Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
FrmWrk32.exe und co

FrmWrk32.exe und co


Plagegeister aller Art und deren Bekämpfung: FrmWrk32.exe und co

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 3 von 3 12 3
Alt 25.05.2009, 19:54   #31
Henko
 
FrmWrk32.exe und co - Standard

FrmWrk32.exe und co


Hallo,

also ich hab zur Vereinfachung mal ein Screenshot gemacht von den 2 Schlüsseln. Ich habe selbst nichts an den Autostarts der Laufwerke geändert, wüsste auch kein Programm dass dies getan haben sollte. Hab nur versucht es selbst einzustellen für die USB aber ohne Erfolg.


Hier das Log von RootRepeal

Code:
ATTFilter
ROOTREPEAL (c) AD, 2007-2008
==================================================
Scan Time:			2009/05/25 20:41
Program Version:		Version 1.2.3.0
Windows Version:		Windows XP Media Center Edition SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF1C06000	Size: 98304	File Visible: No
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7A0D000	Size: 8192	File Visible: No
Status: -

Name: mbr.sys
Image Path: C:\DOKUME~1\****\LOKALE~1\Temp\mbr.sys
Address: 0xEEA31000	Size: 11776	File Visible: No
Status: -

Name: opolxh.sys
Image Path: opolxh.sys
Address: 0xF74D1000	Size: 61440	File Visible: No
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xED5F4000	Size: 45056	File Visible: No
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\etilqs_rVnCRbLngjyEuOrgRqlt
Status: Allocation size mismatch (API: 32768, Raw: 0)


Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\****@hotmail.com\SharingMetadata\****@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\99\91-{69C80F80-8212-4783-8365-1A18FEEF760A}-v99-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v91-Downloaded.frx
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch1\HTML\item_templ\coach\configuration\adpglobal\Common\adpicon.ico:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch1\HTML\item_templ\coach\configuration\adpglobal\Common\adpicon.ico:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Invisible to the Windows API!

Path: C:\Dokumente und EinsteSSDT
-------------------
#: 041	Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7ba976e

#: 053	Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7ba9764

#: 063	Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7ba9773

#: 065	Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7ba977d

#: 098	Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7ba9782

#: 122	Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7ba9750

#: 128	Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7ba9755

#: 193	Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7ba978c

#: 204	Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7ba9787

#: 247	Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7ba9778

#: 257	Function Name: NtTerminateProcess
Status: Hooked by "C:\Programme\SUPERAntiSpyware\SASKUTIL.sys" at address 0xf1da5df0
Naja hoffe, dass was gefunden wurde nun nicht doch noch von einem Rootkit oder ähnlichem ist. Hatte mich schon gefreut

Danke und Liebe Grüsse
Henko

Antwort
Seite 3 von 3 12 3

Themen zu FrmWrk32.exe und co
abgesicherten modus, antivirus, blockiert, c:\windows\temp, datenverkehr, desktop, download, dringend, einstellungen, fehler, firefox, frage, google, handel, hijack, hijackthis, hintergrund, internet, kein log, log, löschen, problem, prozesse, registry, software, system, taskmanager, updates, usb-stick, virus/trojaner, warnung, windows, windows\temp


« Antivir meldet TR/crypt.xpack.gen auf einem DVD-File!!! | Trojaner Renos.DZ - Kann nichteinmal HiJackThis ausführen »


Zum Thema FrmWrk32.exe und co - Hallo, also ich hab zur Vereinfachung mal ein Screenshot gemacht von den 2 Schlüsseln. Ich habe selbst nichts an den Autostarts der Laufwerke geändert, wüsste auch kein Programm dass dies - FrmWrk32.exe und co...
Archiv
Du betrachtest: FrmWrk32.exe und co auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131