Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
W32/Suspicious_Gen5.DUJT infiziert!

W32/Suspicious_Gen5.DUJT infiziert!


Plagegeister aller Art und deren Bekämpfung: W32/Suspicious_Gen5.DUJT infiziert!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 3 1 2 3
Alt 03.01.2013, 18:45   #16
ryder
/// TB-Ausbilder
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Zitat:
c:\dokumente und einstellungen\Roland\Gutscheinaffe
Von sowas bitte die Finger lassen!

Bevor es weitergeht: Hast du jetzt noch Probleme?
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 03.01.2013, 20:10   #17
ellrolschell
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Hallo ryder,
bisher habe ich keine Meldung mehr von Norman bekommen. Schon einmal
vielen Dank.
Woher dieser "Gutscheinaffe" kommt; keine Ahnung. War ein leerer Ordner, den
ich eben gelöscht habe.
Muss jetzt noch irgendetwas gemacht werden?

Roland
__________________
Alt 03.01.2013, 20:30   #18
ryder
/// TB-Ausbilder
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


ja

Gut!

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
Schritt 2:
ESET Online Scanner

Zitat:
Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Bitte hier klicken --->
    • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
    • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
  • drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern!
Wenn der Scan beendet wurde
  • Klicke und dann
  • Speichere das Logfile als ESET.txt auf dem Desktop.
  • Klicke Back und Finish
Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck
Downloade Dir bitte SecurityCheck: LINK1 LINK2
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
__________________
Alt 05.01.2013, 03:57   #19
ellrolschell
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Guten Morgen,
offensichtlich ist leider immer noch nicht alles sauber. Als der ESET Scanner fertig war, zeigte sich auch wieder die Meldung von Norman mit dem bekannten Text.
Hier nun die gewünschten Dateien:

Malwarebytes:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.04.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Roland :: ACER [Administrator]

Schutz: Aktiviert

04.01.2013 14:57:53
mbam-log-2013-01-04 (14-57-53).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 249157
Laufzeit: 12 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
ESETScanner:

Code:
ATTFilter
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1339\A0156899.dll	a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1342\A0157242.dll	a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1343\A0157432.dll	a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1343\A0157583.dll	a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1344\A0157685.dll	a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1345\A0157751.dll	a variant of Win32/Mediyes.J trojan
C:\WINDOWS\system32\ntqcfvte.sys	Win32/Mediyes.E trojan
C:\WINDOWS\system32\pngudv6q.dll	a variant of Win32/Mediyes.D trojan
Operating memory	a variant of Win32/Mediyes.J trojan
SecurityCheck:

Code:
ATTFilter
 Results of screen317's Security Check version 0.99.56  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
Norman Security Suite   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 Adobe Flash Player 	11.5.502.135  
 Adobe Reader 9 Adobe Reader out of Date! 
 Google Chrome 23.0.1271.95  
 Google Chrome 23.0.1271.97  
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamgui.exe  
 Malwarebytes' Anti-Malware mbamscheduler.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````
Danke, Roland

Alt 05.01.2013, 10:57   #20
ryder
/// TB-Ausbilder
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Oh das ist gar nicht gar nicht gut ...

Wir müssen da jetzt erstmal tief graben ...


Schritt 2:
Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
  • Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
    Code:
    ATTFilter
    :filefind
ntqcfvte
pngudv6q
GMSIPCI
:regfind
ntqcfvte
pngudv6q
GMSIPCI
:service
ntqcfvte
GMSIPCI
::safeboot
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Schritt 2:
Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehakt)
    • Show all (sollte abgehakt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Frage:
Was ist Laufwerk I: ?

Und eine Bitte selbst wenn du formatieren willst, lass uns bitte diese Dateien noch einsammeln, das ist eine Variante, mit der wir es bisher noch nicht zu tun hatten.

__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Geändert von ryder (05.01.2013 um 11:35 Uhr)

Alt 05.01.2013, 14:08   #21
ellrolschell
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Hallo ryder,
zunächst zu Deiner Frage: I: ist ein DVD-RW-Laufwerk.
SystemLook habe ich schon laufen lassen, habe aber einige Fragen zu der gmer.exe (habe ich abgebrochen):
1. Nach Download bekomme ich nur die Aufforderung auszuführen oder abzubrechen (keine Möglichkeit auf Desktop zu speichern)
2. IAT/EAT Haken entfernen ist klar
3. Voreinstellung ansonsten wie folgt: Haken bei "Quickscan", kein Haken bei "C:\" und kein Haken bei "H:\" und kein Haken bei "Show all"
Ist das so ok?
Nach dem Abbruch kam die Meldung "Warning GMER has found...." jedoch nur mit Button "ok"
Formatieren gehe ich erst an, wenn Du mir dies rätst; das seltsame bei dieser Infizierung ist, dass offensichtlich nichts negatives passiert!?
Roland

Alt 05.01.2013, 16:34   #22
ryder
/// TB-Ausbilder
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Das ist eine neue Version und wir kennen sie noch nicht so ganz.

Nimm einfach nur den Haken bei IAT weg und scanne. Lass alles so wie es ist.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 05.01.2013, 19:07   #23
ellrolschell
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


So nun die zwei Dateien; übrigens ist die Warnmeldung von Norman mit Ausnahme des einen Mals nach dem ESET Scan bis jetzt nicht wieder aufgetaucht.
Roland

SystemLook:

Code:
ATTFilter
SystemLook 30.07.11 by jpshortstuff
Log created at 13:40 on 05/01/2013 by Roland
Administrator - Elevation successful

========== filefind ==========

Searching for "ntqcfvte"
No files found.

Searching for "pngudv6q"
No files found.

Searching for "GMSIPCI"
No files found.

========== regfind ==========

Searching for "ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTQCFVTE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTQCFVTE\0000]
"Service"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTQCFVTE\0000]
"DeviceDesc"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTQCFVTE\0000\Control]
"ActiveService"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqcfvte]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqcfvte]
"ImagePath"="\??\C:\WINDOWS\system32\ntqcfvte.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqcfvte\Enum]
"0"="Root\LEGACY_NTQCFVTE\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTQCFVTE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTQCFVTE\0000]
"Service"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTQCFVTE\0000]
"DeviceDesc"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntqcfvte]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntqcfvte]
"ImagePath"="\??\C:\WINDOWS\system32\ntqcfvte.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQCFVTE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQCFVTE\0000]
"Service"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQCFVTE\0000]
"DeviceDesc"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQCFVTE\0000\Control]
"ActiveService"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqcfvte]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqcfvte]
"ImagePath"="\??\C:\WINDOWS\system32\ntqcfvte.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqcfvte\Enum]
"0"="Root\LEGACY_NTQCFVTE\0000"

Searching for "pngudv6q"
No data found.

Searching for "GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GMSIPCI\0000]
"Service"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GMSIPCI\0000]
"DeviceDesc"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GMSIPCI]
"ImagePath"="\??\I:\INSTALL\GMSIPCI.SYS"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GMSIPCI]
"DisplayName"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GMSIPCI\Enum]
"0"="Root\LEGACY_GMSIPCI\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_GMSIPCI\0000]
"Service"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_GMSIPCI\0000]
"DeviceDesc"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GMSIPCI]
"ImagePath"="\??\I:\INSTALL\GMSIPCI.SYS"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GMSIPCI]
"DisplayName"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GMSIPCI\0000]
"Service"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GMSIPCI\0000]
"DeviceDesc"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GMSIPCI]
"ImagePath"="\??\I:\INSTALL\GMSIPCI.SYS"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GMSIPCI]
"DisplayName"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GMSIPCI\Enum]
"0"="Root\LEGACY_GMSIPCI\0000"

========== service ==========

ntqcfvte - Unable to open Service Handle.

GMSIPCI
GMSIPCI
(No Description)
Current Status: Stopped
Startup Type: Demand
Error Control: Critical
Binary: \??\I:\INSTALL\GMSIPCI.SYS
Group: (none)
SafeBoot:
Dependencies:
(none)
Dependant Services:
(none)

========== SafeBoot Info ==========

Alternate Shell: cmd.exe

--- Minimal ---
AppMgmt
Base
Boot Bus Extender
Boot file system
CryptSvc
DcomLaunch
dmadmin
dmboot.sys
dmio.sys
dmload.sys
dmserver
EventLog
File system
Filter
HelpSvc
Netlogon
PCI Configuration
PlugPlay
PNP Filter
Primary disk
RpcSs
SCSI Class
sermouse.sys
sr.sys
SRService
System Bus Extender
vds
vga.sys
vgasave.sys
Wdf01000.sys
WinMgmt
WudfSvc
(Universal Serial Bus controllers)
(CD-ROM Drive)
(DiskDrive)
(Standard floppy disk controller)
(Hdc)
(Keyboard)
(Mouse)
(PCMCIA Adapters)
(SCSIAdapter)
(System)
(Floppy disk drive)
(Volume shadow copy)
(Volume)
(Human Interface Devices)

--- Network ---
AFD
AppMgmt
Base
Boot Bus Extender
Boot file system
Browser
CryptSvc
DcomLaunch
Dhcp
dmadmin
dmboot.sys
dmio.sys
dmload.sys
dmserver
DnsCache
EventLog
File system
Filter
HelpSvc
ip6fw.sys
ipnat.sys
LanmanServer
LanmanWorkstation
LmHosts
Messenger
NDIS
NDIS Wrapper
Ndisuio
NetBIOS
NetBIOSGroup
NetBT
NetDDEGroup
Netlogon
NetMan
Network
NetworkProvider
NtLmSsp
PCI Configuration
PlugPlay
PNP Filter
PNP_TDI
Primary disk
rdpcdd.sys
rdpdd.sys
rdpwd.sys
rdsessmgr
RpcSs
SCSI Class
sermouse.sys
SharedAccess
sr.sys
SRService
Streams Drivers
System Bus Extender
Tcpip
TDI
tdpipe.sys
tdtcp.sys
termservice
vga.sys
vgasave.sys
Wdf01000.sys
WinMgmt
WudfSvc
WZCSVC
(Universal Serial Bus controllers)
(CD-ROM Drive)
(DiskDrive)
(Standard floppy disk controller)
(Hdc)
(Keyboard)
(Mouse)
(Net)
(NetClient)
(NetService)
(NetTrans)
(PCMCIA Adapters)
(SCSIAdapter)
(System)
(Floppy disk drive)
(Volume)
(Human Interface Devices)

-= EOF =-
Gmer.txt:

Code:
ATTFilter
GMER 2.0.18327 - hxxp://www.gmer.net
Rootkit scan 2013-01-05 18:53:09
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\00000074 Hitachi_HDT725032VLA380 rev.V54OA52A 298,09GB
Running: 3p8re4xy.exe; Driver: C:\DOKUME~1\Roland\LOKALE~1\Temp\pxtdrpob.sys


---- System - GMER 2.0 ----

SSDT     \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                               ZwCreateFile [0xAE6E53C4]
SSDT     \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                               ZwCreateProcess [0xAE6E3F7C]
SSDT     \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                               ZwCreateProcessEx [0xAE6E3FAC]
SSDT     \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                               ZwCreateThread [0xAE6E3FDC]
SSDT     \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                               ZwSetSystemInformation [0xAE6E551C]
SSDT     \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                               ZwTerminateProcess [0xAE6E4D0A]
SSDT     \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                               ZwWriteVirtualMemory [0xAE6E4F60]

Code     \??\C:\WINDOWS\system32\ntqcfvte.sys (New Technology Quality Browser Support/New Technology Quality, Ltd.)     ZwResumeThread [0xAE48376E]

---- Kernel code sections - GMER 2.0 ----

?        Combo-Fix.sys                                                                                                  Das System kann die angegebene Datei nicht finden. !
.text    C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                       section is writeable [0xF5F3D000, 0x2ACED8, 0xE8000020]
.text    C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                       section is writeable [0xAB5B1000, 0x328BA, 0xE8000020]
.pklstb  C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                       entry point in ".pklstb" section [0xAB5F5000]
.relo2   C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                       unknown last section [0xAB611000, 0x8E, 0x42000040]
.vmp2    C:\WINDOWS\system32\drivers\acedrv11.sys                                                                       entry point in ".vmp2" section [0xAAFF369D]
.text    C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                         section is writeable [0xAAE75300, 0x3B6D8, 0xE8000020]
.text    C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                         section is writeable [0xF77A7300, 0x1BEE, 0xE8000020]
?        C:\ComboFix\catchme.sys                                                                                        Das System kann den angegebenen Pfad nicht finden. !
?        C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                     Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 2.0 ----

.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtCreateFile + 6                             7C91D0B4 4 Bytes  [28, 90, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtCreateFile + B                             7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtMapViewOfSection + 6                       7C91D524 4 Bytes  [28, 93, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtMapViewOfSection + B                       7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenFile + 6                               7C91D5A4 4 Bytes  [68, 90, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenFile + B                               7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, 91, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcessToken + 6                       7C91D614 4 Bytes  CALL 7B922DAA 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcessToken + B                       7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcessTokenEx + 6                     7C91D624 4 Bytes  [A8, 92, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcessTokenEx + B                     7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThread + 6                             7C91D664 4 Bytes  [68, 91, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThread + B                             7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, 92, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B922E1B 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, 90, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B922F49 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtSetInformationFile + 6                     7C91DC64 4 Bytes  [28, 91, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtSetInformationFile + B                     7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtSetInformationThread + 6                   7C91DCB4 4 Bytes  [28, 92, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtSetInformationThread + B                   7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtUnmapViewOfSection + 6                     7C91DF14 4 Bytes  [68, 93, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtUnmapViewOfSection + B                     7C91DF19 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtCreateFile + 6                             7C91D0B4 4 Bytes  [28, D0, EB, 00] {SUB AL, DL; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtCreateFile + B                             7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtMapViewOfSection + 6                       7C91D524 4 Bytes  [28, D3, EB, 00] {SUB BL, DL; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtMapViewOfSection + B                       7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenFile + 6                               7C91D5A4 4 Bytes  [68, D0, EB, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenFile + B                               7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, D1, EB, 00] {TEST AL, 0xd1; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcessToken + 6                       7C91D614 4 Bytes  CALL 7B92C1EA 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcessToken + B                       7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcessTokenEx + 6                     7C91D624 4 Bytes  [A8, D2, EB, 00] {TEST AL, 0xd2; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcessTokenEx + B                     7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThread + 6                             7C91D664 4 Bytes  [68, D1, EB, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThread + B                             7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, D2, EB, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B92C25B 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, D0, EB, 00] {TEST AL, 0xd0; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B92C389 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtSetInformationFile + 6                     7C91DC64 4 Bytes  [28, D1, EB, 00] {SUB CL, DL; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtSetInformationFile + B                     7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtSetInformationThread + 6                   7C91DCB4 4 Bytes  [28, D2, EB, 00] {SUB DL, DL; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtSetInformationThread + B                   7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtUnmapViewOfSection + 6                     7C91DF14 4 Bytes  [68, D3, EB, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtUnmapViewOfSection + B                     7C91DF19 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtCreateFile + 6                             7C91D0B4 4 Bytes  [28, 04, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtCreateFile + B                             7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtMapViewOfSection + 6                       7C91D524 4 Bytes  [28, 07, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtMapViewOfSection + B                       7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenFile + 6                               7C91D5A4 4 Bytes  [68, 04, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenFile + B                               7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, 05, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcessToken + 6                       7C91D614 4 Bytes  CALL 7B92561E 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcessToken + B                       7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcessTokenEx + 6                     7C91D624 4 Bytes  [A8, 06, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcessTokenEx + B                     7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThread + 6                             7C91D664 4 Bytes  [68, 05, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThread + B                             7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, 06, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B92568F 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, 04, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B9257BD 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtSetInformationFile + 6                     7C91DC64 4 Bytes  [28, 05, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtSetInformationFile + B                     7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtSetInformationThread + 6                   7C91DCB4 4 Bytes  [28, 06, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtSetInformationThread + B                   7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtUnmapViewOfSection + 6                     7C91DF14 4 Bytes  [68, 07, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtUnmapViewOfSection + B                     7C91DF19 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtCreateFile + 6                             7C91D0B4 4 Bytes  [28, 74, 6D, 00] {SUB [EBP+EBP*2+0x0], DH}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtCreateFile + B                             7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtMapViewOfSection + 6                       7C91D524 4 Bytes  [28, 77, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtMapViewOfSection + B                       7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenFile + 6                               7C91D5A4 4 Bytes  [68, 74, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenFile + B                               7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, 75, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcessToken + 6                       7C91D614 4 Bytes  CALL 7B92438E 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcessToken + B                       7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcessTokenEx + 6                     7C91D624 4 Bytes  [A8, 76, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcessTokenEx + B                     7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThread + 6                             7C91D664 4 Bytes  [68, 75, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThread + B                             7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, 76, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B9243FF 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, 74, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B92452D 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtSetInformationFile + 6                     7C91DC64 4 Bytes  [28, 75, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtSetInformationFile + B                     7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtSetInformationThread + 6                   7C91DCB4 4 Bytes  [28, 76, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtSetInformationThread + B                   7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtUnmapViewOfSection + 6                     7C91DF14 4 Bytes  [68, 77, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtUnmapViewOfSection + B                     7C91DF19 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtCreateFile + 6                             7C91D0B4 4 Bytes  [28, 20, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtCreateFile + B                             7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtMapViewOfSection + 6                       7C91D524 4 Bytes  [28, 23, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtMapViewOfSection + B                       7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenFile + 6                               7C91D5A4 4 Bytes  [68, 20, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenFile + B                               7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, 21, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcessToken + 6                       7C91D614 4 Bytes  CALL 7B92313A 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcessToken + B                       7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcessTokenEx + 6                     7C91D624 4 Bytes  [A8, 22, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcessTokenEx + B                     7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThread + 6                             7C91D664 4 Bytes  [68, 21, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThread + B                             7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, 22, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B9231AB 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, 20, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B9232D9 
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtSetInformationFile + 6                     7C91DC64 4 Bytes  [28, 21, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtSetInformationFile + B                     7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtSetInformationThread + 6                   7C91DCB4 4 Bytes  [28, 22, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtSetInformationThread + B                   7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtUnmapViewOfSection + 6                     7C91DF14 4 Bytes  [68, 23, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtUnmapViewOfSection + B                     7C91DF19 1 Byte  [E2]
---- Processes - GMER 2.0 ----

Library  C:\WINDOWS\system32\jpgzfrcv.dll (*** hidden *** ) @ C:\Programme\Google\Chrome\Application\chrome.exe [3676]  0x10000000                                                    

---- EOF - GMER 2.0 ----

Alt 05.01.2013, 20:24   #24
ryder
/// TB-Ausbilder
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Sehr schön, danke

Wir werden jetzt mit der Keule rangehen:

Lade dir das Tool Avenger und speichere es auf dem Desktop:

  1. Kopiere nun folgenden Text in das weiße Feld (bei -> "input script here")
    Code:
    ATTFilter
    Drivers to disable:
ntqcfvte


Drivers to delete:
ntqcfvte


Files to delete:
C:\WINDOWS\system32\ntqcfvte.sys
C:\WINDOWS\system32\jpgzfrcv.dll
C:\WINDOWS\system32\pngudv6q.dll
  2. Setze den Haken bei Automatically disable any rootkits found
  3. Schließe alle laufenden Programme. Trenne Dich vom Internet.
  4. Starte Avenger mit Klick auf Execute
  5. Bestätige mit Yes den Neustart des Rechners.
  6. Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
    Poste mir in deiner nächsten Antwort den Inhalt der Avenger.txt
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 06.01.2013, 07:30   #25
ellrolschell
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Guten Morgen,
anbei die avenge.txt Datei.
Zur Info falls wichtig: Beim Neustart kam folgende Windows-Meldung:
"Windows - kein Datenträger Exception Processing Message C0000013 Parameters 75b0bf7c 4 75b0bf7c 75b0bf7c"; ist dann durch mehrmalige Drücken des "Wiederholen"-Buttons weggegangen.
Roland

Avenge.txt:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "ntqcfvte" disabled successfully.
Driver "ntqcfvte" deleted successfully.
File "C:\WINDOWS\system32\ntqcfvte.sys" deleted successfully.
File "C:\WINDOWS\system32\jpgzfrcv.dll" deleted successfully.
File "C:\WINDOWS\system32\pngudv6q.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Alt 06.01.2013, 11:03   #26
ryder
/// TB-Ausbilder
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Okay das sieht gut aus. Hast du jetzt permanent Probleme beim booten oder war es nur das eine mal?
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 06.01.2013, 13:04   #27
ellrolschell
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Habe gerade noch einmal gebootet; keine Probleme.
Aber noch zur Info:
Der Normanscanner läuft bei mir automatisch immer in der Nacht von Samstag auf Sonntag.
Heute morgen hatte er mir den Virus wieder gemeldet (vor dem Löschen mit Avenge!).
Habe mir nun noch einmal Norman SS angesehen, der folgendes noch in der Quarantäne stehen hat:

Dateiname Diagnose Datum
A0156899.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:11:01
A0157242.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:11:36
A0157397.exe W32/Rootkit.EODN 2013-01-06 02:12:21
A0157432.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:12:30
A0157685.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:12:58
A0157751.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:13:12
jpgzfrcv.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:52:15
jpgzfrcv.dll W32/Suspicious_Gen5.DUJT 2013-01-05 20:08:09
jpgzfrcv.dll.vir W32/Suspicious_Gen5.DUJT 2013-01-04 22:31:05

Bei der letzten Datei *.dll.vir kann es sein, dass ich diese mal erzeugt hatte; wollte die Datei durch Anhängen von .vir umbenennen, um sie dann löschen zu können.
Soll ich die Dateien in der Quarantäne jetzt einfach löschen?

Roland

Alt 06.01.2013, 13:26   #28
ryder
/// TB-Ausbilder
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Ohne vollständigen Pfad bringt mir das gar nix.

Aber wenn du jetzt korrekt booten kannst ist das schon mal in Ordnung.

Gut. Dann müssen wir das nochmals kontrollieren. Bitte einmal noch Scan mit Combofix und dann noch ein Eset hinterher.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 06.01.2013, 15:20   #29
ellrolschell
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Nur zur Sicherheit, damit ich jetzt nichts falsch mache:
Scannen mit Combofix:
Vorhandene Combofix löschen; über obigen Download-Spiegel neu runterladen auf Desktop;
angebenen Text in notepad einfügen; als CFScript speichern und diese Datei auf Combofixsymbol ziehen?!
Scannen mit ESET:
Alles so wie oben angegeben?!

Alt 06.01.2013, 15:33   #30
ryder
/// TB-Ausbilder
 
W32/Suspicious_Gen5.DUJT infiziert! - Standard

W32/Suspicious_Gen5.DUJT infiziert!


Nein einfach nur CF starten ohne Skript.

Eset wie gehabt.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Antwort
Seite 2 von 3 1 2 3

Themen zu W32/Suspicious_Gen5.DUJT infiziert!
c:/windows/system32/jpgzfrcv.dll, gen:variant.graftor, mediyes.k, tr/atraps.gen2, tr/sirefref.w.16896, trj/ci.a, troj/mediyes-p, trojan.mediyes, trojan.mediyes.aeo, trojan.win32.a.mediyes.708608, trojan.win32.mediyes.aeo, trojan/mediyes.aeo, trojan/win32.mediyes, trojaner-board, w32/downadupjob.gen!a, w32/elkem.c, w32/gaobot.worm.gen.u, w32/mediyes.d!tr, w32/patched.ub, w32/suspicious_gen5.dujt, win32/mediyes.e, wünsche


« GVU - Trojaner - Windows XP SP3 | Virus auf dem dsl modem »


Ähnliche Themen: W32/Suspicious_Gen5.DUJT infiziert!


  1. PC ist infiziert
    Plagegeister aller Art und deren Bekämpfung - 09.07.2012 (5)
  2. Bin ich infiziert?
    Log-Analyse und Auswertung - 14.06.2012 (12)
  3. PC mit S.M.A.R.T. infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (31)
  4. System infiziert. USB-Stick und Datensicherung auch infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (2)
  5. PC infiziert?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (20)
  6. bin ich infiziert?
    Überwachung, Datenschutz und Spam - 06.01.2010 (1)
  7. Bin ich infiziert?
    Log-Analyse und Auswertung - 03.11.2009 (1)
  8. PC infiziert?
    Log-Analyse und Auswertung - 22.10.2009 (12)
  9. Infiziert?
    Log-Analyse und Auswertung - 04.08.2009 (84)
  10. Bin ich Infiziert?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (0)
  11. PC infiziert !!
    Plagegeister aller Art und deren Bekämpfung - 01.06.2008 (3)
  12. Infiziert?
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (21)
  13. infiziert ?
    Log-Analyse und Auswertung - 21.09.2007 (1)
  14. Infiziert?
    Log-Analyse und Auswertung - 09.04.2006 (1)
  15. Infiziert? :)
    Log-Analyse und Auswertung - 23.01.2006 (9)
  16. Infiziert??
    Log-Analyse und Auswertung - 08.10.2005 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema W32/Suspicious_Gen5.DUJT infiziert! - Zitat: c:\dokumente und einstellungen\Roland\Gutscheinaffe Von sowas bitte die Finger lassen! Bevor es weitergeht: Hast du jetzt noch Probleme? - W32/Suspicious_Gen5.DUJT infiziert!...
Archiv
Du betrachtest: W32/Suspicious_Gen5.DUJT infiziert! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55