Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.
also ich hab zur Vereinfachung mal ein Screenshot gemacht von den 2 Schlüsseln. Ich habe selbst nichts an den Autostarts der Laufwerke geändert, wüsste auch kein Programm dass dies getan haben sollte. Hab nur versucht es selbst einzustellen für die USB aber ohne Erfolg.
Hier das Log von RootRepeal
Code:
ATTFilter
ROOTREPEAL (c) AD, 2007-2008
==================================================
Scan Time: 2009/05/25 20:41
Program Version: Version 1.2.3.0
Windows Version: Windows XP Media Center Edition SP3
==================================================
Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF1C06000 Size: 98304 File Visible: No
Status: -
Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7A0D000 Size: 8192 File Visible: No
Status: -
Name: mbr.sys
Image Path: C:\DOKUME~1\****\LOKALE~1\Temp\mbr.sys
Address: 0xEEA31000 Size: 11776 File Visible: No
Status: -
Name: opolxh.sys
Image Path: opolxh.sys
Address: 0xF74D1000 Size: 61440 File Visible: No
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xED5F4000 Size: 45056 File Visible: No
Status: -
Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!
Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\etilqs_rVnCRbLngjyEuOrgRqlt
Status: Allocation size mismatch (API: 32768, Raw: 0)
Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\****@hotmail.com\SharingMetadata\****@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\99\91-{69C80F80-8212-4783-8365-1A18FEEF760A}-v99-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v91-Downloaded.frx
Status: Locked to the Windows API!
Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch1\HTML\item_templ\coach\configuration\adpglobal\Common\adpicon.ico:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
Status: Invisible to the Windows API!
Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch1\HTML\item_templ\coach\configuration\adpglobal\Common\adpicon.ico:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Invisible to the Windows API!
Path: C:\Dokumente und EinsteSSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7ba976e
#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7ba9764
#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7ba9773
#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7ba977d
#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7ba9782
#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7ba9750
#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7ba9755
#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7ba978c
#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7ba9787
#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7ba9778
#: 257 Function Name: NtTerminateProcess
Status: Hooked by "C:\Programme\SUPERAntiSpyware\SASKUTIL.sys" at address 0xf1da5df0
Naja hoffe, dass was gefunden wurde nun nicht doch noch von einem Rootkit oder ähnlichem ist. Hatte mich schon gefreut
Zum Thema FrmWrk32.exe und co - Hallo,
also ich hab zur Vereinfachung mal ein Screenshot gemacht von den 2 Schlüsseln. Ich habe selbst nichts an den Autostarts der Laufwerke geändert, wüsste auch kein Programm dass dies - FrmWrk32.exe und co...