Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"

year_zero · 23.12.2009, 13:18

Hallo ihr Lieben,

bin absolut neu hier und kenne mich nicht wirklich gut aus.
Als ich gestern im Internet gesurft habe,kam plötzlich die Meldung meines ANTIVIR,dass ein Trojaner gefunden wurde,hab dann Zugriff verweigert und die Datei gelöscht.
Als ich dann circa ne halbe Stunde später wieder an den Pc bin,hatte sich irgednwie ein angebliches Windows-Sicherheitsprogramm installiert und ich wurde gefragt,ob ich ANTIVIR wirklich deinstallieren will,dass hab ich natürlich verneint.
Nun kann ich weder ANTIVIR noch SpyBot noch Hijack this (was im Internet empfohlen) installieren.
Hab dann mal mehrere Onlinevirenscanner drüber laufen lassen,Bitdefender erkennt dann zwar die Probleme,kann sie aber nicht beheben :

Vorgang Explorer.EXE (660) ist infiziert mit Gen:Trojan.Heur.Vundo.cy4@diPE2Jd
Vorgang svchost.exe (1336) ist infiziert mit Gen:Trojan.Heur.Vundo.by4@dCgCSGe

2 infizierte Datei(en) gefunden!
----------------------------------
C:\WINDOWS\system32\H8SRTsunblqpjej.dll - Gen:Trojan.Heur.Vundo.cy4@diPE2Jd
C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll - Gen:Trojan.Heur.Vundo.by4@dCgCSGe

Ich hab wirklich keine Ahnung was ich tun soll & bitte um schnell Hilfe.

ACh jah CC CLeaner hab ich drüber laufen lassen, dass Programm Malwarebytes kann ich,wie die meisten Antiviren Programme nicht installieren!

Noch etwas:

Mit dem Active Scan habe ich folgendes gefunden :

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-12-22 23:09:47
PROTECTIONS: 2
MALWARE: 1
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Malware Defense 1.0 Yes No
AntiVir Desktop 9.0.1.32 No No
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00027660 adware/savenow Adware No 0 Yes No hkey_classes_root\wusn.1
00027660 adware/savenow Adware No 0 Yes No hkey_local_machine\software\classes\wusn.1
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;================================================================
No globalroot\systemroot\system32\h8srtsunblqpjej.dll

cosinus · 23.12.2009, 14:14

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

year_zero · 23.12.2009, 14:44

Also wie gesagt, CC Cleaner hab ich laufen lassen,hat auch circa 470 MB gelöscht,das Malwarebytes Programm kann ich wie gesagt nicht installieren (scheint der Virus/Trojnaer zu blocken) und GMER hat folgendes ausgespuckt : (Weiter unten die Logfiles von RSIT)

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-23 14:42:10
Windows 5.1.2600 Service Pack 2
Running: s16l4ctj.exe; Driver: C:\DOKUME~1\Olli\LOKALE~1\Temp\kwldapog.sys

---- System - GMER 1.0.15 ----

Code 82D5E2E8 ZwEnumerateKey
Code 82D5B550 ZwFlushInstructionCache
Code 82D5BD2E IofCallDriver
Code 82D57D3E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EDE00 5 Bytes JMP 82D5BD33
.text ntkrnlpa.exe!IofCompleteRequest 804EDE90 5 Bytes JMP 82D57D43
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805AA912 5 Bytes JMP 82D5B554
PAGE ntkrnlpa.exe!ZwEnumerateKey 80619412 5 Bytes JMP 82D5E2EC
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS\System32\Drivers\SPTD1709.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6EC2360, 0x372FAD, 0xE8000020]
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 F6E534D0 16 Bytes [68, E1, FC, CC, E7, 20, 45, ...] {PUSH 0xe7ccfce1; AND [EBP+0x19], AL; RET 0x538b; MOVS DWORD DS:[EDI]; SUB BL, BH; LAHF }
.text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11 F6E534E1 31 Bytes [20, E5, F6, 7C, 5B, AB, A2, ...]
? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text C:\WINDOWS\System32\DRIVERS\ithsgt.sys section is writeable [0xBABFF300, 0x21770, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F8437C82] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8319D708
Device \FileSystem\Fastfat \FatCdrom 82593EB0
Device \FileSystem\Fastfat \FatCdrom 82907620
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8319D0E8
Device \Driver\dmio \Device\DmControl\DmConfig 8319D0E8
Device \Driver\dmio \Device\DmControl\DmPnP 8319D0E8
Device \Driver\dmio \Device\DmControl\DmInfo 8319D0E8
Device \Driver\00000057 \Device\00000055 sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 8319E330
Device \Driver\Ftdisk \Device\HarddiskVolume2 8319E330
Device \FileSystem\Rdbss \Device\FsWrap 8291C0E8
Device \FileSystem\Rdbss \Device\FsWrap 82FF9B20
Device \Driver\Ftdisk \Device\HarddiskVolume3 8319E330
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-24 82DA0908
Device \Driver\atapi \Device\Ide\IdePort0 82DA0908
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 82DA0908
Device \Driver\atapi \Device\Ide\IdePort1 82DA0908
Device \Driver\atapi \Device\Ide\IdePort2 82DA0908
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 82DA0908
Device \Driver\atapi \Device\Ide\IdePort3 82DA0908
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1c 82DA0908
Device \Driver\NetBT \Device\NetBt_Wins_Export 829370E8
Device \Driver\NetBT \Device\NetbiosSmb 829370E8
Device \FileSystem\Srv \Device\LanmanServer 827B1270
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82912EB0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82FEF6F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82912EB0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82FEF6F8
Device \FileSystem\Npfs \Device\NamedPipe 8293CEB0
Device \FileSystem\Npfs \Device\NamedPipe 82FD88E0
Device \Driver\Ftdisk \Device\FtControl 8319E330
Device \Driver\NetBT \Device\NetBT_Tcpip_{C88A3C75-5EC9-4449-BA81-99F90AFF9A2D} 829370E8
Device \FileSystem\Msfs \Device\Mailslot 8293FEB0
Device \FileSystem\Msfs \Device\Mailslot 82FE1EA0
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port5Path0Target0Lun0 82F1DD80
Device \Driver\a347scsi \Device\Scsi\a347scsi1 82F1DD80
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 82954958
Device \Driver\dtscsi \Device\Scsi\dtscsi1 82954958
Device \FileSystem\Fastfat \Fat 82593EB0
Device \FileSystem\Fastfat \Fat 82907620

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 82FDC960
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 82FDC960
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 82FDC960
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 82FDC960
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 82FDC960
Device \FileSystem\Cdfs \Cdfs 8300C9A0
Device \FileSystem\Cdfs \Cdfs 82F49488

---- Modules - GMER 1.0.15 ----

Module _________ F8337000-F834F000 (98304 bytes)
Module \systemroot\system32\drivers\H8SRTckkylhlkjp.sys (*** hidden *** ) F52C0000-F52DC000 (114688 bytes)

---- Threads - GMER 1.0.15 ----

Thread System [4:740] BA73F880
Thread System [4:1840] BA742940
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTsunblqpjej.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1332] 0x00910000
Library \\?\globalroot\systemroot\system32\H8SRTsunblqpjej.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2020] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTckkylhlkjp.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xBA 0x7E 0x4D 0x10 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x06 0x2A 0xF0 0x56 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC1 0x41 0xA9 0xB8 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x42 0xD9 0x75 0x89 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x42 0xD9 0x75 0x89 ...
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ...
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ...
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x42 0xD9 0x75 0x89 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTckkylhlkjp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTckkylhlkjp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTsmsdudkvjc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTfakypafrql.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTsunblqpjej.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x64 0x62 0x02 0x00 ...
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTckkylhlkjp.sys
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTckkylhlkjp.sys
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTsmsdudkvjc.dll
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTfakypafrql.dat
Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTsunblqpjej.dll
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ...
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ...
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x64 0x62 0x02 0x00 ...

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Olli\Lokale Einstellungen\Temp\H8SRTfe7d.tmp 343040 bytes executable
File C:\WINDOWS\system32\drivers\H8SRTckkylhlkjp.sys 39936 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\H8SRTfakypafrql.dat 202 bytes
File C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll 23040 bytes executable
File C:\WINDOWS\system32\H8SRTsunblqpjej.dll 36864 bytes executable
File C:\WINDOWS\Temp\H8SRT6c66.tmp 202 bytes

---- EOF - GMER 1.0.15 ----

RSIT Logfiles :

http://www.file-upload.net/download-...rdner.rar.html

cosinus · 23.12.2009, 14:52

Da ist ein Rootkit aktiv!!

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\WINDOWS\SYSTEM32\drivers\H8SRTckkylhlkjp.sys
C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll
C:\WINDOWS\system32\H8SRTsunblqpjej.dll
C:\WINDOWS\system32\H8SRTfakypafrql.dat
C:\WINDOWS\Temp\H8SRT6c66.tmp

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

year_zero · 23.12.2009, 14:56

a) Deaktiviere den Hintergrundwächter vom Virenscanner.

Wie?Antivir lässt sich ja nicht öffnen!

cosinus · 23.12.2009, 14:58

Nimm nicht alles wörtlich

Deaktivieren kannst Du nur falls da ein Wächter aktiv ist

year_zero · 23.12.2009, 15:04

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTckkylhlkjp.sys
Driver disabled successfully.

Rootkit scan completed.

File "C:\WINDOWS\SYSTEM32\drivers\H8SRTckkylhlkjp.sys" deleted successfully.
File "C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll" deleted successfully.
File "C:\WINDOWS\system32\H8SRTsunblqpjej.dll" deleted successfully.
File "C:\WINDOWS\system32\H8SRTfakypafrql.dat" deleted successfully.

Error: file "C:\WINDOWS\Temp\H8SRT6c66.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\H8SRT6c66.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Okay Antivir läuft wieder,ist damit alle Gefahr gebannt?
Was kann ich in Zukunft tun um sowas zu vermeiden?

cosinus · 23.12.2009, 15:12

Wir sind noch nicht durch! Bitte einen Durchlauf mit Malwarebytes probieren und Log posten!

year_zero · 23.12.2009, 16:36

Okay ist (endlich) durch :

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3415
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

23.12.2009 16:35:26
mbam-log-2009-12-23 (16-35-26).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|H:\|)
Durchsuchte Objekte: 217835
Laufzeit: 1 hour(s), 18 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{5962DFA0-E7A4-4685-B16C-16A32EF5E7D7}\RP1131\A0611470.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5962DFA0-E7A4-4685-B16C-16A32EF5E7D7}\RP1131\A0611471.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5962DFA0-E7A4-4685-B16C-16A32EF5E7D7}\RP1131\A0611472.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5962DFA0-E7A4-4685-B16C-16A32EF5E7D7}\RP1131\A0611474.exe (Trojan.Banker) -> Quarantined and deleted successfully.
E:\Audiograbber\Uninstall.exe (Rootkit.Agent) -> Quarantined and deleted successfully.

cosinus · 23.12.2009, 19:41

Ok, nun noch bitte einen Durchlauf mit Combofix, dann sehen wir weiter. Wir sind aber schon ein paar Schritte weiter, das Rootkit dürfte weg sein:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

year_zero · 23.12.2009, 20:43

Dass war's nun aber?

ComboFix 09-12-22.09 - Olli 23.12.2009 20:27:30.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.266 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Olli\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\krl32mainweq.dll
c:\windows\system32\ntSVc.ocx
c:\windows\system32\srcr.dat

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\atapi.sys wurde wiederhergestellt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF

((((((((((((((((((((((( Dateien erstellt von 2009-11-23 bis 2009-12-23 ))))))))))))))))))))))))))))))
.

2009-12-23 14:14 . 2009-12-23 14:14 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Malwarebytes
2009-12-23 14:14 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-23 14:14 . 2009-12-23 14:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-23 14:14 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-23 14:14 . 2009-12-23 14:14 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-23 13:46 . 2009-12-23 13:46 -------- d-----w- c:\programme\trend micro
2009-12-23 13:46 . 2009-12-23 13:47 -------- d-----w- C:\rsit
2009-12-23 12:40 . 2009-12-23 12:40 -------- d-----w- c:\dokumente und einstellungen\Administrator.OLLISPC\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-12-23 11:56 . 2009-12-23 11:56 -------- d-----w- C:\VundoFix Backups
2009-12-22 22:03 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-12-22 22:02 . 2009-12-22 22:02 -------- d-----w- c:\programme\Panda Security
2009-12-22 21:42 . 2009-12-23 15:49 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\QuickScan
2009-12-22 20:06 . 2009-12-22 20:00 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-12-22 20:00 . 2009-12-23 11:38 -------- d-----w- c:\dokumente und einstellungen\Olli\.housecall6.6
2009-12-22 19:07 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-12-22 19:07 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-12-22 19:07 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-12-22 19:06 . 2009-12-22 19:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-22 17:25 . 2009-12-22 17:25 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2009-12-19 17:55 . 2009-12-19 17:55 -------- d-----w- c:\programme\iPod
2009-12-10 18:34 . 2004-08-03 23:57 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2009-12-10 18:34 . 2004-08-03 23:57 21504 ----a-w- c:\windows\system32\hidserv.dll
2009-12-06 22:52 . 2009-12-06 22:52 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Google
2009-11-25 17:00 . 2009-11-25 17:00 58672 ---ha-w- c:\windows\system32\mlfcache.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-23 15:49 . 2009-09-16 13:19 -------- d-----w- c:\programme\Windows Live
2009-12-23 14:07 . 2006-11-22 20:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-22 21:34 . 2009-03-18 08:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-22 19:48 . 2007-12-30 18:48 96 ----a-w- c:\windows\system32\mslck.dat
2009-12-22 19:27 . 2008-05-26 21:24 -------- d-----w- c:\programme\Google
2009-12-22 17:10 . 2005-12-17 19:14 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-21 10:46 . 2008-12-25 11:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-12-20 21:09 . 2008-12-29 17:51 -------- d-----w- c:\programme\PokerStars
2009-12-19 17:55 . 2008-12-25 11:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-12-19 17:52 . 2008-12-25 11:21 -------- d-----w- c:\programme\QuickTime
2009-12-19 17:47 . 2009-12-19 17:47 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-12-19 17:44 . 2009-06-29 15:45 -------- d-----w- c:\programme\Safari
2009-12-19 17:41 . 2009-12-19 17:41 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe
2009-12-18 17:33 . 2009-12-22 21:42 684032 ----a-w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2009-12-18 17:32 . 2009-12-22 21:42 776704 ----a-w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2009-12-15 19:57 . 2006-04-12 10:53 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\OpenOffice.org2
2009-12-15 18:19 . 2009-06-12 11:21 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\gtk-2.0
2009-12-06 18:49 . 2008-02-06 12:35 -------- d-----w- c:\programme\Azureus
2009-12-06 18:49 . 2006-03-03 16:02 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Azureus
2009-12-02 19:20 . 2008-03-31 11:47 -------- d-----w- c:\programme\Soulseek
2009-11-25 16:47 . 2007-11-19 15:24 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Winamp
2009-11-25 16:45 . 2006-01-13 12:42 -------- d-----w- c:\programme\Winamp
2009-11-16 16:59 . 2009-11-16 16:59 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Trillian
2009-11-11 21:18 . 2007-12-28 10:53 -------- d-----w- c:\programme\CamStudio
2009-10-28 17:32 . 2006-02-24 22:40 -------- d-----w- c:\programme\DivX
2009-10-28 17:31 . 2009-10-28 17:31 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-10-27 17:45 . 2009-05-27 15:06 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-10-25 19:36 . 2001-08-23 12:00 49000 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 19:36 . 2001-08-23 12:00 319498 ----a-w- c:\windows\system32\perfh007.dat
2009-09-25 16:42 . 2007-01-05 10:42 129784 ------w- c:\windows\system32\pxafs.dll
2009-09-25 16:42 . 2006-02-24 22:40 120056 -c----w- c:\windows\system32\pxcpyi64.exe
2009-09-25 16:42 . 2006-02-24 22:40 118520 -c----w- c:\windows\system32\pxinsi64.exe
2009-09-25 16:41 . 2009-09-25 16:41 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-09-25 16:41 . 2009-09-25 16:41 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-09-25 16:41 . 2009-09-25 16:41 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-09-25 16:41 . 2009-09-25 16:41 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-09-25 16:41 . 2009-09-25 16:41 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-09-25 16:41 . 2009-09-25 16:41 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-09-25 16:41 . 2009-09-25 16:41 696320 ----a-w- c:\windows\system32\DivX.dll
2009-09-25 12:50 . 2006-01-27 09:20 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-09-25 12:50 . 2003-03-19 09:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
.

------- Sigcheck -------

[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\atapi.sys
[-] 2004-08-03 21:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[7] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0003\DriverFiles\i386\atapi.sys
[7] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"h:\\AoE\\age2_x1.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Steam\\Steam.exe"=
"e:\\Itunes\\iTunes.exe"=

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [04.05.2007 15:51 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [04.05.2007 15:51 5248]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [22.12.2009 23:03 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.12.2009 20:06 108289]
R2 WUSB54Gv42SVC;WUSB54Gv42SVC;c:\programme\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe [28.10.2007 14:07 53307]
S2 gupdate;Google Update Service (gupdate);"c:\programme\Google\Update\GoogleUpdate.exe" /svc --> c:\programme\Google\Update\GoogleUpdate.exe [?]
S3 adxapie;adxapie;\??\c:\dokume~1\Olli\LOKALE~1\Temp\adxapie.sys --> c:\dokume~1\Olli\LOKALE~1\Temp\adxapie.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.02.2006 17:56 642560]
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &ICQ Toolbar Search - e:\icqtoolbar\toolbaru.dll/SEARCH.HTML
IE: E&xport to Microsoft Excel - e:\office\OFFICE11\EXCEL.EXE/3000
TCP: {2732F219-B1B5-4B18-90CF-721D691CCCB3} = 192.168.0.1
TCP: {3234F36A-2C9D-4E49-AB13-94E4D9C5EADB} = 192.168.0.1
TCP: {71F9F4C2-B93D-408A-B7DA-6CBEA0267B0B} = 192.168.0.1
TCP: {C88A3C75-5EC9-4449-BA81-99F90AFF9A2D} = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
FF - component: c:\programme\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJPI150_11.dll
FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPOJI610.dll
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - plugin: e:\adobe\Reader\browser\nppdf32.dll
FF - plugin: e:\itunes\Mozilla Plugins\npitunes.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Audiograbber - e:\audiograbber\Uninstall.exe
AddRemove-Steam App 70 - c:\progra~1\Steam\steam.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-23 20:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82DA15A8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf8648fc3
\Driver\ACPI -> ACPI.sys @ 0xf84a2cb8
\Driver\atapi -> 0x82da15a8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44
ParseProcedure -> ntkrnlpa.exe @ 0x80576964
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44
ParseProcedure -> ntkrnlpa.exe @ 0x80576964
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-507921405-1425521274-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"???n"=hex:a0,22,db,7d,d9,0e,98,74,df,f3,20,43,85,8f,02,24,d6,a0,c2,37,d6,3f,
d2,e9,58,a8,69,9f,49,43,70,dc,05,02,24,ad,36,48,d7,2b,81,69,62,e9,5a,be,f5,\
"?????"=hex:fa,47,17,b1,35,62,9a,e6,99,6b,28,89,0f,30,a0,08
"???n"=hex:6a,bd,a6,10,21,2f,20,29,a1,27,db,61,4f,8b,16,a0,fd,48,ed,57,ee,42,
84,ca,44,0d,69,ea,2c,f7,1c,03,cf,5a,c5,d2,ac,ea,95,a5,63,51,12,8b,70,43,bd,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2160)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\windows\System32\MsPMSPSv.exe
c:\programme\Linksys Wireless-G USB Wireless Network Monitor\WUSB54Gv42.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-23 20:42:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-23 19:42

Vor Suchlauf: 5.321.486.336 Bytes frei
Nach Suchlauf: 5.245.788.160 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Current=7 Default=7 Failed=6 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8
- - End Of File - - EBD599B2067508764AED6AE515599CC3

cosinus · 23.12.2009, 20:50

Zitat:

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\atapi.sys wurde wiederhergestellt

Das meinte ich...da hat das Rootkit sich in die atapi.sys (essentielle Systemdatei) eingenistet, CF hat sie aber wiederhergestellt.

c:\windows\system32\drivers\pavboot.sys

Diese Datei bitte bei Virustotal.com checken lassen und Ergebnislink posten.
Erstell bitte auch noch ein frisches Log mit GMER und poste es.

year_zero · 23.12.2009, 21:36

bei GMER kommt leider immer : Ein Fehler wurde festgestellt "...." musste beendet werden....

bei virustotal :

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.23 -
AhnLab-V3 5.0.0.2 2009.12.23 -
AntiVir 7.9.1.122 2009.12.23 -
Antiy-AVL 2.0.3.7 2009.12.23 -
Authentium 5.2.0.5 2009.12.23 -
Avast 4.8.1351.0 2009.12.23 -
AVG 8.5.0.430 2009.12.23 -
BitDefender 7.2 2009.12.23 -
CAT-QuickHeal 10.00 2009.12.23 -
ClamAV 0.94.1 2009.12.23 -
Comodo 3342 2009.12.23 -
DrWeb 5.0.1.12222 2009.12.23 -
eSafe 7.0.17.0 2009.12.23 -
eTrust-Vet 35.1.7193 2009.12.23 -
F-Prot 4.5.1.85 2009.12.23 -
F-Secure 9.0.15370.0 2009.12.23 -
Fortinet 4.0.14.0 2009.12.23 -
GData 19 2009.12.23 -
Ikarus T3.1.1.79.0 2009.12.23 -
Jiangmin 13.0.900 2009.12.23 -
K7AntiVirus 7.10.926 2009.12.22 -
Kaspersky 7.0.0.125 2009.12.23 -
McAfee 5841 2009.12.23 -
McAfee+Artemis 5841 2009.12.23 -
McAfee-GW-Edition 6.8.5 2009.12.23 -
Microsoft 1.5302 2009.12.23 -
NOD32 4713 2009.12.23 -
Norman 6.04.03 2009.12.23 -
nProtect 2009.1.8.0 2009.12.23 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.23 -
Prevx 3.0 2009.12.23 -
Rising 22.27.02.02 2009.12.23 -
Sophos 4.49.0 2009.12.23 -
Sunbelt 3.2.1858.2 2009.12.23 -
Symantec 1.4.4.12 2009.12.23 -
TheHacker 6.5.0.3.109 2009.12.23 -
TrendMicro 9.120.0.1004 2009.12.23 -
VBA32 3.12.12.0 2009.12.23 -
ViRobot 2009.12.23.2105 2009.12.23 -
VirusBuster 5.0.21.0 2009.12.23 -
weitere Informationen
File size: 28552 bytes
MD5...: 3adb8bd6154a3ef87496e8fce9c22493
SHA1..: 90212e5b5c714e7a0f27614c516b0e0316d7730e
SHA256: f87dc89a1d8613a92fa1b1454f4cacaf6730252c2ccacc424de87998b24d19c2
ssdeep: 768:UYMyRLCfOeTEMNgKlhFcRbpZoW7L+bVm:UYnLCWBRbv7is
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4605
timedatestamp.....: 0x4a48aa64 (Mon Jun 29 11:49:56 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x3d30 0x3d80 6.28 fc0244152da77bc3b9dfbff4e82524ce
.rdata 0x4200 0x224 0x280 3.63 776e04898c922c80549514e1be08db79
.data 0x4480 0x180 0x180 0.21 b26d6caa04f4b123fdc98b003a534973
INIT 0x4600 0x7bc 0x800 5.31 11defc6a960c00fcb75056c61e2711c9
.rsrc 0x4e00 0x300 0x300 3.24 c48713d5d89b7922c239ff2761129f2b
.reloc 0x5100 0x432 0x480 5.73 f4344bcdcbf0fdee142946b371a56d56

( 2 imports )
> ntoskrnl.exe: InitSafeBootMode, strncmp, PsGetVersion, ExAllocatePoolWithTag, IoGetCurrentProcess, memcpy, memset, ExFreePoolWithTag, IoDeleteDevice, ZwClose, ZwQueryValueKey, ZwOpenKey, RtlAppendUnicodeToString, RtlCopyUnicodeString, ZwSetValueKey, ZwCreateKey, RtlAppendUnicodeStringToString, RtlCompareUnicodeString, ObQueryNameString, ZwQuerySymbolicLinkObject, RtlFreeUnicodeString, ZwOpenSymbolicLinkObject, RtlAnsiStringToUnicodeString, RtlInitAnsiString, MmIsAddressValid, _stricmp, strncpy, PsSetCreateProcessNotifyRoutine, IofCallDriver, IofCompleteRequest, PsGetCurrentThreadId, ExQueueWorkItem, IoAttachDeviceToDeviceStack, RtlInitUnicodeString, ObfReferenceObject, ObfDereferenceObject, IoDetachDevice, RtlFreeAnsiString, RtlCompareString, sprintf, RtlUnicodeStringToAnsiString, IoGetDeviceObjectPointer, IoRegisterFsRegistrationChange, NtOpenProcessToken, RtlCopySid, RtlLengthSid, NtQueryInformationToken, NtQuerySecurityObject, NtSetSecurityObject, RtlSetOwnerSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, RtlCreateSecurityDescriptor, ZwDeleteKey, ZwReadFile, ZwWriteFile, ZwQueryInformationFile, wcsncpy, ZwSetInformationFile, ZwCreateFile, ZwDeleteFile, NtQueryDirectoryFile, _wcsicmp, KeTickCount, KeBugCheckEx, IoCreateDevice, IoCreateSymbolicLink, KeDelayExecutionThread, IoDeleteSymbolicLink, RtlUnwind
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: Panda Security, S.L.
copyright....: (c) Panda Security 2008
product......: n/a
description..: Panda Boot Driver
original name: pavboot.sys
internal name: pavboot
file version.: 1.0.11.0
comments.....: n/a
signers......: Panda Security S.L
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 9:37 AM 6/30/2009
verified.....: -
pdfid.: -
trid..: Win32 Executable Generic (51.1%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%)

cosinus · 24.12.2009, 08:55

Dann probier GMER bitte im abgesicherten Modus aus.

year_zero · 27.12.2009, 17:52

Hey sorry,dass ich die letzten tage nicht geschrieben habe.Weihnachtsstress und so!
Ähm wenn ich meinen PC im abgesicherten Modus starte,seh ich doch die GMER Exe auf dem Desktop gar nicht?

23.12.2009, 14:58	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Nimm nicht alles wörtlich Deaktivieren kannst Du nur falls da ein Wächter aktiv ist __________________ --> Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"

23.12.2009, 15:12	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Wir sind noch nicht durch! Bitte einen Durchlauf mit Malwarebytes probieren und Log posten! __________________ Logfiles bitte immer in CODE-Tags posten

24.12.2009, 08:55	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Dann probier GMER bitte im abgesicherten Modus aus. __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"

Plagegeister aller Art und deren Bekämpfung: Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"