Wenn GMER etwas findet NICHT vollständiger Scan bitte. Bitte schnappe dir das Logfile ohne vollständige prüfung.

Das Ergebnis sieht jetzt so aus (nun, leider der vollständige Scan, hab das andere nicht mehr gelesen).
Ich hoffe, ich hab jetzt auch das richtige kopiert.

GMER 1.0.15.15273 - http://www.gmer.net
Rootkit scan 2009-12-08 21:13:15
Windows 5.1.2600 Service Pack 2
Running: z84zqiow.exe; Driver: C:\DOKUME~1\XXX~1\LOKALE~1\Temp\ufrdapog.sys


---- System - GMER 1.0.15 ----

Code FFB44110 ZwEnumerateKey
Code FFB96110 ZwFlushInstructionCache
Code FFB8D10E IofCallDriver
Code 813A23BE IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A0 5 Bytes JMP FFB8D113
.text ntkrnlpa.exe!IofCompleteRequest 804EF230 5 Bytes JMP 813A23C3
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B5644 5 Bytes JMP FFB96114

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2052] USER32.dll!DialogBoxParamW 77D26702 5 Bytes JMP 4115F4B9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2052] USER32.dll!DialogBoxParamA 77D288E1 5 Bytes JMP 412D1FBC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2052] USER32.dll!DialogBoxIndirectParamW 77D32598 5 Bytes JMP 412D1FF7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2052] USER32.dll!MessageBoxIndirectA 77D3AEF1 5 Bytes JMP 412D1F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2052] USER32.dll!MessageBoxExW 77D50559 5 Bytes JMP 412D1F04 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2052] USER32.dll!MessageBoxExA 77D5057D 5 Bytes JMP 412D1F3E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2052] USER32.dll!DialogBoxIndirectParamA 77D56CED 5 Bytes JMP 412D2032 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2052] USER32.dll!MessageBoxIndirectW 77D660B7 5 Bytes JMP 411817EA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[2052] ole32.dll!OleLoadFromStream 774FA01C 5 Bytes JMP 412D21F4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTrvasfoxjix.sys (*** hidden *** ) 9FEF1000-9FF0D000 (114688 bytes)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTrvasfoxjix.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

drivers to disable:
H8SRTrvasfoxjix.sys

drivers to delete:
H8SRTrvasfoxjix.sys
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Ok:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTrvasfoxjix.sys
Start Type: 1 (System)

Rootkit scan completed.


Error: could not open driver "H8SRTrvasfoxjix.sys"
Disablement of driver "H8SRTrvasfoxjix.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\H8SRTrvasfoxjix.sys" not found!
Deletion of driver "H8SRTrvasfoxjix.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Das gleiche mit Avenger wie eben nur diesmal hiermit:

Code: Alles auswählenAufklappen

ATTFilter

drivers to disable: 
H8SRTd.sys

drivers to delete: 
H8SRTd.sys
         

So, der Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTrvasfoxjix.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" disabled successfully.
Driver "H8SRTd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Jetzt zeigt sich das Avira-Symbol auch wieder in der Startleiste. Das war vorher verschwunden.

Hallo Devi, starte nochmal GMER zur Kontrolle und Scanne mit GMER nochmal und erzeuge ein frisches Logfile und setze es hier herein.
Das ist immerschin schon schön, dass dein Avira Symbol wieder aufgetaucht ist