rootkit - wie sind sie sicher zu entfernen?

Dieses Thema rootkit - wie sind sie sicher zu entfernen? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von udomon, 2. Jan. 2011.

Thema: rootkit - wie sind sie sicher zu entfernen? Hallo, ich beschäftige mich erstmals mit dem Thema Rootkit. Auslöser hierfür war mein PC Problem mit der...

  1. Hallo,
    ich beschäftige mich erstmals mit dem Thema Rootkit. Auslöser hierfür war mein PC Problem mit der Fehlermeldung MBR Error 3. Ob ein rootkit der Auslöser war, ist mir nicht bekannt - ich konnte das Problem aber über meine easy install CD lösen.

    Ich habe mir inzwischen das Programm Gmer heruntergeladen und einen Scan durchgeführt - log-file nachfolgend:

    GMER 1.0.15.15530 - http://www.gmer.net
    Rootkit scan 2011-01-01 19:23:10
    Windows 5.1.2600 Service Pack 3
    Running: 3dkf3ig7.exe; Driver: C:\DOKUME~1\roesche\LOKALE~1\Temp\ufrdqpob.sys


    ---- System - GMER 1.0.15 ----

    SSDT F7AA218E ZwCreateKey
    SSDT F7AA2184 ZwCreateThread
    SSDT F7AA2193 ZwDeleteKey
    SSDT F7AA219D ZwDeleteValueKey
    SSDT F7AA21BB ZwLoadDriver
    SSDT F7AA21A2 ZwLoadKey
    SSDT F7AA2170 ZwOpenProcess
    SSDT F7AA2175 ZwOpenThread
    SSDT F7AA21AC ZwReplaceKey
    SSDT F7AA21A7 ZwRestoreKey
    SSDT F7AA21C0 ZwSetSystemInformation
    SSDT F7AA2198 ZwSetValueKey
    SSDT F7AA217F ZwTerminateProcess
    SSDT F7AA217A ZwWriteVirtualMemory

    ---- Kernel code sections - GMER 1.0.15 ----

    .text C:\WINDOWS\system32\drivers\ACEDRV07.sys section is writeable [0xAE6B5000, 0x328BA, 0xE8000020]
    .pklstb C:\WINDOWS\system32\drivers\ACEDRV07.sys entry point in .pklstb section [0xAE6F9000]
    .relo2 C:\WINDOWS\system32\drivers\ACEDRV07.sys unknown last section [0xAE715000, 0x8E, 0x42000040]

    ---- User code sections - GMER 1.0.15 ----

    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AE9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D145 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D4696 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364FEF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364F21 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364F8C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364DF2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41364E54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41365052 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364EB6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 41365370 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364FEF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364F21 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364F8C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364DF2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41364E54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41365052 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
    .text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364EB6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \Driver\Tcpip \Device\Ip avfwot.sys (TDI filtering kernel driver/Avira GmbH)
    AttachedDevice \Driver\Tcpip \Device\Tcp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
    AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
    AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
    AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
    AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
    AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
    AttachedDevice \Driver\Tcpip \Device\Udp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
    AttachedDevice \Driver\Tcpip \Device\RawIp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0013d35d18fc
    Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0013d35d18fc (not active ControlSet)

    ---- EOF - GMER 1.0.15 ----

    Kann mir bitte jemand eine Stellungnahme hierzu liefern? Welche Einträge sind gut und welche sind böse.
    Wie kann ich diese Einträge sicher entfernen? Alles Gute noch für das Jahr 2011 und danke im voraus für die Hilfestellung.

    udomon

    *Spoiler-Tag eingefügt*
     
  2. eos
    eos
  3. Hallo,

    vielen Dank für die Stellungnahme.
    Das bedeutet, dass ich nach jedem GMER scan das Programm neu aufspielen muss wenn hier etwas erkannt wird??
    Das kann doch wohl nicht die Lösung sein?? :tickedoff:
    Woran erkenne ich die bösen Rootkits?
    Kann mir jemand eine Stellungnahme zu meinem log-file liefern?
    Mit freundlichen Grüßen

    udomon
     
  4. Heh udomon,
    wenn's nicht weitergeht mal hier einen Versuch machen

    >> http://www.hijackthis.de/de

    Zur ersten Übersicht ist das gut für eine Auswertung

    moin., Kpt.B.
     
  5. eos
    eos
  6. Hallo eos,
    prima Idee mit dem letzten Link.

    :)~ Kpt.B.
     
Die Seite wird geladen...

rootkit - wie sind sie sicher zu entfernen? - Ähnliche Themen

Forum Datum
Rootkit, on Board ? Viren, Trojaner, Spyware etc. 17. Sep. 2009
Rootkit ja oder nein? Windows XP Forum 29. Dez. 2008
Re: Rootkit oder Trojaner - Befall? Windows XP Forum 7. Nov. 2008
Rootkit oder Trojaner - Befall? Viren, Trojaner, Spyware etc. 5. Nov. 2008
RootkitHookAnalyzer meldet unbekannte .SYS-Dateien Windows XP Forum 16. März 2008