virus in //?/globalroot/systemroot/

donny711 · 18.07.2009, 23:35

hallo community
ihr seid meine letzte hoffnung vor dem system neu aufsetzen...
ich habe mir einen virus eingefangen, welche ich erhoffe hier beheben zu können.
ich habe bereits diverse seiten auf google gesucht und mehreres schon versucht. darunter fällt
- spybot search & destroy
- ComboFix
- DrWeb CureIt
- GMER
- HiJackThis
- SmitFraudFix
- VundoFix
- CCleaner
- Malwarebytes' Anti-Maleware

leider hat nichts geholfen...
mein problem liegt darin, das ich mit irgendwie nen virus eingehandelt hab, der
1. sich bei der google-suche bemerkbar macht...siehe bild hier:

egal was ich bei google suche, ich werde auf sowas weitergeleitet...

2. bekomme ich ab und zu von leechget eine download-meldung, das ich eine datei download runterladen soll...siehte bild:

3. hab ich mir den security taskmanager geladen und habe dieses hier festgestellt:

sämtliche scan-vorgänge kann ich nur noch im abgesichertem modus von windows machen, weil sonst mein rechner sofort abbricht und neustartet!
habe mit dem programm GMER gescannt und diese logfile erstellt, wo auch unten in der globalroot diese DLL angezeigt wird:

Zitat:

GMER 1.0.15.14972 - http://w*w.gmer.net
Rootkit scan 2009-07-19 00:18:03
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

INT 0x62 ? 8736ABF8
INT 0x82 ? 8736ABF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8
INT 0x83 ? 87255BF8

Code 871091F0 ZwEnumerateKey
Code 871081F0 ZwFlushInstructionCache
Code 8716E266 ZwSaveKey
Code 8710A1EE ZwSaveKeyEx
Code 8710C1E6 IofCallDriver
Code 8710C536 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 8710C1EB
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 8710C53B
PAGE ntoskrnl.exe!ZwEnumerateKey 8056EF30 5 Bytes JMP 871091F4
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80576A6A 5 Bytes JMP 871081F4
PAGE ntoskrnl.exe!ZwSaveKey 8064C1EF 5 Bytes JMP 8716E26A
PAGE ntoskrnl.exe!ZwSaveKeyEx 8064C287 5 Bytes JMP 8710A1F2
? spnn.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F728562C 5 Bytes JMP 872551D8

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\winlogon.exe[264] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 007E000A
.text C:\WINDOWS\system32\services.exe[312] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0064000A
.text C:\WINDOWS\system32\savedump.exe[324] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0073000A
.text C:\WINDOWS\system32\lsass.exe[332] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0064000A
.text F:\Ad-Aware 2007\aawservice.exe[620] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 00BE000A
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 873D85E0
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7540C4C] spnn.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7540CA0] spnn.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7510040] spnn.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F751013C] spnn.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F75100BE] spnn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F75107FC] spnn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F75106D2] spnn.sys
IAT \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 872552D8
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7520048] spnn.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 873691F8
Device \Driver\usbuhci \Device\USBPDO-0 872451F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 873D61F8
Device \Driver\dmio \Device\DmControl\DmConfig 873D61F8
Device \Driver\dmio \Device\DmControl\DmPnP 873D61F8
Device \Driver\dmio \Device\DmControl\DmInfo 873D61F8
Device \Driver\usbuhci \Device\USBPDO-1 872451F8
Device \Driver\usbuhci \Device\USBPDO-2 872451F8
Device \Driver\usbuhci \Device\USBPDO-3 872451F8
Device \Driver\usbehci \Device\USBPDO-4 872371F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8736B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8736A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8736A1F8
Device \Driver\atapi \Device\Ide\IdePort1 8736A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8736A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 8736A1F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume5 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume6 8736B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume7 8736B1F8
Device \Driver\usbuhci \Device\USBFDO-0 872451F8
Device \Driver\usbuhci \Device\USBFDO-1 872451F8
Device \Driver\usbuhci \Device\USBFDO-2 872451F8
Device \Driver\PCI_PNP4896 \Device\0000006e spnn.sys
Device \Driver\usbuhci \Device\USBFDO-3 872451F8
Device \Driver\usbehci \Device\USBFDO-4 872371F8
Device \Driver\Ftdisk \Device\FtControl 8736B1F8
Device \Driver\amesvywo \Device\Scsi\amesvywo1 872561F8
Device \Driver\amesvywo \Device\Scsi\amesvywo1Port2Path0Target0Lun0 872561F8
Device \Driver\sptd \Device\2693573646 spnn.sys
Device \FileSystem\Cdfs \Cdfs 871E61F8
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [264] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [312] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\savedump.exe [324] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [332] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [564] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ F:\Ad-Aware 2007\aawservice.exe [620] 0x00BC0000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [856] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [932] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\WINDOWS\system32\wbem\wmiprvse.exe [1108] 0x10000000
Library \\?\globalroot\systemroot\system32\geyekrtfjpyxep.dll (*** hidden *** ) @ C:\Dokumente und Einstellungen\Administrator\Desktop\viren bekämpfung\sfrw10ph.exe [1308] 0x10000000

---- EOF - GMER 1.0.15 ----

is viel log...aber hoffe ihr könnt was daraus erkennen...bei fragen und neuen logs bin ich direkt zu stelle...
ich hoffe ihr könnt mir bei meinem problem weiterhelfen...
vielen dank für die mühe schonmal im vorraus...

lg
donny

virus in //?/globalroot/systemroot/

Log-Analyse und Auswertung: virus in //?/globalroot/systemroot/

virus in //?/globalroot/systemroot/

Ähnliche Themen: virus in //?/globalroot/systemroot/