Ok, hier ist die Log von 1. GMER :

GMER 1.0.15.15011 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-08-07 10:04:39
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F7CBE2AE ZwCreateKey
SSDT F7CBE2A4 ZwCreateThread
SSDT F7CBE2B3 ZwDeleteKey
SSDT F7CBE2BD ZwDeleteValueKey
SSDT spgq.sys ZwEnumerateKey [0xF747CCA2]
SSDT spgq.sys ZwEnumerateValueKey [0xF747D030]
SSDT F7CBE2C2 ZwLoadKey
SSDT spgq.sys ZwOpenKey [0xF745F0C0]
SSDT F7CBE290 ZwOpenProcess
SSDT F7CBE295 ZwOpenThread
SSDT spgq.sys ZwQueryKey [0xF747D108]
SSDT spgq.sys ZwQueryValueKey [0xF747CF88]
SSDT F7CBE2CC ZwReplaceKey
SSDT F7CBE2C7 ZwRestoreKey
SSDT F7CBE2B8 ZwSetValueKey
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xEB5F6DF0]

INT 0x62 ? 85568BF8
INT 0x73 ? 85568BF8
INT 0x84 ? 853CFF00
INT 0x94 ? 853CFF00
INT 0xA4 ? 853CFF00
INT 0xB4 ? 853CFF00
INT 0xB4 ? 853CFF00

---- Kernel code sections - GMER 1.0.15 ----

? spgq.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F3DD28AC 5 Bytes JMP 853CF4E0

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[744] SHELL32.dll!SHFileOperationW 7E720924 5 Bytes JMP 01B31102 C:\Programme\Unlocker\UnlockerHook.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7460040] spgq.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F746013C] spgq.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74600BE] spgq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74607FC] spgq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74606D2] spgq.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F746FD92] spgq.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 855671F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{C179ED12-26F7-4613-AE0B-D8150A47601D} 84A0B1F8
Device \Driver\usbohci \Device\USBPDO-0 853D1500
Device \Driver\usbohci \Device\USBPDO-1 853D1500
Device \Driver\usbohci \Device\USBPDO-2 853D1500
Device \Driver\usbohci \Device\USBPDO-3 853D1500
Device \Driver\usbohci \Device\USBPDO-4 853D1500
Device \Driver\NetBT \Device\NetBT_Tcpip_{86408FFF-9B4A-451C-9AD2-31CFB0CAC492} 84A0B1F8
Device \Driver\usbehci \Device\USBPDO-5 853D4500
Device \Driver\Ftdisk \Device\HarddiskVolume1 855D81F8
Device \Driver\Cdrom \Device\CdRom0 853D0500
Device \Driver\NetBT \Device\NetBt_Wins_Export 84A0B1F8
Device \Driver\NetBT \Device\NetbiosSmb 84A0B1F8
Device \Driver\usbohci \Device\USBFDO-0 853D1500
Device \Driver\usbohci \Device\USBFDO-1 853D1500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 849FA1F8
Device \Driver\usbohci \Device\USBFDO-2 853D1500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 849FA1F8
Device \Driver\usbohci \Device\USBFDO-3 853D1500
Device \Driver\usbohci \Device\USBFDO-4 853D1500
Device \Driver\Ftdisk \Device\FtControl 855D81F8
Device \Driver\usbehci \Device\USBFDO-5 853D4500
Device \FileSystem\Cdfs \Cdfs 849B4500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0x68 0x1F 0xC3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0x68 0x1F 0xC3 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0x68 0x1F 0xC3 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{76416OEM-0117-7957-5767-385014135011}
Reg HKLM\SOFTWARE\Classes\CLSID\{76416OEM-0117-7957-5767-385014135011}@12AED12 1324329
Reg HKLM\SOFTWARE\Classes\CLSID\{76416OEM-0117-7957-5767-385014135011}\InprocServer32

---- EOF - GMER 1.0.15 ----

edit :
mbr file log :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

ok, Rootrepeal hängt nur dran!

2. GMER

GMER 1.0.15.15011 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-08-07 11:48:24
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F7DB2496 ZwCreateKey
SSDT F7DB248C ZwCreateThread
SSDT F7DB249B ZwDeleteKey
SSDT F7DB24A5 ZwDeleteValueKey
SSDT spor.sys ZwEnumerateKey [0xF747CCA2]
SSDT spor.sys ZwEnumerateValueKey [0xF747D030]
SSDT F7DB24AA ZwLoadKey
SSDT spor.sys ZwOpenKey [0xF745F0C0]
SSDT F7DB2478 ZwOpenProcess
SSDT F7DB247D ZwOpenThread
SSDT spor.sys ZwQueryKey [0xF747D108]
SSDT spor.sys ZwQueryValueKey [0xF747CF88]
SSDT F7DB24B4 ZwReplaceKey
SSDT F7DB24AF ZwRestoreKey
SSDT F7DB24A0 ZwSetValueKey
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xEBA66DF0]

INT 0x62 ? 85568BF8
INT 0x73 ? 85568BF8
INT 0x84 ? 8528ABF8
INT 0x94 ? 8528ABF8
INT 0xA4 ? 8528ABF8
INT 0xB4 ? 8528ABF8
INT 0xB4 ? 8528ABF8

---- Kernel code sections - GMER 1.0.15 ----

? spor.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F42428AC 5 Bytes JMP 8528A1D8
? C:\DOKUME~1\cem\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[1572] SHELL32.dll!SHFileOperationW 7E720924 5 Bytes JMP 027F1102 C:\Programme\Unlocker\UnlockerHook.dll

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7460040] spor.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F746013C] spor.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74600BE] spor.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74607FC] spor.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74606D2] spor.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F746FD92] spor.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 855671F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{C179ED12-26F7-4613-AE0B-D8150A47601D} 851F3500
Device \Driver\usbohci \Device\USBPDO-0 852871F8
Device \Driver\usbohci \Device\USBPDO-1 852871F8
Device \Driver\usbohci \Device\USBPDO-2 852871F8
Device \Driver\usbohci \Device\USBPDO-3 852871F8
Device \Driver\usbohci \Device\USBPDO-4 852871F8
Device \Driver\usbehci \Device\USBPDO-5 85286500
Device \Driver\Ftdisk \Device\HarddiskVolume1 855D81F8
Device \Driver\Cdrom \Device\CdRom0 852261F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 851F3500
Device \Driver\NetBT \Device\NetbiosSmb 851F3500
Device \Driver\usbohci \Device\USBFDO-0 852871F8
Device \Driver\usbohci \Device\USBFDO-1 852871F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 850E1500
Device \Driver\usbohci \Device\USBFDO-2 852871F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 850E1500
Device \Driver\usbohci \Device\USBFDO-3 852871F8
Device \Driver\usbohci \Device\USBFDO-4 852871F8
Device \Driver\Ftdisk \Device\FtControl 855D81F8
Device \Driver\usbehci \Device\USBFDO-5 85286500
Device \FileSystem\Cdfs \Cdfs 850FD500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0x68 0x1F 0xC3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0x68 0x1F 0xC3 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xA3 0x68 0x1F 0xC3 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{76416OEM-0117-7957-5767-385014135011}
Reg HKLM\SOFTWARE\Classes\CLSID\{76416OEM-0117-7957-5767-385014135011}@12AED12 1324329
Reg HKLM\SOFTWARE\Classes\CLSID\{76416OEM-0117-7957-5767-385014135011}\InprocServer32

---- EOF - GMER 1.0.15 ----

2. mbr.exe

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Das sieht soweit sauber aus.

Was ist cem?

Zitat:

Path: C:\Dokumente und Einstellungen\cem\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\gangster777@web.de\SharingMetadata\knight07@live.co.uk\DFSR\Staging\CS{047D683D-040B-8FC4-4632-F6811FA753A7}\12\12-{DEF6A158-6A1D-456A-A9BD-7CD328922959}-v12-{DEF6A158-6A1D-456A-A9BD-7CD328922959}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.

Path: C:\Dokumente und Einstellungen\cem\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\gangster777@web.de\SharingMetadata\knight07@live.co.uk\DFSR\Staging\CS{047D683D-040B-8FC4-4632-F6811FA753A7}\14\14-{DEF6A158-6A1D-456A-A9BD-7CD328922959}-v14-{DEF6A158-6A1D-456A-A9BD-7CD328922959}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.

Ansonsten sehe ich da nichts mehr. Wenn das mein Rechner wäre würde ich ihn aber trotzdem auf jeden Fall Neuaufsetzen damit man wirklich sicher sein kann.

Nun, ich hab vergessen den Namen mit *** zu ersetzen, mein Fehler!

Letzte Frage, was war denn genau auf meinen PC und kann ich einen Stick ohne weiteres einstecken und formatieren, bevor sich ein Trojaner auf meinem Pc verbreiten kann?


Auf jeden Fall ein großes Dankeschön für die klasse Hilfe!!!

Magst du mir noch beantworten was "cem" ist? Die Dateien tauchen im RR log auf und ich wundere mich warum.

Sind die Einträge in Ordnung?

Den Stick solltest du nur einstecken wenn du den Autorun deaktivert vorher deaktivierst.

Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda AV, Norton AV oder avast free. Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de. Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
  Sehr empfehlen kann ich PrevX!
  Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack2
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Der Windows Autorun sollte deaktiviert werden.
  .
• Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weiter Infos
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

Nun, ich hab vergessen den Namen mit *** zu ersetzen, mein Fehler!

Cem = mein Name^^

wie gesagt mein fehler, dann bedank ich mich für die klasse Hilfe, hab die Tips, die du gepostet hast, auch noch befolgt

VIELEN DANK!

Ah so. Ok

Jo, immer gerne aber hoffentlich nie wieder.

Formatiere allle USB Sticks nachdem du den Autorun wie unten beschrieben deaktiviert hast!