| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 'TR/Redol.B' - hjgruixpeuxtce.dll wird ständig vom Antivir Guard gemeldetWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
13.07.2009, 21:59
| #1 |
 |  'TR/Redol.B' - hjgruixpeuxtce.dll wird ständig vom Antivir Guard gemeldet Hallo, seit einer halben Stunde meldet mir der Antivir Guard kontinuierlich folgenden Malware-Fund: In der Datei 'C:\Windows\System32\hjgruixpeuxtce.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Redol.B' [trojan] gefunden. Löschen oder ignorieren bringt nichts. Ich bekomme die Meldung meist dreimal hintereinander, etwa im 2-Minutentakt. Ich habe den "Trojan Remover" drüberlaufen lassen. Der fand und deaktivierte zwar eine auffällige Datei im oben genannten Verzeichnis (System32), brachte aber keine Verbesserung. Irgendwelche Tips? |
|
13.07.2009, 22:41
| #2 |
  | 'TR/Redol.B' - hjgruixpeuxtce.dll wird ständig vom Antivir Guard gemeldet Hallo und
__________________ ComboFix kann ihn beseitigen, allerdings hatten wir heute 2 Fälle, in dem nach Einsatz von ComboFix die Rechner nicht mehr wollten. Die zweite Möglichkeit ist Gmer, RSIT und Avenger. Deine Entscheidung. ciao, andreas
__________________ |
|
13.07.2009, 22:50
| #3 |
| | 'TR/Redol.B' - hjgruixpeuxtce.dll wird ständig vom Antivir Guard gemeldet Hallo,
__________________danke für die schnelle Antwort. Könntest du deine Lösungsvorschläge etwas erklären (also mir sagen, was ich mit diesen Programmen anstellen soll.) Ich habe von dieser Trojanerproblematik nämlich reichlich wenig (also eigentlich gar keine Ahnung). Offensichtlich brauchst du meinen Bericht von HijackThis nicht mehr, das Problem scheint ja eindeutig zu sein, aber trotzdem habe ich ihn noch einmal rangehängt. Meinst du es wäre ratsam, wenn ich jetzt irgendwie versuche mit ComboFix den Trojaner zu killen, oder ist das gefährlich weil ich wirklich keine Ahnung habe von dem Thema? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:43:15, on 13.07.2009 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16386) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\System32\rundll32.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Users\moi\AppData\Local\Google\Update\GoogleUpdate.exe C:\Windows\System32\rundll32.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN C:\Windows\system32\conime.exe C:\Windows\system32\Taskmgr.exe C:\Program Files\Opera\opera.exe C:\Users\moi\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=https%3A%2F%2Fmail.google.com%2Fmail%2F%3Fnsr%3D1%26ui%3Dhtml%26zy%3Dl<mpl=googlemail R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O1 - Hosts: ::1 localhost O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot O4 - HKLM\..\RunOnce: [Trojan Remover] "C:\Program Files\Trojan Remover\RMVTRJAN.EXE" /restart O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [Google Update] "C:\Users\moi\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing O13 - Gopher Prefix: O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EBDEF30A-421D-4F42-8EAF-A478399D7306}: NameServer = 192.168.2.2 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing) O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe -- End of file - 7798 bytes |
|
13.07.2009, 22:55
| #4 |
| | 'TR/Redol.B' - hjgruixpeuxtce.dll wird ständig vom Antivir Guard gemeldet Versuchen wir es erstmal mit Gmer (das auch gerne abstürzt). 1.) http://www.trojaner-board.de/74910-a...tion-tool.html 2.) http://www.trojaner-board.de/74908-a...t-scanner.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
14.07.2009, 20:45
| #5 |
| | 'TR/Redol.B' - hjgruixpeuxtce.dll wird ständig vom Antivir Guard gemeldet Hallo, danke für die Hilfe soweit. Unten befindet sich das ellenlange Ergebnisprotokoll von GMER. Wie geht es denn jetzt am besten weiter? Danke schon einmal im voraus an alle eifrigen Helfer GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-07-14 21:22:01 Windows 6.0.6000 ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateFile [0x8DCD8974] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateKey [0x8DCE3388] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateProcess [0x8DCE1166] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateProcessEx [0x8DCE1380] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateSection [0x8DCE4B9E] SSDT 9B27BEA4 ZwCreateThread SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteFile [0x8DCD8E54] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteKey [0x8DCE3C84] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDeleteValueKey [0x8DCE3A00] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwDuplicateObject [0x8DCE0F08] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwLoadKey [0x8DCE3E34] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwOpenFile [0x8DCD8CEC] SSDT 9B27BE90 ZwOpenProcess SSDT 9B27BE95 ZwOpenThread SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRenameKey [0x8DCE4810] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwReplaceKey [0x8DCE4246] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwRestoreKey [0x8DCE4650] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSecureConnectPort [0x8DCDB506] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0x8DCD9042] SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwSetValueKey [0x8DCE3706] SSDT 9B27BE9F ZwTerminateProcess SSDT 9B27BE9A ZwWriteVirtualMemory SSDT \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ZwCreateUserProcess [0x8DCE159E] INT 0x51 ? 864A6F00 INT 0x62 ? 864A6F00 INT 0x72 ? 864A6F00 INT 0x72 ? 864A6F00 INT 0x72 ? 864A6F00 INT 0x82 ? 85614BF8 INT 0x92 ? 85614BF8 INT 0xB3 ? 864A6F00 ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!_alloca_probe + 11C 81C5616C 4 Bytes JMP 4F4ED5F2 .text ntoskrnl.exe!_alloca_probe + 12C 81C5617C 4 Bytes [88, 33, CE, 8D] .text ntoskrnl.exe!_alloca_probe + 14C 81C5619C 8 Bytes [66, 11, CE, 8D, 80, 13, CE, ...] .text ntoskrnl.exe!_alloca_probe + 158 81C561A8 4 Bytes JMP 5011002E .text ntoskrnl.exe!_alloca_probe + 164 81C561B4 4 Bytes [A4, BE, 27, 9B] .text ... ? System32\Drivers\spxg.sys Das System kann den angegebenen Pfad nicht finden. ! .text USBPORT.SYS!DllUnload 8B6D7FEB 5 Bytes JMP 864A64E0 .text aqah8k2z.SYS 8C537000 22 Bytes [1A, B2, F9, 81, 04, B1, F9, ...] .text aqah8k2z.SYS 8C537017 145 Bytes [00, 99, 57, 49, 80, A4, 55, ...] .text aqah8k2z.SYS 8C5370A9 35 Bytes [67, C3, 81, 60, 5B, C3, 81, ...] .text aqah8k2z.SYS 8C5370CE 10 Bytes [00, 00, 00, 00, 00, 00, 66, ...] .text aqah8k2z.SYS 8C5370DA 12 Bytes [00, 00, 02, 00, 00, 00, 25, ...] .text ... ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 856132D8 IAT \SystemRoot\system32\drivers\pci.sys[ntoskrnl.exe!IoDetachDevice] [82B32C4C] \SystemRoot\System32\Drivers\spxg.sys IAT \SystemRoot\system32\drivers\pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [82B32CA0] \SystemRoot\System32\Drivers\spxg.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [82B026D2] \SystemRoot\System32\Drivers\spxg.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [82B02040] \SystemRoot\System32\Drivers\spxg.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [82B027FC] \SystemRoot\System32\Drivers\spxg.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [82B020BE] \SystemRoot\System32\Drivers\spxg.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [82B0213C] \SystemRoot\System32\Drivers\spxg.sys IAT \SystemRoot\system32\drivers\ataport.SYS[ntoskrnl.exe!DbgBreakPoint] 856142D8 IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 864A65E0 IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [82B12048] \SystemRoot\System32\Drivers\spxg.sys IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortNotification] 24488B66 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortWritePortUchar] E84D8966 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortWritePortUlong] 83E84D8B IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 896602C1 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 488BEA4D IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortGetScatterGatherList] [8DC80320] \SystemRoot\system32\DRIVERS\rdbss.sys (Redirected Drive Buffering SubSystem Driver/Microsoft Corporation) IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortReadPortUchar] 57500845 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortStallExecution] F0458D57 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortGetParentBusType] 00006850 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortRequestCallback] 458DB002 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 35FF50E8 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortGetUnCachedExtension] [8C55CFBC] \SystemRoot\System32\Drivers\aqah8k2z.SYS (ATAPI IDE Miniport Driver/Microsoft Corporation) IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortCompleteRequest] 57EC4D89 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 01F045C7 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] E8000000 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortMoveMemory] 0001E4E4 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortReadPortUshort] 4675C73B IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 55CFC8A1 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] [8D526A8C] \SystemRoot\system32\DRIVERS\AGRSM.sys (SoftModem Device Driver/Agere Systems) IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortInitialize] 00009A88 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortGetDeviceBase] 48C08300 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[ataport.SYS!AtaPortDeviceStateChange] 8D076A50 IAT \SystemRoot\System32\Drivers\aqah8k2z.SYS[NTOSKRNL.exe!KeTickCount] 840FF87D IAT \SystemRoot\system32\DRIVERS\storport.sys[ntoskrnl.exe!DbgBreakPoint] 864522D8 IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [8DCD94B6] \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [8DCD9590] \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [8DCD9416] \SystemRoot\system32\DRIVERS\vsdatant.sys (ZoneAlarm Firewalling Driver/Check Point Software Technologies LTD) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8561B1F8 AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) Device \Driver\volmgr \Device\VolMgrControl 856161F8 Device \Driver\usbuhci \Device\USBPDO-0 864491F8 Device \Driver\usbuhci \Device\USBPDO-1 864491F8 Device \Driver\usbehci \Device\USBPDO-2 864461F8 Device \Driver\usbuhci \Device\USBPDO-3 864491F8 Device \Driver\usbuhci \Device\USBPDO-4 864491F8 Device \Driver\usbuhci \Device\USBPDO-5 864491F8 Device \Driver\usbehci \Device\USBPDO-6 864461F8 Device \Driver\volmgr \Device\HarddiskVolume1 856161F8 Device \Driver\volmgr \Device\HarddiskVolume2 856161F8 Device \Driver\cdrom \Device\CdRom0 864511F8 Device \Driver\volmgr \Device\HarddiskVolume3 856161F8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8561A1F8 Device \Driver\atapi \Device\Ide\IdePort0 8561A1F8 Device \Driver\atapi \Device\Ide\IdePort1 8561A1F8 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-2 8561A1F8 Device \Driver\cdrom \Device\CdRom1 864511F8 Device \Driver\netbt \Device\NetBt_Wins_Export 8D3E71F8 Device \Driver\Smb \Device\NetbiosSmb 8D3E2500 Device \Driver\PCI_PNP6091 \Device\0000004c spxg.sys Device \Driver\sptd \Device\2125586111 spxg.sys Device \Driver\netbt \Device\NetBT_Tcpip_{EBDEF30A-421D-4F42-8EAF-A478399D7306} 8D3E71F8 Device \Driver\iScsiPrt \Device\RaidPort0 8646A1F8 Device \Driver\BTHUSB \Device\0000006a bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation) Device \Driver\usbuhci \Device\USBFDO-0 864491F8 Device \Driver\usbuhci \Device\USBFDO-1 864491F8 Device \Driver\usbehci \Device\USBFDO-2 864461F8 Device \Driver\usbuhci \Device\USBFDO-3 864491F8 Device \Driver\usbuhci \Device\USBFDO-4 864491F8 Device \Driver\usbuhci \Device\USBFDO-5 864491F8 Device \Driver\netbt \Device\NetBT_Tcpip_{D3419F58-E852-4EF7-91FF-8A0EE0D19495} 8D3E71F8 Device \Driver\usbehci \Device\USBFDO-6 864461F8 Device \Driver\aqah8k2z \Device\Scsi\aqah8k2z1 865A51F8 Device \Driver\aqah8k2z \Device\Scsi\aqah8k2z1Port3Path0Target0Lun0 865A51F8 Device \FileSystem\cdfs \Cdfs 9D9BC1F8 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0002783d0ca0 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0002783d0cab Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0002783d0ccf Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00197efa9e13 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00197efa9e13@0018aff3c74c 0xC3 0x1C 0x0B 0x4B ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFC 0x9C 0x8C 0x92 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF8 0xF8 0x7B 0xD6 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x2F 0xAE 0x3B 0x31 ... Reg HKLM\SYSTEM\ControlSet005\Services\BTHPORT\Parameters\Keys\0002783d0ca0 Reg HKLM\SYSTEM\ControlSet005\Services\BTHPORT\Parameters\Keys\0002783d0cab Reg HKLM\SYSTEM\ControlSet005\Services\BTHPORT\Parameters\Keys\0002783d0ccf Reg HKLM\SYSTEM\ControlSet005\Services\BTHPORT\Parameters\Keys\00197efa9e13 Reg HKLM\SYSTEM\ControlSet005\Services\BTHPORT\Parameters\Keys\00197efa9e13@0018aff3c74c 0xC3 0x1C 0x0B 0x4B ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFC 0x9C 0x8C 0x92 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF8 0xF8 0x7B 0xD6 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x2F 0xAE 0x3B 0x31 ... ---- EOF - GMER 1.0.15 ---- |
|
14.07.2009, 21:03
| #6 |
| | 'TR/Redol.B' - hjgruixpeuxtce.dll wird ständig vom Antivir Guard gemeldet Lade dir den hier und scanne damit => Avira AntiRootkit Tool Die Logs von RSIT fehlen noch. Gmer zeigt an, dass du den Zonealarmtrojaner hast => http://www.trojaner-board.de/73296-z...ight=zonealarm ciao, andreas
__________________ --> 'TR/Redol.B' - hjgruixpeuxtce.dll wird ständig vom Antivir Guard gemeldet |
Hybrid-Darstellung
