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwQueueApcThread [0xB6C24128]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwRenameKey [0xB6C20B34]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwReplaceKey [0xB6C200C2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwReplyPort [0xB6C2309E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwReplyWaitReceivePort [0xB6C22F64]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwRequestWaitReplyPort [0xB6C23C30]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwRestoreKey [0xB6C20224]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwResumeThread [0xB6C24860]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSaveKey [0xB6C1FEC4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSecureConnectPort [0xB6C22312]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSetContextThread [0xB6C21984]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSetInformationToken [0xB6C235F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSetSecurityObject [0xB6C23FA0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSetSystemInformation [0xB6C244C2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSetValueKey [0xB6C20744]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSuspendProcess [0xB6C245A6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSuspendThread [0xB6C246D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwSystemDebugControl [0xB6C23DD2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwTerminateProcess [0xB6C216EA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwTerminateThread [0xB6C2163C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                ZwWriteVirtualMemory [0xB6C217C8]
SSDT            \WINDOWS\system32\ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)                         ZwCreateKey [0x804D70C4]
SSDT            \WINDOWS\system32\ntoskrnl.exe[unknown section] [804D70C4]                                           ZwCreateKey [0x804D70C4]
SSDT            \WINDOWS\system32\ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)                         ZwOpenKey [0x804D70C9]
SSDT            \WINDOWS\system32\ntoskrnl.exe[unknown section] [804D70C9]                                           ZwOpenKey [0x804D70C9]

INT 0x03        \WINDOWS\system32\ntoskrnl.exe[unknown section]                                                      804D70D3

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)                IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwYieldExecution + 13E                                                                  804E4978 16 Bytes  [02, 11, C2, B6, 72, 2C, C2, ...]
.text           ntoskrnl.exe!ZwYieldExecution + 1FA                                                                  804E4A34 12 Bytes  [A6, 3E, C2, B6, 3C, 04, C2, ...]
.text           ntoskrnl.exe!ZwYieldExecution + 376                                                                  804E4BB0 16 Bytes  [34, 0B, C2, B6, C2, 00, C2, ...]
.text           ntoskrnl.exe!ZwYieldExecution + 46A                                                                  804E4CA4 12 Bytes  [A6, 45, C2, B6, D2, 46, C2, ...]
.text           ntoskrnl.exe!ZwYieldExecution + 47A                                                                  804E4CB4 8 Bytes  JMP 3CB6C216
.text           ntoskrnl.exe!IoIsOperationSynchronous                                                                804EAFAE 5 Bytes  JMP B6C167DE \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text           ntoskrnl.exe!FsRtlCheckLockForReadAccess                                                             804F4593 5 Bytes  JMP B6C16424 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)

---- User code sections - GMER 1.0.15 ----

?               C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe[1824] C:\WINDOWS\system32\ntdll.dll     time/date stamp mismatch;
?               C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe[1824] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch;
.text           C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe[1824] USER32.dll!AlignRects + FFFA5598  7E362A78 4 Bytes  [70, 11, 32, 6D]
?               C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe[2400] C:\WINDOWS\system32\ntdll.dll     time/date stamp mismatch;
?               C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe[2400] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch;
.text           C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe[2400] USER32.dll!AlignRects + FFFA5598  7E362A78 4 Bytes  [70, 11, 32, 6D]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice]                                  [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                              [BAB017B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice]                                  [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice]                                  [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                              [BAB017B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice]                                 [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice]                                    [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice]                                [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice]                                  [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice]                                 [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice]                                   [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice]                                   [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\irda.sys[ntoskrnl.exe!IoCreateDevice]                                   [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice]                                 [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice]                                 [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice]                                [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice]                                    [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice]                                 [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice]                               [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice]                                 [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice]                                   [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\HIDCLASS.SYS[ntoskrnl.exe!IoCreateDevice]                               [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\mouhid.sys[ntoskrnl.exe!IoCreateDevice]                                 [BAB01660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                             kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device          \Driver\Disk \Device\Harddisk0\DR0                                                                   aksfridge.sys (Ancillary Function Driver/Aladdin Knowledge Systems Ltd.)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                          kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                             fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
07.10.2009, 14:06
Member

Beiträge: 3716
#8 sieht so weit io aus.
Seitenanfang Seitenende
08.10.2009, 12:39
...neu hier

Themenstarter

Beiträge: 10
#9 malwarebytes hat nichts gefunden

laut kaspersky heisst das ding "PDM.irpTableChanged" leider sind aber 99% der informationen die man dazu im netz findet auf russisch oder in einer anderen sprache die ich leider nicht ausreichend beherrsche ;)

hat jeman noch nen vorschlag was ich tun sollte um fest zu stellen was los ist? avira rescue cd funktioniert auf dem rechner leider nicht, der kriegt irgendwie nicht alle laufwerke gemountet was mir auch schon komisch vor kommt. ich probiers gerade nochmal mit der rescue cd von kaspersky... mal schaun was die sagta
Seitenanfang Seitenende
08.10.2009, 12:59
Member

Beiträge: 3716
#10 ic hinformiere mich mal, ich kenne ihn leider auch nicht. iptable sieht aber nach linux aus. kannst du, wenn Kaspersky durch ist, bitte das Log speichern und einstellen?
Seitenanfang Seitenende
08.10.2009, 13:20
...neu hier

Themenstarter

Beiträge: 10
#11

Zitat

virenfinder postete
ic hinformiere mich mal, ich kenne ihn leider auch nicht. iptable sieht aber nach linux aus. kannst du, wenn Kaspersky durch ist, bitte das Log speichern und einstellen?
nicht IPtable sonder IRPtable ... iptables kenn ich ;) und ja wenn der scan fertig poste ich das log... kann aber nen moment dauern
Seitenanfang Seitenende
08.10.2009, 14:35
Member

Beiträge: 3716
#12 uups hab mich verlesen sorry.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: