Hilfe bei gmer Log-File Auswertung

Fameless · 12.01.2009, 00:51

Hallo Leute,

ich habe letztens nach einem halben Jahr mein Virenscanner (Avira PE Classic) durchlaufen lassen.
Nach dem die Suche nach Viren etc. beendet war fiel mir eine Sache auf. Im Bericht stand:

spdt.sys Datei konnte nicht geöffnet werden!

Das machte mich bisschen stutzig, also beschloss ich "spdt.sys" einfach mal zu googlen.
Nach 5 min fand ich n Paar Leidgenossen, die meisten von Ihnen wurde darauf hingewiesen, dass der Verdacht auf eine sogenanntes "Rootkit" bestünde.

Machte mich mit dem Thema Rootkit sehr grob vertraut.

Bin letztendlich auf das Programm "gmer" gestoßen.

Nun weiß ich aber nicht wie ich das alles deuten soll und ob und was davon jetzt gefährlich sein soll. Ich hoffe ihr könnt mir helfen

PS: spdt.sys taucht tatsächtlich im Bericht auf!

______________________________________________________________________

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2009-01-12 00:29:45
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF75990B0]
SSDT F7D098EC ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xF759E84C]
SSDT sptd.sys ZwEnumerateValueKey [0xF759EBEC]
SSDT sptd.sys ZwOpenKey [0xF7599090]
SSDT F7D098D8 ZwOpenProcess
SSDT F7D098DD ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF759ECC4]
SSDT sptd.sys ZwQueryValueKey [0xF759EB44]
SSDT sptd.sys ZwSetValueKey [0xF759ED56]
SSDT F7D098E7 ZwTerminateProcess
SSDT F7D098E2 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!_abnormal_termination + 170 804E27CC 2 Bytes [ EC, EB ]
.text ntoskrnl.exe!_abnormal_termination + 173 804E27CF 1 Byte [ F7 ]
? C:\windows\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F69688AC 5 Bytes JMP 835931B8

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \windows\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F75AD580] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F75AD52C] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F75C7AB8] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F75AD580] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7599ABA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7599C00] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7599B82] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F759A72E] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F759A604] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F75ACB9A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8376A1D8
Device \Driver\NetBT \Device\NetBT_Tcpip_{EA9F8943-AF7D-4DBA-982C-CADC6ED5BDE8} 834711D8
Device \Driver\NetBT \Device\NetBT_Tcpip_{42BED41D-BD12-4479-BCC6-ACFD8843E58A} 834711D8
Device \Driver\usbohci \Device\USBPDO-0 835921D8
Device \Driver\usbohci \Device\USBPDO-1 835921D8
Device \Driver\NetBT \Device\NetBT_Tcpip_{717F3791-6E95-4476-8465-2B7E482CB6BC} 834711D8
Device \Driver\usbehci \Device\USBPDO-2 8357B1D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8376C1D8
Device \Driver\NetBT \Device\NetBt_Wins_Export 834711D8
Device \Driver\NetBT \Device\NetbiosSmb 834711D8
Device \Driver\usbohci \Device\USBFDO-0 835921D8
Device \Driver\usbohci \Device\USBFDO-1 835921D8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 834531D8
Device \Driver\usbehci \Device\USBFDO-2 8357B1D8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 834531D8
Device \Driver\Ftdisk \Device\FtControl 8376C1D8
Device \Driver\imagedrv \Device\Scsi\imagedrv1 8376B1D8
Device \FileSystem\Cdfs \Cdfs 834EF1D8

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011f6042c33
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -514302186
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -82619403
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xF9 0x72 0xAB 0x60 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x92 0x31 0x84 0xEF ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0011f6042c33
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xF9 0x72 0xAB 0x60 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x92 0x31 0x84 0xEF ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xC7 0x23 0x85 0x4C ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xC1 0x9F 0xBF 0x81 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x83 0xDB 0x09 0x4A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x92 0x31 0x84 0xEF ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\Ø•€|ÿÿÿÿ•€|ù•6~
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\Ø•€|ÿÿÿÿ•€|ù•6~@7040110900063D11C8EF10054038389C C?\WINDOWS\system32\FM20ENU.DLL
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@DisplayName ?????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@DeviceDesc ?????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@ProviderName ???????
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@MFG ?
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@ReinstallString C:\WINDOWS\System32\ReinstallBackups\????\DriverFiles\.INF
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\á@DeviceInstanceIds c:\toolscd\display driver\sbdrv\smbus\smbusati.inf
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION CDA61FA03D1395B2A2A669907EB743705967CCEFD04FB6CE674CDBDAE0D8D1870108007B7B111112788ACA186CBC2ACFAA2C556878C2B00F7FB7B6BD659FD6DDF640047E909AB2A3CABF65 EB8FD71C9995FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667C038D530D6EB3452A6171C11EC 38DE3D9DB7CE019D40AA5C6CA270AF476292C8A6AB94BC0316965E7A14F984E5DD13FD280B24B8A439A7E98068B1098CB65C0186BD24490B498D70E2797DA90DBB2FF3A9951FF82CA4DB1F EF5F8B812772B441ACC56AE8B40694CFF1BE60AD9ADE8DE5EDB839A49C533D55BE9DE119B55BE7411C61AC6D2DEB6D51C62C6DD26760076ACD06E08E1B78DA82A41C66554BDB5AF9089382 2B91BCEF91316BC2DF3E7C07DDD7EE598E42E6D5638C39A03E6C8100295A435BFC756088EBB60ED11F5F110FDFCF4FB8819D1A63F897356C60937F654D2DB9F4BFE06035059206DEDF7F23 31D12BE0E9C4AEABCC0797367ACC2E29A72FD32665554D6D89C0B02A8574C5DB975C94C42C3DE9DFED9414454E979F797955509B94A2AA59AD4CB2B73433CF05FE69EB0091D3B999B96FC8 D0BED9BC10A00E5D0FC113DB9A5B926ECC2B782B103529C07A81F07A6136A6A6A8F8AFCF2C7869E5DAFA93384DE247ED6D7FA05D8F210FDC8036087CE5F

---- Files - GMER 1.0.14 ----

File C:\Dokumente und Einstellungen\Padisah Aykut\Eigene Dateien\ICQ\218294063\ReceivedFiles\265883803 ...^°P!@°^..\hp12.JPG 239480 bytes

---- EOF - GMER 1.0.14 ----

KarlKarl · 12.01.2009, 07:10

Hi,

Demon Tools und Alcohol 120 deinstallieren (soweit vorhanden), danach Scan wiederholen.

Gruß, Karl

Fameless · 12.01.2009, 16:32

Alcohol hatte ich mal ist aber schon deinstalliert.

KarlKarl · 12.01.2009, 17:41

Steht aber oben im Log noch drinnen. sptd.sys ist in den meisten Fällen der Treiber eines dieser Programme, es gibt eben auch Anwender die sich absichtlich Rootkits installieren. Wenn Du aber keines dieser Programme auf deinem System hast, dann muss irgendwas anderes dahinter stecken. Die sptd.sys suchen und bei VirusTotal scannen lassen.

12.01.2009, 07:10	#2
KarlKarl /// Helfer-Team	Hilfe bei gmer Log-File Auswertung Hi, Demon Tools und Alcohol 120 deinstallieren (soweit vorhanden), danach Scan wiederholen. Gruß, Karl __________________

12.01.2009, 17:41	#4
KarlKarl /// Helfer-Team	Hilfe bei gmer Log-File Auswertung Steht aber oben im Log noch drinnen. sptd.sys ist in den meisten Fällen der Treiber eines dieser Programme, es gibt eben auch Anwender die sich absichtlich Rootkits installieren. Wenn Du aber keines dieser Programme auf deinem System hast, dann muss irgendwas anderes dahinter stecken. Die sptd.sys suchen und bei VirusTotal scannen lassen.

Hilfe bei gmer Log-File Auswertung

Plagegeister aller Art und deren Bekämpfung: Hilfe bei gmer Log-File Auswertung