| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit TDSS entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
26.09.2009, 19:40
| #1 |
 |  Rootkit TDSS entfernen Hallo miteinander, erst einmal vielen Dank an alle die dieses Board zu dem machen was es ist. Eine hervorragende Quelle um den alltäglichen Plagegeistern in der Computer-Welt beizukommen !!! Ich habe hier schon öfters durch andere Threads Hilfe bekommen. Heute wende ich mich aber direkt hierhin, da ich jetzt nicht mehr so richtig weiterkomme. Folgendes ist bisher passiert: Durch meinen Antiviren-Scanner wurde ich darauf aufmerksam, daß mein Rechner unbeabsichtigt E-Mails versendet. Es gab jedesmal eine Meldung, dass mein ISP die gesendeten E-Mails abgelehnt hat (gottseidank). Ich hab mit Spybot gescannt und mehrere Einträge gefunden und diese auch entfernt. Allerdings waren die danach immer noch da. Ich hatte einen Prozess der in C:\Windows\Temp\ lief und sich als Adobe irgendwas Updater tarnte. Die Datei konnte ich im abgesicherten Modus entfernen, allerdings war ich nun misstrauisch und hab mit Sophos Rootkit Remover ebenfalls gescannt und siehe da es waren mehrere versteckte Files im System32\drivers\ Ordner die offensichtlich zufällig benannt wurden. Aber in jedem Fall als *.sys *.dat *.dll sich offenbarten. Beispiel: gasfkyjovdlcol.dat Ich hab dann ebenfalls mit GMER gescannt und einige weitere Einträge gefunden. Unter anderem auch versteckte Einträge in der Registry, die ich nicht entfernen konnte. Meine Vermutung ist jetzt, dass durch die Registry-Einträge weitere versteckte Dateien auf meinem Rechner immer wieder den Schadcode laden, um sich einer Säuberung zu entziehen. Wäre sehr dankbar für Tipps zum weiteren Vorgehen. RootRepeal läuft grade, nimmt sich aber ziemlich viel Zeit auf meinem Hauptrechner. Ach ja, zumindest versendet der Rechner nun keine Spam-Mails mehr, daß habe ich denke ich mit dem löschen der Datei im temp Verzeichnis. Aber wie man sieht, sind noch ziemlich viele Einträge vom Typ gasfkymfdynxmk vorhanden. Die Dinger sind auf jeden Fall nicht gut !!! Hier erstmal das Logfile von Gmer: Code:
ATTFilter GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-26 18:59:25
Windows 5.1.2600 Service Pack 3
Running: 2v08heo8.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kgtdqpow.sys
---- System - GMER 1.0.15 ----
SSDT 89CBE698 ZwConnectPort
SSDT sptd.sys ZwCreateKey [0xB7EBE0D0]
SSDT \??\C:\Programme\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xABA24350]
SSDT sptd.sys ZwEnumerateKey [0xB7EC3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xB7EC4340]
SSDT sptd.sys ZwOpenKey [0xB7EBE0B0]
SSDT sptd.sys ZwQueryKey [0xB7EC4418]
SSDT 8ABF00C0 ZwQueryValueKey
SSDT 89BF0CB8 ZwResumeThread
SSDT \??\C:\Programme\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xABA24580]
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B661E8AC 5 Bytes JMP 8AC791C8
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EBEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EBEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EBEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EBF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EBF61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7ED429A] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8AE0A1E8
AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
Device \FileSystem\Fastfat \FatCdrom 89B7D410
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\usbohci \Device\USBPDO-0 8AC701E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AE0C1E8
Device \Driver\dmio \Device\DmControl\DmConfig 8AE0C1E8
Device \Driver\dmio \Device\DmControl\DmPnP 8AE0C1E8
Device \Driver\dmio \Device\DmControl\DmInfo 8AE0C1E8
Device \Driver\usbehci \Device\USBPDO-1 8AC675D0
Device \Driver\NetBT \Device\NetBT_Tcpip_{189E787C-DBBF-41D8-8023-F386B04AC9DA} 89B98448
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\Ftdisk \Device\HarddiskVolume1 8AE7B1E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8AE7B1E8
Device \Driver\Cdrom \Device\CdRom0 8AC781E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8AE7B1E8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8AE7B1E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89B98448
Device \Driver\NetBT \Device\NetbiosSmb 89B98448
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\usbohci \Device\USBFDO-0 8AC701E8
Device \Driver\usbehci \Device\USBFDO-1 8AC675D0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8ABAA790
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8ABAA790
Device \Driver\Ftdisk \Device\FtControl 8AE7B1E8
Device \Driver\nvgts \Device\Scsi\nvgts1Port2Path0Target0Lun0 8AE0B1E8
Device \Driver\nvgts \Device\Scsi\nvgts1 8AE0B1E8
Device \Driver\nvgts \Device\Scsi\nvgts2 8AE0B1E8
Device \FileSystem\Fastfat \Fat 89B7D410
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
Device \FileSystem\Cdfs \Cdfs 8ABBD468
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk@start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk@imagepath \systemroot\system32\drivers\gasfkyhldebdpq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main@aid 10034
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main@sid 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main\injector@* gasfkywsp8.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyhldebdpq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkycmd.dll \systemroot\system32\gasfkymupogdoc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkylog.dat \systemroot\system32\gasfkyjovdlcol.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkywsp.dll \systemroot\system32\gasfkyrulvbonf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfky.dat \systemroot\system32\gasfkywiqxjmdd.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkywsp8.dll \systemroot\system32\gasfkyweitfenp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x32 0xDC 0xFC 0x09 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x47 0xA9 0xB0 0x59 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x6F 0x6D 0x7F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x89 0x24 0x28 0xF3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xBF 0xE8 0xFB 0x28 ...
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk@start 4
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk@imagepath \systemroot\system32\drivers\gasfkyhldebdpq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main@aid 10034
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main@sid 0
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main\injector@* gasfkywsp8.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyhldebdpq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkycmd.dll \systemroot\system32\gasfkymupogdoc.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkylog.dat \systemroot\system32\gasfkyjovdlcol.dat
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkywsp.dll \systemroot\system32\gasfkyrulvbonf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfky.dat \systemroot\system32\gasfkywiqxjmdd.dat
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkywsp8.dll \systemroot\system32\gasfkyweitfenp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x32 0xDC 0xFC 0x09 ...
---- EOF - GMER 1.0.15 ----
|
|
26.09.2009, 20:16
| #2 |
  | Rootkit TDSS entfernen Hallo,
__________________das ist ja wahrlich ein sehr unschöner Befall (gewesen). Lasse mal bitte Malwarebytes laut Anleitung laufen. Falls es nicht geht benenne es bitte auf iexplore.exe um. Danach hätte ich gerne ein frisches Gmer-Log von Dir.
__________________ |
|
26.09.2009, 21:43
| #3 |
| | Rootkit TDSS entfernen Hallo Angel21,
__________________vielen Dank für Deine Unterstützung. Nachdem Durchlauf von Malwarebytes hatte ich noch 5 Einträge, die auf ähnliche Dateien verwiesen haben. Die habe ich jetzt entfernt und das Logfile für GMER ist auf dem Weg. Sieht zumindest schon mal ein wenig besser aus. Hier das Logfile von Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2863
Windows 5.1.2600 Service Pack 3
26.09.2009 21:59:13
mbam-log-2009-09-26 (21-59-13).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 304452
Laufzeit: 40 minute(s), 22 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AdobeAlerter (Trojan.Downloader) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\gasfkyrulvbonf.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gasfkyhkrcwjyu.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gasfkymqrpxnxv.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gasfkytfqrssww.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gasfkyxjruhtap.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\csrss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasfkyjovdlcol.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasfkywiqxjmdd.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
|
|
26.09.2009, 21:45
| #4 |
| | Rootkit TDSS entfernen Bitte nochmal ein erneutes Log mit GMER anfertigen 
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!  |
|
26.09.2009, 22:13
| #5 |
| | Rootkit TDSS entfernen Hier das GMEG logfile: Code:
ATTFilter GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-26 23:09:37
Windows 5.1.2600 Service Pack 3
Running: 2v08heo8.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kgtdqpow.sys
---- System - GMER 1.0.15 ----
SSDT 8AA3A4A0 ZwConnectPort
SSDT sptd.sys ZwCreateKey [0xB7EBE0D0]
SSDT \??\C:\Programme\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA9966350]
SSDT sptd.sys ZwEnumerateKey [0xB7EC3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xB7EC4340]
SSDT sptd.sys ZwOpenKey [0xB7EBE0B0]
SSDT sptd.sys ZwQueryKey [0xB7EC4418]
SSDT 8ABF3E88 ZwQueryValueKey
SSDT 8AA430E8 ZwResumeThread
SSDT \??\C:\Programme\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA9966580]
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2EFC 80504798 4 Bytes CALL E4DAEBCD
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B4E8D8AC 5 Bytes JMP 8AD40770
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EBEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EBEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EBEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EBF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EBF61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7ED429A] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8AE081E8
AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
Device \FileSystem\Fastfat \FatCdrom 8A8F5440
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\usbohci \Device\USBPDO-0 8AC7F5D8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AE0A1E8
Device \Driver\dmio \Device\DmControl\DmConfig 8AE0A1E8
Device \Driver\dmio \Device\DmControl\DmPnP 8AE0A1E8
Device \Driver\dmio \Device\DmControl\DmInfo 8AE0A1E8
Device \Driver\usbehci \Device\USBPDO-1 8ACB11E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{189E787C-DBBF-41D8-8023-F386B04AC9DA} 8AA45790
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\Ftdisk \Device\HarddiskVolume1 8AE7D1E8
Device \Driver\Cdrom \Device\CdRom0 8ACBE790
Device \Driver\Ftdisk \Device\HarddiskVolume2 8AE7D1E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8AE7D1E8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8AE7D1E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8AA45790
Device \Driver\NetBT \Device\NetbiosSmb 8AA45790
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\usbohci \Device\USBFDO-0 8AC7F5D8
Device \Driver\usbehci \Device\USBFDO-1 8ACB11E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A8B9790
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A8B9790
Device \Driver\Ftdisk \Device\FtControl 8AE7D1E8
Device \Driver\nvgts \Device\Scsi\nvgts1Port2Path0Target0Lun0 8AE091E8
Device \Driver\nvgts \Device\Scsi\nvgts1 8AE091E8
Device \Driver\nvgts \Device\Scsi\nvgts2 8AE091E8
Device \FileSystem\Fastfat \Fat 8A8F5440
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
Device \FileSystem\Cdfs \Cdfs 8AC00500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x32 0xDC 0xFC 0x09 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x47 0xA9 0xB0 0x59 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x6F 0x6D 0x7F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x89 0x24 0x28 0xF3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xBF 0xE8 0xFB 0x28 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x32 0xDC 0xFC 0x09 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\5EAD28C50BE647342945EB3391ABE428\Usage@Phone 993657008
---- EOF - GMER 1.0.15 ----
|
|
26.09.2009, 22:19
| #6 |
| | Rootkit TDSS entfernen 1.) Rootkitscan mit RootRepeal
2.) Systemdetails mit RSIT prüfen
Poste erstmal alle Logs.
__________________ --> Rootkit TDSS entfernen |
|
| Themen zu Rootkit TDSS entfernen |
| .dll, abgesicherten modus, adobe, atapi.sys, c:\windows\temp, cdrom, controlset002, dateien, e-mails, entfernen, hal.dll, i8042prt.sys, immer wieder, logfile, löschen, microsoft, ordner, programme, prozess, registry, rootkit, schadcode, sophos, spam-mails, sptd.sys, symantec, system, system32, tdss, temp, udp, usbport.sys, versteckte dateien, windows, windows\temp, write, zufällig, zwcreatekey, zwopenkey |
Hybrid-Darstellung
