Gmer hat 4 dateien gefunden - löschen?

[sChoedi]

hi,

habe den pc mit "gmer" gescannt und er hat 4 dateien gefunden. und zwar diese hier:

---- Kernel code sections - GMER 2.1 ----

INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528 fffff80002e01000 45 bytes [00, 00, 6E, 00, 4E, 56, 52, ...]
INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 575 fffff80002e0102f 18 bytes [00, 60, 89, E0, 08, 80, FA, ...]

---- User code sections - GMER 2.1 ----

.text D:\....Emsisoft Emergency Kit\Run\a2emergencykit.exe[4676] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077311465 2 bytes [31, 77]
.text D:\...\Emsisoft Emergency Kit\Run\a2emergencykit.exe[4676] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000773114bb 2 bytes [31, 77]
.text ... * 2

jetzt weiss ich nicht, ob ich die löschen soll?!
ist es von avast? oder ein windows driveR? (die ersten beiden)


weiss jemand bescheid??

gruß, eiko

[darktwillight]

@sChoedi, ohne komplett Log Datei
ist es schwer zu sagen.

Kann es sein, das Firefox einige einfach einige Werbetabus ua. von thelotter, adultfriendfinder öffnet?
Dann könnte es sich eventuell um ein Rootkit handeln.
Aber wie gesagt ohne komplett Log und genaue Fehlerbeschreibung ist es schwierig.

[sChoedi]

mit was sollte man denn einen log machen??

[darktwillight]

den Log hier Posten mit der Funktion Code:
Beispiel eines Logs hier mal mit Adwcleaner:

Code: Alles auswählen

# AdwCleaner v4.101 - Bericht erstellt am 20/11/2014 um 20:22:06
# Aktualisiert 09/11/2014 von Xplode
# Database : 2014-11-16.1 [Live]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : five - five-PC
# Gestartet von : C:\Users\five\Downloads\AdwCleaner_4.101.exe
# Option : Suchen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gefunden : C:\Program Files (x86)\Advanced Driver Updater
Ordner Gefunden : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Driver Updater
Ordner Gefunden : C:\Users\five\AppData\Local\CrashRpt
Ordner Gefunden : C:\Users\five\AppData\Local\Google\Chrome\User Data\Default\Extensions\gjjiombljiecmngnpdagbbmlildkhiad
Ordner Gefunden : C:\Users\five\AppData\Roaming\Systweak

***** [ Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gefunden : HKCU\Software\systweak
Schlüssel Gefunden : [x64] HKCU\Software\systweak
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{00B11DA2-75ED-4364-ABA5-9A95B1F5E946}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Advanced Driver Updater_is1
Schlüssel Gefunden : HKLM\SOFTWARE\systweak
Schlüssel Gefunden : [x64] HKLM\SOFTWARE\Classes\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534}

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17420


-\\ Mozilla Firefox v33.1.1 (x86 de)


-\\ Google Chrome v38.0.2125.111


*************************

AdwCleaner[R0].txt - [2115 octets] - [22/07/2014 09:03:20]
AdwCleaner[R1].txt - [2179 octets] - [23/07/2014 09:46:36]
AdwCleaner[R2].txt - [1601 octets] - [01/10/2014 12:08:57]
AdwCleaner[R3].txt - [1946 octets] - [29/10/2014 00:48:08]
AdwCleaner[R4].txt - [1763 octets] - [20/11/2014 20:22:06]

[sChoedi]

der "adwcleaner" findet nichts....

jetzt werden die beiden dateien auch nicht mehr gefunden mit dem "gmer"... er zeigt nur 4 dateien von AVG IS an.

das wird dann wohl normal sein.


ich dachte mit einem speziellen "log-programm"... gibts doch auch...

[darktwillight]

Hm....hast Du den mit irgendetwas ab gereinigt?
Die Dateien, beziehungsweise Registrierungseinträge verschwinden ja nicht von alleine!

Ein reines Log kannst Du auch mit OTL machen

[Claudia]

würde mal sagen das alle 4 Dateien harmlos sind/waren

Gmer ist nichts für "Laien", weil es viel zu viele Meldungen produziert, die man sehr genau analysieren muß bevor man was löscht.

[darktwillight]

@Claudia.Du hast Recht!
Nur das kommt mir Komisch vor:

sChoedi hat geschrieben
jetzt werden die beiden dateien auch nicht mehr gefunden mit dem "gmer"... er zeigt nur 4 dateien von AVG IS an.
das wird dann wohl normal sein.
INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528 fffff80002e01000 45 bytes [00, 00, 6E, 00, 4E, 56, 52, ...]
INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 575 fffff80002e0102f 18 bytes [00, 60, 89, E0, 08, 80, FA, ...]

Er hatte doch geschrieben das er noch nichts gelöscht hat, die können doch nicht einfach verschwinden

[Claudia]

doch, weil temporäre Log Dateien und Zwischenspeicher nach Neustart gelöscht beziehungsweise verändert werden. (was Gmer dann auch bemängelt, aber ein klarer F/P Meldung darstellt)
und
NPagedLookasideList
ntoskrnl.exe (kurz für Windows NT

-Betriebssystem

-Kernel

,) auch als Kernel-Image bekannt ist, stellt der Kernel und Führungsschichten der Windows NT Kernel-Space und ist für verschiedene Systemdienste wie die Hardware-Virtualisierung, Prozess- und Speichermanagement, damit so dass es ein wesentlicher Bestandteil des Systems. Es enthält den Cache-Manager, die Exekutive, den Kernel, die Sicherheit Referenzmonitor, der Speicher-Manager und den Scheduler.

[darktwillight]

@Claudia, Grundsätzlich hat Du bei deiner Ausführung Recht.
Temporär wird gelöscht, bei dem Vermuteten Trojaner der die oben genannten Temporären
Einträge verursacht, werden aber auch Einträge in der registri angelegt.
Außer die AV/IS verhindert es, dann währen aber auch eine Meldung von der Sicherheitssoftware gekommen.
Aber so lange sChoedi, keine Logs postet, kann ich viel Spekulieren.