Hallo liebe Gemeinde. Bisher habe ich alles selber hinbekommen, und zur Not mach ich eben die Platte platt, dann ist sie sauber. Aber ich habe da was entdeckt, das auch für Euch interessant sein dürfe, denn ich habe bisher nirgends zu etwas gefunden.

Ich habe ein relativ altes Bord genommen, und einen Server aufgebaut, da es auch noch zwei SATA Anschlüsse die auch HotPlug Fähig sind. Dazu einen VIA – Raid – Treiber aufgespielt, und alles war super. Auf einmal werden die SATA Platten nicht mehr erkannt. Im Gerätemanager tauchte ein seltsamer Controller auf, und der VIA hat nun ein Ausrufezeichen. Alle Versuche den neuen Treiber zu entfernen, deinstallieren scheitern er taucht immer wieder auf. Die angegebene Treiber Datei findet sich nicht wie angegeben im system32 Verzeichnis.

Nach dem ich nun den Fake-Treiber entfernt habe, taucht er wieder auf, aber mit neuen Namen. Zurzeit heißt er APQJHCA1 IDE Controller. Das stinkt doch schon nach VIRUS.

Auch die angegeben Datei apqjhca1.sys ist natürlich nicht in system32 zu finden.

So nun habe ich mal Eure Liste abgearbeitet und poste diese mal, ich hoffe, das Ihr da was zu wisst. Wie gesagt, ich mach die Platte sonst auch platt, aber ich finde einen Controller-Virus spannend.


SYSTEM:

Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600

Systemhersteller VIA
Systemmodell K7Upgrade-600
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 10 Stepping 0 AuthenticAMD ~2197 Mhz
BIOS-Version/-Datum American Megatrends Inc. P1.90, 15.06.2006
SMBIOS-Version 2.3
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"

Zeitzone Westeuropäische Normalzeit
Gesamter realer Speicher 2.048,00 MB


SOFTWARE:

32 Bit HP BiDi Channel Components Installer
3DMark03
3DMark05
3DMark06
Ad-Aware
Ad-Aware
Adobe Flash Player 10 ActiveX
AquaMark3
a-squared Free 4.0
AVM FRITZ!
CCleaner (remove only)
C-Media 3D Audio
Codecreatures Benchmark Pro
COMODO Internet Security
Debugging Tools for Windows (x86)
DEVIL MAY CRY 4 BENCHMARK
DroneZmarK
EVEREST Ultimate Edition v4.60
Final Reality
Free Download Manager 3.0
HD Tune 2.55
HijackThis 2.0.2
HP Color LaserJet CP1510 Series 2.0
HP Product Detection
ISO Recorder
ISODisk 1.1
Java DB 10.4.1.3
Java(TM) 6 Update 12
Java(TM) SE Development Kit 6 Update 12
MadOnion.com/3DMark2001 SE
Malwarebytes' Anti-Malware
Microsoft Visual C++ 2005 Redistributable
NVIDIA Drivers
Orbit Downloader
Philips Vesta Camera WebUpdate
QIP Infium 9030 Jeak-Edition
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Software Informer 1.0 BETA
Spybot - Search & Destroy
System Requirements Lab
Total Commander (Remove or Repair)
TrueCrypt
TuneUp Utilities 2007
Tweak UI
UltraVNC 1.0.5.3
Update für Windows Internet Explorer 8 (KB961813)
Update für Windows XP (KB967715)
UpdateStar
VIA Plattform-Geräte-Manager
VideoLink Mail
Virtual Desktop Manager Powertoy for Windows XP
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
VLC media player 0.9.8a
VMware Server
Windows Internet Explorer 8 Release Candidate 1


ANTI-MALWARE:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2132
Windows 5.1.2600 Service Pack 3

15.05.2009 09:24:08
mbam-log-2009-05-15 (09-24-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|I:\|Z:\|)
Durchsuchte Objekte: 255528
Laufzeit: 4 hour(s), 48 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:03, on 15.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\VMware\VMware Server\tomcat\bin\Tomcat6.exe
C:\Programme\VIA\RAID\vialogsv.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\VMware\VMware Server\vmware-authd.exe
C:\Programme\VMware\VMware Server\vmware-hostd.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\Software Informer\softinfo.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\UpdateStar\UpdateStar.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\PhonerBeta\Phoner.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\mmc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] C:\Programme\Software Informer\softinfo.exe -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UpdateStar] C:\Dokumente und Einstellungen\Manuel Krüger\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O4 - Global Startup: PhonerBeta.lnk = C:\Programme\PhonerBeta\Phoner.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware server\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware server\vsocklib.dll
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1230670149421
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A71A1009-E30A-4F0A-8C98-0636B4AB0AC5}: NameServer = 192.168.0.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{C58AD7AF-C7BD-4437-9DF6-C1EDB91303BD}: NameServer = 192.168.0.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1FDAD6A-C510-4CDB-96B8-CE3943E06229}: NameServer = 192.168.0.173
O20 - AppInit_DLLs:
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: VMware Host Agent (VMwareHostd) - Unknown owner - C:\Programme\VMware\VMware Server\vmware-hostd.exe
O23 - Service: VMware Server Web Access (VMwareServerWebAccess) - Apache Software Foundation - C:\Programme\VMware\VMware Server\tomcat\bin\Tomcat6.exe
O23 - Service: VMware VSS Writer (vmwriter) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmVssWriter.exe
O23 - Service: VRAID Log Service - Unknown owner - C:\Programme\VIA\RAID\vialogsv.exe

Hi,

dein Virus heißt aller Wahrscheinlichkeit nach Daemon Tools.

Nicht nur Malware muss sich verstecken, Programme die virtuelle Laufwerke erstellen müssen sich vorm Kopierschutz verstecken, Antivirenprogramme verstecken sich vor Malware, etc...

Die Datei wird bei jedem Neustart mit einem neuen Namen erzeugt. Der Spuk sollte aufhören wenn du alles deinstallierst was Daemon Tools/Alcohol120%/etc heißt.

lg myrtille

Du bist ja genial, schon beim deinstallieren war der Controller im Gerätemanger weg.

Hehe,

ja, das Ding hat mir schon öfter schlaflose Nächte bereitet, daher kenn ich es mittlerweile sehr gut.

Bei Java ist mittlerweile Update 13 erschienen, das könntest du noch aktualisieren.
Der Internet Explorer 8 ist mittlerweile auch erschienen und vlc könnte auch ein update vertragen (aktuell ist 0.9.9).

Wenn du deine Onlinesoftware auf Aktualität testen willst, dann schau doch mal bei Secunia vorbei.


Wenn du den Online-Scan von a-squared nicht regelmäßig benutzt, würd ich dir empfehlen A-squared FREE 4.0 zu deinstallieren, das startet sonst immer nen Dienst mit.
Ich würd außerdem empfeheln Spybot abzuschießen und stattdessen Malwarebytes zu nutzen. Einfach gelegentlich aktualisieren und scannen (Quickscan ist normalerweise ausreichend).

lg myrtille

Man lernt nie aus, auch nach 20 Jahren nicht. Nun muss ich nur noch sehen, wie ich den blöden IDE-Controller wieder zum laufen bekomme, denn der SERVER ist mit den Wechselrahmen für die SATA Platten recht dufte. Habe die Rahmen wo man Platten direkt so reinschieben kann.

Leider will der Controller einfach nicht mehr laufen, das gelbe blöde Dreieck will nicht verschwinden.

Die andren Sachen werde ich mal versuchen.

Hi,

ich vermute mal du hast versucht die entsprechenden Treiber neuzuinstallieren?

Wenn nicht würd ich dich weiterverweisen, mit sowas kenn ich mich dann wieder weniger aus.

lg myrtille

Ja alles zigmal. Ich heue ein neues XP drauf und werde mir wohl einen SATA Controller kaufen. :