GMER findet "H8SRTxnrjecbeyx.sys"

  • #1
D

DopplerBerlin

Neues Mitglied
Themenersteller
Dabei seit
31.01.2010
Beiträge
1
Reaktionspunkte
0
Moin zusammen ...

hab hier Sorgen mit dem Rechner meines Neffens ...
Der hat sich son Biest eingefangen, dass mich jetzt bereits 5 Std. in Anspruch nimmt (via Fernwartung ... *uff*).

Avast hat ja auch schon angeschlagen und das teil wahrscheinlich in den Container verschoben.
Trotzdem hätte ich gerne das Miststück (sorry für die Ausdrucksweise - ist sonst nicht meine Art ...) runter vom Rechner.

Deshalb GMER und hier das Log-File:
Code: 
GMER 1.0.15.15281 - [url]http://www.gmer.net[/url]
Rootkit scan 2010-01-31 00:50:38
Windows 5.1.2600 Service Pack 3
Running: fdeppiky.exe; Driver: C:\DOKUME~1\Tim\LOKALE~1\Temp\uxtyrpow.sys


---- System - GMER 1.0.15 ----

SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwClose [0xF3ED06B8]
SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwCreateKey [0xF3ED0574]
SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwDeleteValueKey [0xF3ED0A52]
SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwDuplicateObject [0xF3ED014C]
SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwOpenKey [0xF3ED064E]
SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwOpenProcess [0xF3ED008C]
SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwOpenThread [0xF3ED00F0]
SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwQueryValueKey [0xF3ED076E]
SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwRestoreKey [0xF3ED072E]
SSDT      \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)             ZwSetValueKey [0xF3ED08AE]

---- Kernel code sections - GMER 1.0.15 ----

.text      C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                   section is writeable [0xF4739000, 0x1C5DC8, 0xE8000020]
?        system32\drivers\H8SRTxnrjecbeyx.sys                                     Das System kann den angegebenen Pfad nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT       C:\WINDOWS\system32\services.exe[904] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT       C:\WINDOWS\system32\services.exe[904] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]    00380000

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs                                            aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp                                          aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat                                           fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat                                           aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Services - GMER 1.0.15 ----

Service     system32\drivers\H8SRTxnrjecbeyx.sys (*** hidden *** )                            [SYSTEM] H8SRTd.sys                              <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start                            1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type                            1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath                          \systemroot\system32\drivers\H8SRTxnrjecbeyx.sys
Reg       HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group                            file system
Reg       HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start                              1
Reg       HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type                              1
Reg       HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath                            \systemroot\system32\drivers\H8SRTxnrjecbeyx.sys
Reg       HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group                              file system

---- EOF - GMER 1.0.15 ----

Ich hoffe, ich hab jetzt alles richtig gemacht ...

Bin für jede Hilfe dankbar!

Dicke Grüße in die Runde

DopplerBerlin

PS: Falls vön Nöten:
MSI Netbook - AMD Sempron 2100 - 1 Gig Ram - XP SP3 aktuell - AVAST Home (wurde bei der Penetration außer Gefecht gesetzt - jetzt aber neu) - lt. Spybot nun sauber
 
  • #2
Hi,



aus diesem link bitte schritt 1 machen, dateien sichtbar machen

====



hier bitte das tool avenger laden und nach anleitung mit folgendem script laufen lassen:

Code: 
Drivers to delete:
H8SRTd.sys
Files to delete:
c:\windows\system32\drivers\H8SRTxnrjecbeyx.sys

======



lass bitte das tool Combofix laufen.



poste bitte:

Avenger logfile
Combofix logfile
frisches Gmer logfile
 
Thema:

GMER findet "H8SRTxnrjecbeyx.sys"

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben