- #1
U
udomon
Neues Mitglied
Themenersteller
- Dabei seit
- 02.01.2011
- Beiträge
- 2
- Reaktionspunkte
- 0
Hallo,
ich beschäftige mich erstmals mit dem Thema Rootkit. Auslöser hierfür war mein PC Problem mit der Fehlermeldung MBR Error 3. Ob ein rootkit der Auslöser war, ist mir nicht bekannt - ich konnte das Problem aber über meine easy install CD lösen.
Ich habe mir inzwischen das Programm Gmer heruntergeladen und einen Scan durchgeführt - log-file nachfolgend:
Kann mir bitte jemand eine Stellungnahme hierzu liefern? Welche Einträge sind gut und welche sind böse.
Wie kann ich diese Einträge sicher entfernen? Alles Gute noch für das Jahr 2011 und danke im voraus für die Hilfestellung.
udomon
*Spoiler-Tag eingefügt*
ich beschäftige mich erstmals mit dem Thema Rootkit. Auslöser hierfür war mein PC Problem mit der Fehlermeldung MBR Error 3. Ob ein rootkit der Auslöser war, ist mir nicht bekannt - ich konnte das Problem aber über meine easy install CD lösen.
Ich habe mir inzwischen das Programm Gmer heruntergeladen und einen Scan durchgeführt - log-file nachfolgend:
GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-01 19:23:10
Windows 5.1.2600 Service Pack 3
Running: 3dkf3ig7.exe; Driver: C:\DOKUME~1\roesche\LOKALE~1\Temp\ufrdqpob.sys
---- System - GMER 1.0.15 ----
SSDT F7AA218E ZwCreateKey
SSDT F7AA2184 ZwCreateThread
SSDT F7AA2193 ZwDeleteKey
SSDT F7AA219D ZwDeleteValueKey
SSDT F7AA21BB ZwLoadDriver
SSDT F7AA21A2 ZwLoadKey
SSDT F7AA2170 ZwOpenProcess
SSDT F7AA2175 ZwOpenThread
SSDT F7AA21AC ZwReplaceKey
SSDT F7AA21A7 ZwRestoreKey
SSDT F7AA21C0 ZwSetSystemInformation
SSDT F7AA2198 ZwSetValueKey
SSDT F7AA217F ZwTerminateProcess
SSDT F7AA217A ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\drivers\ACEDRV07.sys section is writeable [0xAE6B5000, 0x328BA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV07.sys entry point in .pklstb section [0xAE6F9000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV07.sys unknown last section [0xAE715000, 0x8E, 0x42000040]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AE9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D145 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D4696 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364FEF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364F21 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364F8C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364DF2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41364E54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41365052 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364EB6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 41365370 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364FEF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364F21 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364F8C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364DF2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41364E54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41365052 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364EB6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\Tcp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\RawIp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0013d35d18fc
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0013d35d18fc (not active ControlSet)
---- EOF - GMER 1.0.15 ----
Rootkit scan 2011-01-01 19:23:10
Windows 5.1.2600 Service Pack 3
Running: 3dkf3ig7.exe; Driver: C:\DOKUME~1\roesche\LOKALE~1\Temp\ufrdqpob.sys
---- System - GMER 1.0.15 ----
SSDT F7AA218E ZwCreateKey
SSDT F7AA2184 ZwCreateThread
SSDT F7AA2193 ZwDeleteKey
SSDT F7AA219D ZwDeleteValueKey
SSDT F7AA21BB ZwLoadDriver
SSDT F7AA21A2 ZwLoadKey
SSDT F7AA2170 ZwOpenProcess
SSDT F7AA2175 ZwOpenThread
SSDT F7AA21AC ZwReplaceKey
SSDT F7AA21A7 ZwRestoreKey
SSDT F7AA21C0 ZwSetSystemInformation
SSDT F7AA2198 ZwSetValueKey
SSDT F7AA217F ZwTerminateProcess
SSDT F7AA217A ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\drivers\ACEDRV07.sys section is writeable [0xAE6B5000, 0x328BA, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\ACEDRV07.sys entry point in .pklstb section [0xAE6F9000]
.relo2 C:\WINDOWS\system32\drivers\ACEDRV07.sys unknown last section [0xAE715000, 0x8E, 0x42000040]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AE9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D145 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D4696 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364FEF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364F21 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364F8C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364DF2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41364E54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41365052 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364EB6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 41365370 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364FEF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364F21 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364F8C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364DF2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41364E54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41365052 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3204] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364EB6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Programme\Internet Explorer\IEXPLORE.EXE[3052] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\Tcp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\RawIp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0013d35d18fc
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0013d35d18fc (not active ControlSet)
---- EOF - GMER 1.0.15 ----
Kann mir bitte jemand eine Stellungnahme hierzu liefern? Welche Einträge sind gut und welche sind böse.
Wie kann ich diese Einträge sicher entfernen? Alles Gute noch für das Jahr 2011 und danke im voraus für die Hilfestellung.
udomon
*Spoiler-Tag eingefügt*
~ Kpt.B.
