Infizierter Rechner - Hilfe erbeten!

Plopp · 26.07.2009, 11:00

Hallo, auf der Suche nach Informationen zur virtuellen Schädlingsbekämpfung entdeckte ich erneut dieses Forum.

Eine Bekannte bat mich vor kurzem um Hilfe mit ihrem Rechner. Auch wenn ich über gewisse Kenntnisse verfüge, so erscheint es mir doch angebracht weitere kompetente Hilfestellungen einzuholen um evtl. Problemen bei der Beseitigung dieser Schädlinge vorzubeugen.

Folgene Problematik: Eine, bzw. mehrere Schadprogramme blocken den Seitenaufbau der Browser und verhindern zudem eine Vielzahl von Programmen, wie Paint, Word, aber eben auch AntiVir. Zudem erscheint auf dem Desktop ein Popup, welches vor einer Verseuchung warnt und ein Schutzprogramm empfiehlt. Mit einem Klick auf dieses Popup erfolgt eine Weiterleitung zu einer Internetseite, wo das "nützliche Programm" heruntergeladen werden kann. Dies ist die einzige Seite, welche zu öffnen ist.
Zudem erreichen den Rechner vermehrt diverse nicht jugendfreie Werbeangebote, sowie Bilder.

Nachdem ich das System mit Highjackthis gescannt hatte, fielen mir einige Ungereimtheiten auf. Hier einmal die Log-File:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:55:51, on 25.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ESB.EXE
C:\WINDOWS\msddrv42.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\DOKUME~1\******~1\LOKALE~1\Temp\h.exe
C:\WINDOWS\system32\winupdate.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\mse.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.100/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winupdate.exe] C:\WINDOWS\system32\winupdate.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
O4 - HKCU\..\Run: [Advanced Virus Remover] C:\Program Files\AdvancedVirusRemover\PAVRM.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Utils\BabylonIEPI.dll/Translate.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 8241 bytes

Hab danach einige unklare Services gecheckt und hier mal markiert.
Stutzig macht mich vorallem der Advanced Virus Remover... Der war mir nich ganz koscher, sodass ich mal gegoogelt hatte und nen scheinbaren Volltreffer gelandet habe. Scheint das ominöse Schutzprogramm zu sein, welches aber scheinbar Virenmeldungen produziert um den Download von der Internetseite zu erwirken.
Der Winupdate Eintrag is mir nicht ganz klar, deswegen frage ich lieber hier nochmal nach und bitte um Überprüfung der Logfile.

Format C:\ sollte hier nur die letzte Variante sein, aber falls das System soweit kompromittiert ist, das eine Wiederaufsetzung die einzigste Lösung ist, dann ist dies wohl auch unumgehbar. Wie also entferne ich den/diese Miesepeter? Mit fixen allein isses ja sicher nich getan.

Any experts out there? Thx for reading!

kira · 26.07.2009, 13:39

Hallo und Herzlich Willkommen!

Versuchen können wir ja dein System zu `retten`, jedoch die absolut sicherste Methode wäre dein System komplett neu zu installieren. Das ist IMMER die einzige Möglichkeit zum Säubern eines befallenen Systems -->Backdoor/Wikipedia
Es liegt in Deiner Hand, ob Du versuchen möchtest oder...?

Plopp · 26.07.2009, 14:02

Ich persönlich bevorzuge immer eine absolute Plättung bei jeglicher Infizierung (abgesehen von heuristischen "Pseudo-Treffern")

. Ist ja heute nicht mehr mit großem Aufwand verbunden, wenn man regelmäßige Datenbackups auslagert.

Da es aber der Rechner einer Bekannten ist, würde ich gerne das System zum Reinigen eines solchen Systems in Erfahrung bringen. Man lernt ja nie aus! Sollte das nicht von Erfolg gekrönt sein, ist eine Formatierung ja immernoch drin. Bis zur Klärung liegt der Rechner vorerst sowieso auf Eis.

Was wird denn neben HijackThis noch benötigt um Infizierungen zu Leibe zu rücken?

kira · 26.07.2009, 18:34

hi

na dann legen wir erst richtig los:

1.
Falls existiert, deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`

Code:

ATTFilter

AskBar,Ask Toolbar o. ähnliches

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):

Zitat:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll

3.
Lade eines dieser Programme runter: WinsockFix
Lass das ausgewählte Programm auf deinem Rechner laufen, wenn es Probleme mit der Internet-Verbindung gibt.
Danach einfach den Rechner neu starten. Solltest du dich für LSP entscheiden, bitte das Programm laufen lassen, dann ein Häkchen in "I know what I'm doing" setzen, sonst nichts machen, aber auf den Finished Button klicken.

4.
Achtung!:
- Wenn GMER nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne gmer.exe um in *.com und versuche es erneut. Also wähle eine beliebige Dateiname, die Endung soll *.com sein!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
gleiche gilt hier auch:
- Wenn RootRepeal nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne die Installationsdatei um in *.com und versuche es erneut. Also wähle eine beliebige Dateiname, die Endung soll *.com sein!
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

6.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

7.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

8.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

gruß
Coverflow

Plopp · 27.07.2009, 01:31

Danke für die schnelle Hilfestellung!

1. Sucessfully completed
2. Einträge waren nach der Deinstallation bereits verschwunden
3. Sucessfully completed
4. Nach langer Zeit auch fertig, hier die Log:

Code:

ATTFilter

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-27 01:26:15
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            F7D190CE                                                                                                                             ZwCreateKey
SSDT            F7D190C4                                                                                                                             ZwCreateThread
SSDT            F7D190D3                                                                                                                             ZwDeleteKey
SSDT            F7D190DD                                                                                                                             ZwDeleteValueKey
SSDT            spqz.sys                                                                                                                             ZwEnumerateKey [0xF7468CA2]
SSDT            spqz.sys                                                                                                                             ZwEnumerateValueKey [0xF7469030]
SSDT            F7D190E2                                                                                                                             ZwLoadKey
SSDT            spqz.sys                                                                                                                             ZwOpenKey [0xF744A0C0]
SSDT            F7D190B0                                                                                                                             ZwOpenProcess
SSDT            F7D190B5                                                                                                                             ZwOpenThread
SSDT            spqz.sys                                                                                                                             ZwQueryKey [0xF7469108]
SSDT            spqz.sys                                                                                                                             ZwQueryValueKey [0xF7468F88]
SSDT            F7D190EC                                                                                                                             ZwReplaceKey
SSDT            F7D190E7                                                                                                                             ZwRestoreKey
SSDT            F7D190D8                                                                                                                             ZwSetValueKey
SSDT            F7D190BF                                                                                                                             ZwTerminateProcess

INT 0x62        ?                                                                                                                                    8637FBF8
INT 0x63        ?                                                                                                                                    8637EBF8
INT 0x63        ?                                                                                                                                    8637EBF8
INT 0x63        ?                                                                                                                                    861DDBF8
INT 0x63        ?                                                                                                                                    861DDBF8
INT 0x63        ?                                                                                                                                    8637EBF8
INT 0x74        ?                                                                                                                                    861DDBF8
INT 0x82        ?                                                                                                                                    8637FBF8
INT 0x94        ?                                                                                                                                    861DDBF8
INT 0xB1        ?                                                                                                                                    86384BF8

---- Kernel code sections - GMER 1.0.15 ----

?               spqz.sys                                                                                                                             Das System kann die angegebene Datei nicht finden. !
.text           USBPORT.SYS!DllUnload                                                                                                                F70B162C 5 Bytes  JMP 861DD1D8 
.text           afxqid9m.SYS                                                                                                                         F700D386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text           afxqid9m.SYS                                                                                                                         F700D3AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text           afxqid9m.SYS                                                                                                                         F700D3C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text           afxqid9m.SYS                                                                                                                         F700D3C9 1 Byte  [2E]
.text           afxqid9m.SYS                                                                                                                         F700D3C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
.text           ...                                                                                                                                  
?               C:\WINDOWS\system32\Drivers\mchInjDrv.sys

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[196] kernel32.dll!LoadLibraryExW + C4                              7C801BB5 4 Bytes  CALL 01000001 
.text           C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] kernel32.dll!LoadLibraryExW + C4                                                       7C801BB5 4 Bytes  CALL 00D00001 
.text           C:\WINDOWS\system32\winlogon.exe[500] kernel32.dll!LoadLibraryExW + C4                                                               7C801BB5 4 Bytes  CALL 00B90001 
.text           C:\WINDOWS\system32\services.exe[552] kernel32.dll!LoadLibraryExW + C4                                                               7C801BB5 4 Bytes  CALL 00070001 
.text           C:\WINDOWS\system32\lsass.exe[564] kernel32.dll!LoadLibraryExW + C4                                                                  7C801BB5 4 Bytes  CALL 00D00001 
.text           ...                                                                                                                                  
.text           C:\Dokumente und Einstellungen\*****\Desktop\blubb\xje9uf4i.exe[1132] kernel32.dll!FreeLibrary + 15                            7C80ABF3 4 Bytes  CALL 7170003D 
.text           C:\WINDOWS\system32\spoolsv.exe[1268] kernel32.dll!LoadLibraryExW + C4                                                               7C801BB5 4 Bytes  CALL 01340001 
.text           C:\WINDOWS\Explorer.EXE[1388] kernel32.dll!LoadLibraryExW + C4                                                                       7C801BB5 4 Bytes  CALL 01BB0001 
.text           C:\WINDOWS\system32\VTTimer.exe[1680] kernel32.dll!LoadLibraryExW + C4                                                               7C801BB5 4 Bytes  CALL 00E60001 
.text           C:\WINDOWS\system32\S3trayp.exe[1688] kernel32.dll!LoadLibraryExW + C4                                                               7C801BB5 4 Bytes  CALL 00D10001 
.text           C:\WINDOWS\msddrv42.exe[1704] kernel32.dll!LoadLibraryExW + C4                                                                       7C801BB5 4 Bytes  CALL 08360001 
.text           ...                                                                                                                                  
.text           C:\Programme\Spyware Doctor\pctsTray.exe[1828] kernel32.dll!CreateThread + 1A                                                        7C810651 4 Bytes  CALL 0044AB89 C:\Programme\Spyware Doctor\pctsTray.exe (PC Tools Tray Application/PC Tools)
.text           C:\Programme\Avira\AntiVir Desktop\avguard.exe[1860] kernel32.dll!LoadLibraryExW + C4                                                7C801BB5 4 Bytes  CALL 01930001 
.text           C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe[1968] kernel32.dll!LoadLibraryExW + C4                           7C801BB5 4 Bytes  CALL 01470001 
.text           C:\Programme\ICQ6.5\ICQ.exe[1988] kernel32.dll!LoadLibraryExW + C4                                                                   7C801BB5 4 Bytes  CALL 08BF0001 
.text           C:\WINDOWS\mse.exe[2300] kernel32.dll!LoadLibraryExW + C4                                                                            7C801BB5 4 Bytes  CALL 02CE0001 
.text           C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe[2460] kernel32.dll!LoadLibraryExW + C4  7C801BB5 4 Bytes  CALL 007C0001 
.text           ...                                                                                                                                  

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                                   [F744B040] spqz.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                                           [F744B13C] spqz.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                                  [F744B0BE] spqz.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                                          [F744B7FC] spqz.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                                  [F744B6D2] spqz.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                                   [F745B048] spqz.sys
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!KfAcquireSpinLock]                                                                 4B8BDF8B
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!READ_PORT_UCHAR]                                                                   8D3F0304
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!KeGetCurrentIrql]                                                                  CB033043
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!KfRaiseIrql]                                                                       0673C13B
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!KfLowerIrql]                                                                       C13B0003
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!HalGetInterruptVector]                                                             8366FA72
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!HalTranslateBusAddress]                                                            75000E7B
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!KeStallExecutionProcessor]                                                         0B7D80E3
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!KfReleaseSpinLock]                                                                 307B8D00
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                                           00AA840F
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!READ_PORT_USHORT]                                                                  83660000
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                          6A000E7A
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                                  C6647400
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[WMILIB.SYS!WmiSystemControl]                                                               4F8B0200
IAT             \SystemRoot\System32\Drivers\afxqid9m.SYS[WMILIB.SYS!WmiCompleteRequest]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA]                           [0040C157] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW]                           [0040C1C4] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow]                                [0040C231] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowPos]                            [0040C2CB] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!ShowWindow]                              [0040C231] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!CreateWindowExA]                         [0040C157] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA]                         [0040C157] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW]                         [0040C1C4] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos]                            [0040C2CB] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow]                              [0040C231] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW]                         [0040C1C4] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow]                              [0040C231] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos]                            [0040C2CB] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!SetWindowPos]                            [0040C2CB] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe[392] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!ShowWindow]                              [0040C231] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA]                                                [004178C0] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW]                                                [00417936] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!DialogBoxParamW]                                                [00417AC0] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!MessageBoxW]                                                    [00417ACC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow]                                                     [004179AC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowPos]                                                 [00417A56] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!ShowWindow]                                                   [004179AC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!CreateWindowExA]                                              [004178C0] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamA]                                              [00417AC0] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamW]                                              [00417AC0] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA]                                              [004178C0] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW]                                              [00417936] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxA]                                                  [00417ACC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxW]                                                  [00417ACC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectA]                                          [00417ABA] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectW]                                          [00417ABA] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos]                                                 [00417A56] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow]                                                   [004179AC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\CRYPT32.dll [USER32.dll!MessageBoxW]                                                  [00417ACC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\CRYPT32.dll [USER32.dll!MessageBoxA]                                                  [00417ACC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW]                                              [00417936] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!DialogBoxParamW]                                              [00417AC0] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow]                                                   [004179AC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos]                                                 [00417A56] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxW]                                                  [00417ACC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxA]                                                  [00417ACC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxIndirectW]                                          [00417ABA] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!SetWindowPos]                                                 [00417A56] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!ShowWindow]                                                   [004179AC] C:\WINDOWS\mse.exe
IAT             C:\WINDOWS\mse.exe[2300] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!DialogBoxParamW]

Plopp · 27.07.2009, 01:35

Code:

ATTFilter

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                               8637C1F8
Device          \Driver\sptd \Device\4208418210                                                                                                      spqz.sys

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\NetBT \Device\NetBT_Tcpip_{ABEA59BA-B888-414F-AE04-93F1F3C9F035}                                                             85A841F8
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                                     861871F8
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                                            863801F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                                              863801F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                                 863801F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                                863801F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                                     861871F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                                     861871F8
Device          \Driver\PCI_PNP4460 \Device\00000046                                                                                                 spqz.sys
Device          \Driver\usbehci \Device\USBPDO-3                                                                                                     861681F8
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                                               863811F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                                               863811F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                                         8620C1F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                                         8620C1F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                                   8637F1F8
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                                   8637F1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-5                                                                                          8637F1F8
Device          \Driver\ViPrt \Device\Ide\ViaIdePort0                                                                                                8637E1F8
Device          \Driver\ViPrt \Device\Ide\ViaIdePort1                                                                                                8637E1F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                                              85A841F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{8119C748-2D47-416D-9FF6-7604704F5819}                                                             85A841F8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                                     85A841F8
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                                     861871F8
Device          \Driver\ViPrt \Device\0000006d                                                                                                       8637E1F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                                     861871F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                                    86290500
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                                     861871F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                                          86290500
Device          \Driver\usbehci \Device\USBFDO-3                                                                                                     861681F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                                     863811F8
Device          \Driver\afxqid9m \Device\Scsi\afxqid9m1                                                                                              860F81F8
Device          \Driver\afxqid9m \Device\Scsi\afxqid9m1Port4Path0Target0Lun0                                                                         860F81F8
Device          \FileSystem\Cdfs \Cdfs                                                                                                               861C51F8

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                         
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                      C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                      0
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                   0x98 0x97 0x49 0xAE ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                          0xCE 0xD6 0x20 0xFA ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                          
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                    0x6B 0x5A 0x31 0x4A ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                                   771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                                   285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                                   1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                  C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                               0x98 0x97 0x49 0xAE ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                         0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                      0xCE 0xD6 0x20 0xFA ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                0x6B 0x5A 0x31 0x4A ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                         
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                      C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                   0x98 0x97 0x49 0xAE ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                          0xCE 0xD6 0x20 0xFA ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                          
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                    0x6B 0x5A 0x31 0x4A ...
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@Taskman                                                                   C:\RECYCLER\S-1-5-21-3125410652-7018221153-080628045-9723\mwau.exe

---- EOF - GMER 1.0.15 ----

Die restlichen Punkte arbeite ich dann noch nach ner kurzen Human-Recovery-Phase ab und poste die Ergebnisse morgen (auf die Uhr guck... ähm, heute)

Plopp · 27.07.2009, 12:06

Hello again, nun sind die letzten Schritte auch mehr oder weniger abgearbeitet. Erläuterung folgt.

5. RootRepeal auch erfolgreich durchgeführt mit drivers und stealth objects. Zu hidden services gabs keine log, da PC anzeigt, da keine vorhanden sind.

Drivers:

Code:

ATTFilter

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:			2009/07/27 12:26
Program Version:		Version 1.3.2.0
Windows Version:		Windows XP SP2
==================================================

Drivers
-------------------
Name: ACPI.sys
Image Path: ACPI.sys
Address: 0xF7402000	Size: 188800	File Visible: -	Signed: -
Status: -

Name: ACPI_HAL
Image Path: \Driver\ACPI_HAL
Address: 0x804D7000	Size: 2146304	File Visible: -	Signed: -
Status: -

Name: ACPIEC.sys
Image Path: ACPIEC.sys
Address: 0xF7A8E000	Size: 12160	File Visible: -	Signed: -
Status: -

Name: afd.sys
Image Path: C:\WINDOWS\System32\drivers\afd.sys
Address: 0xF576F000	Size: 138368	File Visible: -	Signed: -
Status: -

Name: akr91q1e.SYS
Image Path: C:\WINDOWS\System32\Drivers\akr91q1e.SYS
Address: 0xF700D000	Size: 225280	File Visible: -	Signed: -
Status: -

Name: ar5211.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ar5211.sys
Address: 0xF70DF000	Size: 470048	File Visible: -	Signed: -
Status: -

Name: atapi.sys
Image Path: atapi.sys
Address: 0xF7394000	Size: 98304	File Visible: -	Signed: -
Status: -

Name: atapi.sys
Image Path: atapi.sys
Address: 0x00000000	Size: 0	File Visible: -	Signed: -
Status: -

Name: ATMFD.DLL
Image Path: C:\WINDOWS\System32\ATMFD.DLL
Address: 0xBFFA0000	Size: 286720	File Visible: -	Signed: -
Status: -

Name: audstub.sys
Image Path: C:\WINDOWS\system32\DRIVERS\audstub.sys
Address: 0xF7D31000	Size: 3072	File Visible: -	Signed: -
Status: -

Name: avipbb.sys
Image Path: C:\WINDOWS\system32\DRIVERS\avipbb.sys
Address: 0xF56B9000	Size: 114688	File Visible: -	Signed: -
Status: -

Name: BATTC.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\BATTC.SYS
Address: 0xF7A8A000	Size: 16384	File Visible: -	Signed: -
Status: -

Name: Beep.SYS
Image Path: C:\WINDOWS\System32\Drivers\Beep.SYS
Address: 0xF7BA6000	Size: 4224	File Visible: -	Signed: -
Status: -

Name: BOOTVID.dll
Image Path: C:\WINDOWS\system32\BOOTVID.dll
Address: 0xF7A82000	Size: 12288	File Visible: -	Signed: -
Status: -

Name: Cdfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Address: 0xF77F2000	Size: 63744	File Visible: -	Signed: -
Status: -

Name: cdrom.sys
Image Path: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Address: 0xF7852000	Size: 49536	File Visible: -	Signed: -
Status: -

Name: CLASSPNP.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Address: 0xF76D2000	Size: 53248	File Visible: -	Signed: -
Status: -

Name: CmBatt.sys
Image Path: C:\WINDOWS\system32\DRIVERS\CmBatt.sys
Address: 0xF7B66000	Size: 14080	File Visible: -	Signed: -
Status: -

Name: compbatt.sys
Image Path: compbatt.sys
Address: 0xF7A86000	Size: 9344	File Visible: -	Signed: -
Status: -

Name: disk.sys
Image Path: disk.sys
Address: 0xF76C2000	Size: 36352	File Visible: -	Signed: -
Status: -

Name: dmio.sys
Image Path: dmio.sys
Address: 0xF73AC000	Size: 154112	File Visible: -	Signed: -
Status: -

Name: dmload.sys
Image Path: dmload.sys
Address: 0xF7B78000	Size: 5888	File Visible: -	Signed: -
Status: -

Name: drmk.sys
Image Path: C:\WINDOWS\system32\drivers\drmk.sys
Address: 0xF7772000	Size: 61440	File Visible: -	Signed: -
Status: -

Name: dump_ViPrt.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_ViPrt.sys
Address: 0xF7802000	Size: 65536	File Visible: No	Signed: -
Status: -

Name: Dxapi.sys
Image Path: C:\WINDOWS\System32\drivers\Dxapi.sys
Address: 0xF5E98000	Size: 12288	File Visible: -	Signed: -
Status: -

Name: dxg.sys
Image Path: C:\WINDOWS\System32\drivers\dxg.sys
Address: 0xBF000000	Size: 73728	File Visible: -	Signed: -
Status: -

Name: dxgthk.sys
Image Path: C:\WINDOWS\System32\drivers\dxgthk.sys
Address: 0xF7D92000	Size: 4096	File Visible: -	Signed: -
Status: -

Name: fetnd5bv.sys
Image Path: C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys
Address: 0xF7882000	Size: 43008	File Visible: -	Signed: -
Status: -

Name: Fips.SYS
Image Path: C:\WINDOWS\System32\Drivers\Fips.SYS
Address: 0xF77C2000	Size: 35072	File Visible: -	Signed: -
Status: -

Name: fltMgr.sys
Image Path: fltMgr.sys
Address: 0xF7375000	Size: 124800	File Visible: -	Signed: -
Status: -

Name: Fs_Rec.SYS
Image Path: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Address: 0xF7BA4000	Size: 7936	File Visible: -	Signed: -
Status: -

Name: ftdisk.sys
Image Path: ftdisk.sys
Address: 0xF73D2000	Size: 126336	File Visible: -	Signed: -
Status: -

Name: hal.dll
Image Path: C:\WINDOWS\system32\hal.dll
Address: 0x806E3000	Size: 134400	File Visible: -	Signed: -
Status: -

Name: HDAudBus.sys
Image Path: C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
Address: 0xF7044000	Size: 151552	File Visible: -	Signed: -
Status: -

Name: HIDCLASS.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS
Address: 0xF77E2000	Size: 36864	File Visible: -	Signed: -
Status: -

Name: HIDPARSE.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS
Address: 0xF796A000	Size: 28672	File Visible: -	Signed: -
Status: -

Name: hidusb.sys
Image Path: C:\WINDOWS\system32\DRIVERS\hidusb.sys
Address: 0xF7207000	Size: 9600	File Visible: -	Signed: -
Status: -

Name: HSF_CNXT.sys
Image Path: C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
Address: 0xF588D000	Size: 726400	File Visible: -	Signed: -
Status: -

Name: HSF_DPV.sys
Image Path: C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys
Address: 0xF593F000	Size: 995712	File Visible: -	Signed: -
Status: -

Name: HSFHWAZL.sys
Image Path: C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys
Address: 0xF5A33000	Size: 206976	File Visible: -	Signed: -
Status: -

Name: HTTP.sys
Image Path: C:\WINDOWS\System32\Drivers\HTTP.sys
Address: 0xEFAE8000	Size: 262784	File Visible: -	Signed: -
Status: -

Name: i8042prt.sys
Image Path: C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Address: 0xF7872000	Size: 53248	File Visible: -	Signed: -
Status: -

Name: imapi.sys
Image Path: C:\WINDOWS\system32\DRIVERS\imapi.sys
Address: 0xF7842000	Size: 41856	File Visible: -	Signed: -
Status: -

Name: intelppm.sys
Image Path: C:\WINDOWS\system32\DRIVERS\intelppm.sys
Address: 0xF7832000	Size: 40192	File Visible: -	Signed: -
Status: -

Name: ipnat.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ipnat.sys
Address: 0xF5791000	Size: 134912	File Visible: -	Signed: -
Status: -

Name: ipsec.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ipsec.sys
Address: 0xF5832000	Size: 74752	File Visible: -	Signed: -
Status: -

Name: isapnp.sys
Image Path: isapnp.sys
Address: 0xF7672000	Size: 36224	File Visible: -	Signed: -
Status: -

Name: kbdclass.sys
Image Path: C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Address: 0xF79DA000	Size: 25216	File Visible: -	Signed: -
Status: -

Name: KDCOM.DLL
Image Path: C:\WINDOWS\system32\KDCOM.DLL
Address: 0xF7B72000	Size: 8192	File Visible: -	Signed: -
Status: -

Name: kmixer.sys
Image Path: C:\WINDOWS\system32\drivers\kmixer.sys
Address: 0xEF5BE000	Size: 171776	File Visible: -	Signed: -
Status: -

Name: ks.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ks.sys
Address: 0xF70BC000	Size: 143360	File Visible: -	Signed: -
Status: -

Name: KSecDD.sys
Image Path: KSecDD.sys
Address: 0xF734C000	Size: 92032	File Visible: -	Signed: -
Status: -

Name: mchInjDrv.sys
Image Path: C:\WINDOWS\system32\Drivers\mchInjDrv.sys
Address: 0xF7DBB000	Size: 2560	File Visible: No	Signed: -
Status: -

Name: mdmxsdk.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
Address: 0xF0048000	Size: 12544	File Visible: -	Signed: -
Status: -

Name: mnmdd.SYS
Image Path: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Address: 0xF7BA8000	Size: 4224	File Visible: -	Signed: -
Status: -

Name: Modem.SYS
Image Path: C:\WINDOWS\System32\Drivers\Modem.SYS
Address: 0xF7A72000	Size: 30336	File Visible: -	Signed: -
Status: -

Name: mouclass.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mouclass.sys
Address: 0xF79D2000	Size: 23552	File Visible: -	Signed: -
Status: -

Name: mouhid.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mouhid.sys
Address: 0xF5EB4000	Size: 12288	File Visible: -	Signed: -
Status: -

Name: MountMgr.sys
Image Path: MountMgr.sys
Address: 0xF7682000	Size: 42240	File Visible: -	Signed: -
Status: -

Name: mrxdav.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mrxdav.sys
Address: 0xF0054000	Size: 181248	File Visible: -	Signed: -
Status: -

Name: mrxsmb.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Address: 0xF56D5000	Size: 453120	File Visible: -	Signed: -
Status: -

Name: Msfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Msfs.SYS
Address: 0xF7942000	Size: 19072	File Visible: -	Signed: -
Status: -

Name: msgpc.sys
Image Path: C:\WINDOWS\system32\DRIVERS\msgpc.sys
Address: 0xF78C2000	Size: 35072	File Visible: -	Signed: -
Status: -

Name: mssmbios.sys
Image Path: C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Address: 0xF722F000	Size: 15488	File Visible: -	Signed: -
Status: -

Name: Mup.sys
Image Path: Mup.sys
Address: 0xF7277000	Size: 107904	File Visible: -	Signed: -
Status: -

Name: NDIS.sys
Image Path: NDIS.sys
Address: 0xF7292000	Size: 182912	File Visible: -	Signed: -
Status: -

Name: ndistapi.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Address: 0xF724B000	Size: 9600	File Visible: -	Signed: -
Status: -

Name: ndisuio.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Address: 0xF0511000	Size: 12928	File Visible: -	Signed: -
Status: -

Name: ndiswan.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Address: 0xF6FF6000	Size: 91776	File Visible: -	Signed: -
Status: -

Name: NDProxy.SYS
Image Path: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Address: 0xF78E2000	Size: 38016	File Visible: -	Signed: -
Status: -

Name: netbios.sys
Image Path: C:\WINDOWS\system32\DRIVERS\netbios.sys
Address: 0xF77B2000	Size: 34560	File Visible: -	Signed: -
Status: -

Name: netbt.sys
Image Path: C:\WINDOWS\system32\DRIVERS\netbt.sys
Address: 0xF57B2000	Size: 162816	File Visible: -	Signed: -
Status: -

Name: Npfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\Npfs.SYS
Address: 0xF794A000	Size: 30848	File Visible: -	Signed: -
Status: -

Name: Ntfs.sys
Image Path: Ntfs.sys
Address: 0xF72BF000	Size: 574464	File Visible: -	Signed: -
Status: -

Name: ntkrnlpa.exe
Image Path: C:\WINDOWS\system32\ntkrnlpa.exe
Address: 0x804D7000	Size: 2146304	File Visible: -	Signed: -
Status: -

Name: Null.SYS
Image Path: C:\WINDOWS\System32\Drivers\Null.SYS
Address: 0xF7C9F000	Size: 2944	File Visible: -	Signed: -
Status: -

Name: OPRGHDLR.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
Address: 0xF7C3B000	Size: 4096	File Visible: -	Signed: -
Status: -

Name: PartMgr.sys
Image Path: PartMgr.sys
Address: 0xF78FA000	Size: 18688	File Visible: -	Signed: -
Status: -

Name: pci.sys
Image Path: pci.sys
Address: 0xF73F1000	Size: 68224	File Visible: -	Signed: -
Status: -

Name: PCI_PNP3532
Image Path: \Driver\PCI_PNP3532
Address: 0x00000000	Size: 0	File Visible: No	Signed: -
Status: -

Name: PCIIDEX.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Address: 0xF78F2000	Size: 28672	File Visible: -	Signed: -
Status: -

Name: PnpManager
Image Path: \Driver\PnpManager
Address: 0x804D7000	Size: 2146304	File Visible: -	Signed: -
Status: -

Name: portcls.sys
Image Path: C:\WINDOWS\system32\drivers\portcls.sys
Address: 0xF5A66000	Size: 139264	File Visible: -	Signed: -
Status: -

Name: psched.sys
Image Path: C:\WINDOWS\system32\DRIVERS\psched.sys
Address: 0xF6FE5000	Size: 69120	File Visible: -	Signed: -
Status: -

Name: ptilink.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ptilink.sys
Address: 0xF7A4A000	Size: 17792	File Visible: -	Signed: -
Status: -

Name: rasacd.sys
Image Path: C:\WINDOWS\system32\DRIVERS\rasacd.sys
Address: 0xF724F000	Size: 8832	File Visible: -	Signed: -
Status: -

Name: rasl2tp.sys
Image Path: C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Address: 0xF7892000	Size: 51328	File Visible: -	Signed: -
Status: -

Name: raspppoe.sys
Image Path: C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Address: 0xF78A2000	Size: 41472	File Visible: -	Signed: -
Status: -

Name: raspptp.sys
Image Path: C:\WINDOWS\system32\DRIVERS\raspptp.sys
Address: 0xF78B2000	Size: 48384	File Visible: -	Signed: -
Status: -

Name: raspti.sys
Image Path: C:\WINDOWS\system32\DRIVERS\raspti.sys
Address: 0xF7A52000	Size: 16512	File Visible: -	Signed: -
Status: -

Name: RAW
Image Path: \FileSystem\RAW
Address: 0x804D7000	Size: 2146304	File Visible: -	Signed: -
Status: -

Name: rdbss.sys
Image Path: C:\WINDOWS\system32\DRIVERS\rdbss.sys
Address: 0xF5744000	Size: 174592	File Visible: -	Signed: -
Status: -

Name: RDPCDD.sys
Image Path: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Address: 0xF7BAA000	Size: 4224	File Visible: -	Signed: -
Status: -

Name: rdpdr.sys
Image Path: C:\WINDOWS\system32\DRIVERS\rdpdr.sys
Address: 0xF6FB4000	Size: 196864	File Visible: -	Signed: -
Status: -

Name: redbook.sys
Image Path: C:\WINDOWS\system32\DRIVERS\redbook.sys
Address: 0xF7862000	Size: 57600	File Visible: -	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEF838000	Size: 49152	File Visible: No	Signed: -
Status: -

Name: RtkHDAud.sys
Image Path: C:\WINDOWS\system32\drivers\RtkHDAud.sys
Address: 0xF5A88000	Size: 4225920	File Visible: -	Signed: -
Status: -

Name: s3gcil_inv.dll
Image Path: C:\WINDOWS\System32\s3gcil_inv.dll
Address: 0xBF0F2000	Size: 3289088	File Visible: -	Signed: -
Status: -

Name: S3gIGP.dll
Image Path: C:\WINDOWS\System32\S3gIGP.dll
Address: 0xBF012000	Size: 917504	File Visible: -	Signed: -
Status: -

Name: S3gIGPm.sys
Image Path: C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys
Address: 0xF7166000	Size: 659456	File Visible: -	Signed: -
Status: -

Name: SCSIPORT.SYS
Image Path: C:\WINDOWS\System32\Drivers\SCSIPORT.SYS
Address: 0xF7431000	Size: 98304	File Visible: -	Signed: -
Status: -

Name: spfs.sys
Image Path: spfs.sys
Address: 0xF7449000	Size: 1048576	File Visible: No	Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000	Size: 0	File Visible: No	Signed: -
Status: -

Name: sr.sys
Image Path: sr.sys
Address: 0xF7363000	Size: 73472	File Visible: -	Signed: -
Status: -

Name: srv.sys
Image Path: C:\WINDOWS\system32\DRIVERS\srv.sys
Address: 0xEFD81000	Size: 336256	File Visible: -	Signed: -
Status: -

Name: ssmdrv.sys
Image Path: C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
Address: 0xF7952000	Size: 23040	File Visible: -	Signed: -
Status: -

Name: swenum.sys
Image Path: C:\WINDOWS\system32\DRIVERS\swenum.sys
Address: 0xF7B96000	Size: 4352	File Visible: -	Signed: -
Status: -

Name: SynTP.sys
Image Path: C:\WINDOWS\system32\DRIVERS\SynTP.sys
Address: 0xF7069000	Size: 193056	File Visible: -	Signed: -
Status: -

Name: sysaudio.sys
Image Path: C:\WINDOWS\system32\drivers\sysaudio.sys
Address: 0xF7732000	Size: 60800	File Visible: -	Signed: -
Status: -

Name: tcpip.sys
Image Path: C:\WINDOWS\system32\DRIVERS\tcpip.sys
Address: 0xF57DA000	Size: 360320	File Visible: -	Signed: -
Status: -

Name: TDI.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\TDI.SYS
Address: 0xF7A42000	Size: 20480	File Visible: -	Signed: -
Status: -

Name: termdd.sys
Image Path: C:\WINDOWS\system32\DRIVERS\termdd.sys
Address: 0xF78D2000	Size: 40704	File Visible: -	Signed: -
Status: -

Name: uagp35.sys
Image Path: uagp35.sys
Address: 0xF76E2000	Size: 44672	File Visible: -	Signed: -
Status: -

Name: update.sys
Image Path: C:\WINDOWS\system32\DRIVERS\update.sys
Address: 0xF6F80000	Size: 209408	File Visible: -	Signed: -
Status: -

Name: USBD.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\USBD.SYS
Address: 0xF7B90000	Size: 8192	File Visible: -	Signed: -
Status: -

Name: usbehci.sys
Image Path: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Address: 0xF79CA000	Size: 26624	File Visible: -	Signed: -
Status: -

Name: usbhub.sys
Image Path: C:\WINDOWS\system32\DRIVERS\usbhub.sys
Address: 0xF7762000	Size: 57600	File Visible: -	Signed: -
Status: -

Name: USBPORT.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\USBPORT.SYS
Address: 0xF7099000	Size: 143360	File Visible: -	Signed: -
Status: -

Name: usbuhci.sys
Image Path: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Address: 0xF79C2000	Size: 20480	File Visible: -	Signed: -
Status: -

Name: vga.sys
Image Path: C:\WINDOWS\System32\drivers\vga.sys
Address: 0xF793A000	Size: 20992	File Visible: -	Signed: -
Status: -

Name: ViBus.sys
Image Path: ViBus.sys
Address: 0xF7692000	Size: 36864	File Visible: -	Signed: -
Status: -

Name: VIDEOPRT.SYS
Image Path: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Address: 0xF7152000	Size: 81920	File Visible: -	Signed: -
Status: -

Name: videX32.sys
Image Path: videX32.sys
Address: 0xF7902000	Size: 32768	File Visible: -	Signed: -
Status: -

Name: ViPrt.sys
Image Path: ViPrt.sys
Address: 0xF76B2000	Size: 65536	File Visible: -	Signed: -
Status: -

Name: VolSnap.sys
Image Path: VolSnap.sys
Address: 0xF76A2000	Size: 53760	File Visible: -	Signed: -
Status: -

Name: wanarp.sys
Image Path: C:\WINDOWS\system32\DRIVERS\wanarp.sys
Address: 0xF7782000	Size: 34560	File Visible: -	Signed: -
Status: -

Name: watchdog.sys
Image Path: C:\WINDOWS\System32\watchdog.sys
Address: 0xF7972000	Size: 20480	File Visible: -	Signed: -
Status: -

Name: wdmaud.sys
Image Path: C:\WINDOWS\system32\drivers\wdmaud.sys
Address: 0xF0288000	Size: 82944	File Visible: -	Signed: -
Status: -

Name: Win32k
Image Path: \Driver\Win32k
Address: 0xBF800000	Size: 1839104	File Visible: -	Signed: -
Status: -

Name: win32k.sys
Image Path: C:\WINDOWS\System32\win32k.sys
Address: 0xBF800000	Size: 1839104	File Visible: -	Signed: -
Status: -

Name: WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\WMILIB.SYS
Address: 0xF7B74000	Size: 8192	File Visible: -	Signed: -
Status: -

Name: WMIxWDM
Image Path: \Driver\WMIxWDM
Address: 0x804D7000	Size: 2146304	File Visible: -	Signed: -
Status: -

Name: ws2ifsl.sys
Image Path: C:\WINDOWS\System32\drivers\ws2ifsl.sys
Address: 0xF6F68000	Size: 12032	File Visible: -	Signed: -
Status: -

Plopp · 27.07.2009, 12:14

und Stealth objects

Code:

ATTFilter

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:			2009/07/27 12:27
Program Version:		Version 1.3.2.0
Windows Version:		Windows XP SP2
==================================================

Stealth Objects
-------------------
Object: Hidden Handle [Index: 672, Type: Process]
Process: winupdate.exe (PID: 1768)	Address: 0x85811020	Size: -

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]
Process: System	Address: 0x8637c1f8	Size: 121

Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE]
Process: System	Address: 0x8637f1f8	Size: 121

Object: Hidden Code [Driver: atapi, IRP_MJ_CLOSE]
Process: System	Address: 0x8637f1f8	Size: 121

Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x8637f1f8	Size: 121

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x8637f1f8	Size: 121

Object: Hidden Code [Driver: atapi, IRP_MJ_POWER]
Process: System	Address: 0x8637f1f8	Size: 121

Object: Hidden Code [Driver: atapi, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x8637f1f8	Size: 121

Object: Hidden Code [Driver: atapi, IRP_MJ_PNP]
Process: System	Address: 0x8637f1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System	Address: 0x861fb1f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_CREATE]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_CLOSE]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_READ]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_WRITE]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_POWER]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_PNP]
Process: System	Address: 0x863801f8	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]
Process: System	Address: 0x86196500	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]
Process: System	Address: 0x86196500	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x86196500	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x86196500	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]
Process: System	Address: 0x86196500	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x86196500	Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]
Process: System	Address: 0x86196500	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System	Address: 0x863811f8	Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_CREATE]
Process: System	Address: 0x8637e1f8	Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_CLOSE]
Process: System	Address: 0x8637e1f8	Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x8637e1f8	Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x8637e1f8	Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_POWER]
Process: System	Address: 0x8637e1f8	Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x8637e1f8	Size: 121

Object: Hidden Code [Driver: ViPrt, IRP_MJ_PNP]
Process: System	Address: 0x8637e1f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System	Address: 0x860131f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System	Address: 0x860131f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x860131f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x860131f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System	Address: 0x860131f8	Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System	Address: 0x860131f8	Size: 121

Object: Hidden Code [Driver: akr91q1eࠅ扏煓ࠁం浍瑓壀ଡ଼, IRP_MJ_CREATE]
Process: System	Address: 0x861021f8	Size: 121

Object: Hidden Code [Driver: akr91q1eࠅ扏煓ࠁం浍瑓壀ଡ଼, IRP_MJ_CLOSE]
Process: System	Address: 0x861021f8	Size: 121

Object: Hidden Code [Driver: akr91q1eࠅ扏煓ࠁం浍瑓壀ଡ଼, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x861021f8	Size: 121

Object: Hidden Code [Driver: akr91q1eࠅ扏煓ࠁం浍瑓壀ଡ଼, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x861021f8	Size: 121

Object: Hidden Code [Driver: akr91q1eࠅ扏煓ࠁం浍瑓壀ଡ଼, IRP_MJ_POWER]
Process: System	Address: 0x861021f8	Size: 121

Object: Hidden Code [Driver: akr91q1eࠅ扏煓ࠁం浍瑓壀ଡ଼, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x861021f8	Size: 121

Object: Hidden Code [Driver: akr91q1eࠅ扏煓ࠁం浍瑓壀ଡ଼, IRP_MJ_PNP]
Process: System	Address: 0x861021f8	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System	Address: 0x861a2500	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System	Address: 0x861a2500	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x861a2500	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x861a2500	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System	Address: 0x861a2500	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x861a2500	Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System	Address: 0x861a2500	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System	Address: 0x8605a1f8	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_CREATE]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_CLOSE]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_READ]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_QUERY_INFORMATION]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_SET_INFORMATION]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_DIRECTORY_CONTROL]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_DEVICE_CONTROL]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_SHUTDOWN]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_LOCK_CONTROL]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_CLEANUP]
Process: System	Address: 0x861c1500	Size: 121

Object: Hidden Code [Driver: Cdfsȅగ潐, IRP_MJ_PNP]
Process: System	Address: 0x861c1500	Size: 121

6. Alle Schritte befolgt, Häkchen entfernt, bzw. gesetzt, wo erforderlich.

7. Datei auf den Desktop gelegt und ausgeführt, war abe leider nicht von Erfolg gekrönt. Es öffnet sich ganz kurz ein kleines schwarzes Fenster mit "Zugriff verweigert"-Nachricht und schließt sofort wieder. Zudem kommen wieder die Trojanermeldungen, Popups.
Gut, schlecht, andere Möglichkeit?

8. Ccleaner ausgeführt und Programme in logfile gesichert. Hier:

Code:

ATTFilter

7-Zip 4.57
Adobe Color Common Settings
Adobe Creative Suite 3 Master Collection hinzufügen oder entfernen
Adobe ExtendScript Toolkit 2
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.3 - Deutsch
Apple Software Update
Avira AntiVir Personal - Free Antivirus
Babylon
BootSkin
CCleaner (remove only)
Compatibility Pack für 2007 Office System
DAEMON Tools Toolbar
DivX Codec
DivX Converter
DivX Web Player
Easy Start Button
ffdshow [rev 2014] [2008-06-17]
Free YouTube to Mp3 Converter version 3.1
Google Toolbar for Internet Explorer
High Definition Audio - KB888111
HijackThis 2.0.2
ICQ6.5
IEEE 802.11 Wireless LAN
Microsoft Office Professional Edition 2003
Microsoft Text-to-Speech Engine 4.0 (English)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.11)
MSXML 4.0 SP2 (KB936181)
Nero 8 Ultra Edition HD
Nero Mega Plugin Pack
QuickTime
QuickTime Alternative 2.6.0
Realtek High Definition Audio Driver
SecureW2 Client 3.1.2
Sibelius Scorch (ActiveX Only)
Skype™ 3.8
Soft Modem with SmartCP
SpyHunter
Spyware Doctor 6.0
Synaptics Pointing Device Driver
Uninstall 1.0.0.1
VIA Plattform-Geräte-Manager
VIA Rhine-Family Fast Ethernet Adapter
VIA/S3G Display Driver 6.14.10.0078
VideoLAN VLC media player 0.8.6h
Windows Installer 3.1 (KB893803)
WinRAR

Plopp · 27.07.2009, 12:16

So, ne Menge Daten, hoffe man kann damit auch etwas anfangen

Mit bestem Dank verbleibend,
Plopp

kira · 28.07.2009, 12:42

hi

so geht`s weiter:

- Stelle bitte folgende Programme ab:
SpyHunter
Spyware Doctor 6.0

1.
Lade das SDFix von AndyManchesta eine der folgenden Links herunter:
bleepingcomputer.com
andymanchesta.com
- auf deinem Desktop speichern
- per Doppelklick SDFix.exe starten
- wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken
- starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird
- öffne den neu entstandenen SDFix Ordner
- mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten
- gib ein Y ein, um den Reinigungsprozess zu beginnen
- nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann
- nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
- nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden

- Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn!

Ein großes Dankeschön für SDFix an Andy Manchesta!

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
poste erneut:
Trend Micro HijackThis-Logfile

- Ausserdem Punkt 7. fehlt noch: filelist.bat erstellen--> http://www.trojaner-board.de/75767-i...tml#post451421

Plopp · 28.07.2009, 12:50

Danke, die Punkte werden demnächst abgearbeitet.

Punkt 7 konnte nicht ausgeführt werden, da ein Problem auftrat. Ich gehe mal davon aus, dass ich das auch nach SD Fix und Malwarebytes nochmal probieren kann, korrekt? Vielleicht gehts dann.

Beste Grüße,
Plopp

kira · 28.07.2009, 14:36

ja, danach bitte erneut versuchen

Plopp · 29.07.2009, 13:06

Hmm... bei SDFix gibts das Problem, das man den Rechner im abgesicherten Modus starten soll, der Rechner aber sich im abgesicherten Modus immer ausschaltet, nicht komplett hochfährt.
Prinzipiell wäre ja über die boot.ini im Normal-Windows was zu machen, aber wenn der Rechner dann in einer Endlosschleife hängt is ja auch blöd, richtig?

Gibts einen Lösungsansatz?

Plopp · 29.07.2009, 14:20

Malwarebytes sagt:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 2

29.07.2009 14:56:29
mbam-log-2009-07-29 (14-56-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 55191
Laufzeit: 28 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\cmcmgrs.exe (Generic.Bot.H) -> Delete on reboot.
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Delete on reboot.

was ja einigermaßen gut aussieht.

SDFix bekomm ich nicht zum laufen, da Rechner nicht im abgesicherten Modus laufen möchte und immer wieder herunterfährt.

filelist.bat auch nicht. Es scheint als mag der PC keine .bats

Erneute Highjackthisfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:08, on 29.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\msddrv42.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ESB.EXE
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\winupdate.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
C:\WINDOWS\mse.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.100/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winupdate.exe] C:\WINDOWS\system32\winupdate.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\*****~1\LOKALE~1\Temp\h.exe
O4 - HKCU\..\Run: [Advanced Virus Remover] C:\Program Files\AdvancedVirusRemover\PAVRM.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Utils\BabylonIEPI.dll/Translate.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 7994 bytes

Eine merkliche Verbesserung ist derzeit noch nicht festzustellen.

kira · 29.07.2009, 22:44

hi

1.
ohne sinnlos & lang an Einträgen, Regedit usw herumzubasteln, nutze eine Live-CD um dein System zu prüfen und bearbeiten:
Live-System wie z.B:

Knoppicillin - bootfähige Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall-->Bebilderte Anleitung
Knoppix--> Datei:Knoppix-logo.svg
Ubuntu--> Download/ubuntu.com
kannst Du auch auf einem USB Stick `installieren`-->* Installation* FromUSBStick--> Anleitung 1.-->Anleitung 2. - (Aktuell halten, das Update umgehend einspielen, dies geht etwa über die eingebaute Update-Funktion)
Ubuntu-CD Problembehebung
Avira AntiVir Rescue System
Viren jagen mit Knoppix
WinPE/BartPE

- **Solltest Du in der Vergangenheit USB-Sticks oder andere Wechseldatenträger an das infizierte System angestöpselt haben, mußt Du diese auch unter der Live-CD booten

2.
- dann die Schritte (6.,-7.,-8.) von hier - http://www.trojaner-board.de/75767-i...tml#post451421 - erneut abarbeiten
- ausserdem ein neues HijackThis-Logfile auch posten

26.07.2009, 13:39	#2
kira /// Helfer-Team	Infizierter Rechner - Hilfe erbeten! Hallo und Herzlich Willkommen! Versuchen können wir ja dein System zu `retten`, jedoch die absolut sicherste Methode wäre dein System komplett neu zu installieren. Das ist IMMER die einzige Möglichkeit zum Säubern eines befallenen Systems -->Backdoor/Wikipedia Es liegt in Deiner Hand, ob Du versuchen möchtest oder...? __________________

28.07.2009, 14:36	#12
kira /// Helfer-Team	Infizierter Rechner - Hilfe erbeten! ja, danach bitte erneut versuchen

Infizierter Rechner - Hilfe erbeten!

Log-Analyse und Auswertung: Infizierter Rechner - Hilfe erbeten!