Home » Viren, Trojaner & Malware Forum » Do-it-yourself Entseuchung - Bitte Kontrolle ob alles weg ist » Themenansicht

Do-it-yourself Entseuchung - Bitte Kontrolle ob alles weg ist
#0
26.09.2012, 00:17
Xeper
Member
Avatar Xeper

Beiträge: 5291
#16 Hast du mal www.gmer.net probiert, für Rootkits ziemlig zuverlässig,
aswMBR gibt's ja auch noch - dürfte eigentlich auch noch aktuell sein.
(Aber da weiß Swiss ja mehr)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
26.09.2012, 08:24
Tau_Ceti
Member

Themenstarter

Beiträge: 37
#17 Gmer hab ich schon drauf los gelassen, bevor ich hierher kam. (Siehe Post #1):

Zitat

Von separatem Rechner heruntergeladen und per abgeschlossener "Einweg-CD" installiert: Vista Service-Packs 1 und 2, Firefox 15. Danach war Startbutton wieder normal, Rechner insgesamt stabiler. Mit Internet verbunden, ca. 90 weitere Updates aufgespielt. Erst danach stürzte Gmer beim Scan nicht mehr ab.
Der brauchte aber ein Vista "full patch". Vor SP1 stürzte er mit einem Reboot ohne Warnung ab, vor den 90 Updates wurde er mit einer Fehlermeldung geschlossen.
Seitenanfang Seitenende
26.09.2012, 10:59
Xeper
Member
Avatar Xeper

Beiträge: 5291
#18 Und das Resultat?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
26.09.2012, 11:29
Tau_Ceti
Member

Themenstarter

Beiträge: 37
#19 IMHO garnix:

Code

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-09-18 20:47:48
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 TOSHIBA_MK1637GSX rev.DL032C
Running: bdwqmib3.exe; Driver: C:\Users\User\AppData\Local\Temp\kxldapob.sys


---- System - GMER 1.0.15 ----

SSDT            8C69722E                                  ZwCreateSection
SSDT            8C697206                                  ZwCreateSymbolicLinkObject
SSDT            8C69720B                                  ZwLoadDriver
SSDT            8C697201                                  ZwOpenSection
SSDT            8C697238                                  ZwRequestWaitReplyPort
SSDT            8C697233                                  ZwSetContextThread
SSDT            8C69723D                                  ZwSetSecurityObject
SSDT            8C697210                                  ZwSetSystemInformation
SSDT            8C697242                                  ZwSystemDebugControl
SSDT            8C6971CF                                  ZwTerminateProcess
SSDT            8C6971CA                                  ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 215             81CBD8D8 4 Bytes  [2E, 72, 69, 8C]
.text           ntkrnlpa.exe!KeSetEvent + 21D             81CBD8E0 4 Bytes  [06, 72, 69, 8C]
.text           ntkrnlpa.exe!KeSetEvent + 37D             81CBDA40 4 Bytes  [0B, 72, 69, 8C]
.text           ntkrnlpa.exe!KeSetEvent + 3FD             81CBDAC0 4 Bytes  [01, 72, 69, 8C]
.text           ntkrnlpa.exe!KeSetEvent + 539             81CBDBFC 4 Bytes  [38, 72, 69, 8C]
.text           ...                                       
.text           C:\Windows\system32\DRIVERS\nvlddmkm.sys  section is writeable [0x8BC0A340, 0x3ED9C7, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0   Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
26.09.2012, 11:33
Xeper
Member
Avatar Xeper

Beiträge: 5291
#20

Zitat

C:\Users\User\AppData\Local\Temp\kxldapob.sys
Alles was in Temp ist und sys heißt oder meint es wäre wichtig gehört erschossen. ;)
Der Rest der gmer Ausgabe ist ok.

Ich weiß ja nicht wie aktuell die Ausgabe ist da dies jawohl am Anfang geschah, mittlerweile dürfte so einiges net mehr aktuell sein bzw. du hast ja wohl mal exzessiv alle tempoären Dateien die es so gibt gekillt?

Edit: Ach sorry grad erst gesehen, ja 18. 09. also wirst du das obige sicherlich gemacht haben...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 26.09.2012 um 13:11 Uhr von Xeper editiert.
Seitenanfang Seitenende
26.09.2012, 13:39
Tau_Ceti
Member

Themenstarter

Beiträge: 37
#21 Temp-Dateien sind gekillt und CCleaner war auch mal dran. Der GMER braucht aber nicht lange, ich kann ihn noch mal drüber laufen lassen.

Hab im OT noch was zu Anti-Rootkit Software gepostet:

http://board.protecus.de/t42443.htm#358329

Für und wieder der verschiedenen Programme, etc.: besser dort.
Seitenanfang Seitenende
26.09.2012, 13:54
Tau_Ceti
Member

Themenstarter

Beiträge: 37
#22

Zitat

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2012-09-26 13:47:14
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 TOSHIBA_MK1637GSX rev.DL032C
Running: m0goo6bj.exe; Driver: C:\Users\User\AppData\Local\Temp\kxldapob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
"m0goo6bj.exe" ist der Zufalls-Name unter dem GMER bei mir läuft. Insofern "kxldapob.sys" mit Semikolon dahinter aufgeführt ist denke ich, das ist GMER selber und kille es nicht. ;)
Seitenanfang Seitenende
26.09.2012, 14:40
Xeper
Member
Avatar Xeper

Beiträge: 5291
#23

Zitat

"m0goo6bj.exe" ist der Zufalls-Name unter dem GMER bei mir läuft.
Ach ja natürlich hast recht klar der lädt das natürlich in Temp - wenn du das direkt ausführst und nicht erst speicherst.
In dem anderen Thread hab ich dir geantwortet.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
26.09.2012, 21:42
Tau_Ceti
Member

Themenstarter

Beiträge: 37
#24 @Swisstreasure:
Hallo Swiss!

Investiere mal bis auf weiteres keine "CPU-Zeit" mehr in diesen Laptop.

Momentan ist er nach Logon in einem "Loop without End":
1 "Windows Explorer hat einen Fehler gemacht und wird geschlossen"
2 "Windows Explorer wird neu gestartet"
3 Goto 1 ;)

Das folgende funktioniert nicht:
- zurück auf Restore Point
- abgesicherter Modus
- abgesicherter Modus mit Command Prompt, dann SFC /scannow
- Rücksetz-Partition benutzen (clean oder nicht)

Im letzteren Fall löscht er nur die Systempartition und steigt dann mit einem Fehler aus anstatt neu zu installieren. (Die Partition konnte ich wiederherstellen.)

Bliebe noch Reparaturinstallation von einer Vista 32-SP2 DVD. Die müßte ich erstmal besorgen...

@all: Oder hat noch jemand eine Idee?
Seitenanfang Seitenende
26.09.2012, 22:06
Xeper
Member
Avatar Xeper

Beiträge: 5291
#25 Hört sich aber seltsam an, sieht so aus als ob du da was kaputt repariert hast?
Am Anfang des Threads war das OS doch nicht in so einem desolaten Zustand... ;)
Das ist wohl wie mit allem was es so gibt, man sollte die Finger davon lassen wenn man keine Ahnung hat... naja am besten du inst. einfach mal neu. ;)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
27.09.2012, 00:08
Tau_Ceti
Member

Themenstarter

Beiträge: 37
#26

Zitat

Xeper postete
Hört sich aber seltsam an, sieht so aus als ob du da was kaputt repariert hast?
Am Anfang des Threads war das OS doch nicht in so einem desolaten Zustand... ;)
Das ist wohl wie mit allem was es so gibt, man sollte die Finger davon lassen wenn man keine Ahnung hat... naja am besten du inst. einfach mal neu. ;)
Siehe hier: http://board.protecus.de/t42443.htm#358341
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12