- #1
D
DopplerBerlin
Neues Mitglied
Themenersteller
- Dabei seit
- 31.01.2010
- Beiträge
- 1
- Reaktionspunkte
- 0
Moin zusammen ...
hab hier Sorgen mit dem Rechner meines Neffens ...
Der hat sich son Biest eingefangen, dass mich jetzt bereits 5 Std. in Anspruch nimmt (via Fernwartung ... *uff*).
Avast hat ja auch schon angeschlagen und das teil wahrscheinlich in den Container verschoben.
Trotzdem hätte ich gerne das Miststück (sorry für die Ausdrucksweise - ist sonst nicht meine Art ...) runter vom Rechner.
Deshalb GMER und hier das Log-File:
Ich hoffe, ich hab jetzt alles richtig gemacht ...
Bin für jede Hilfe dankbar!
Dicke Grüße in die Runde
DopplerBerlin
PS: Falls vön Nöten:
MSI Netbook - AMD Sempron 2100 - 1 Gig Ram - XP SP3 aktuell - AVAST Home (wurde bei der Penetration außer Gefecht gesetzt - jetzt aber neu) - lt. Spybot nun sauber
hab hier Sorgen mit dem Rechner meines Neffens ...
Der hat sich son Biest eingefangen, dass mich jetzt bereits 5 Std. in Anspruch nimmt (via Fernwartung ... *uff*).
Avast hat ja auch schon angeschlagen und das teil wahrscheinlich in den Container verschoben.
Trotzdem hätte ich gerne das Miststück (sorry für die Ausdrucksweise - ist sonst nicht meine Art ...) runter vom Rechner.
Deshalb GMER und hier das Log-File:
Code:
GMER 1.0.15.15281 - [url]http://www.gmer.net[/url]
Rootkit scan 2010-01-31 00:50:38
Windows 5.1.2600 Service Pack 3
Running: fdeppiky.exe; Driver: C:\DOKUME~1\Tim\LOKALE~1\Temp\uxtyrpow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF3ED06B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF3ED0574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF3ED0A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF3ED014C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF3ED064E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF3ED008C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF3ED00F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF3ED076E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF3ED072E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF3ED08AE]
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF4739000, 0x1C5DC8, 0xE8000020]
? system32\drivers\H8SRTxnrjecbeyx.sys Das System kann den angegebenen Pfad nicht finden. !
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[904] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[904] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
---- Services - GMER 1.0.15 ----
Service system32\drivers\H8SRTxnrjecbeyx.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTxnrjecbeyx.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTxnrjecbeyx.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system
---- EOF - GMER 1.0.15 ----
Ich hoffe, ich hab jetzt alles richtig gemacht ...
Bin für jede Hilfe dankbar!
Dicke Grüße in die Runde
DopplerBerlin
PS: Falls vön Nöten:
MSI Netbook - AMD Sempron 2100 - 1 Gig Ram - XP SP3 aktuell - AVAST Home (wurde bei der Penetration außer Gefecht gesetzt - jetzt aber neu) - lt. Spybot nun sauber