Hallo an alle,

auch ich habe dieses Board entdeckt um Hilfe zu bekommen.
Da ich der einäugige unter den Blinden im Freundeskreis bin habe ich einen Laptop bekommen, welcher total verseucht ist.
Ich habe gestern den CCleaner laufen lassen und danach versucht AntiMalware zu installieren, was mir im abgesicherten Modus auch gelungen ist. Leider will das Programm nicht starten.
Da ich einen Rootkit vermutete habe ich GMER laufen lassen. Das Protokoll hänge ich an.
Soll ich jetzt noch mit Schritt drei weitermachen oder habt Ihr andere Vorschläge?

Protokoll:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-06 23:37:33
Windows 5.1.2600 Service Pack 3
Running: 8wkl4t5t.exe; Driver: C:\DOKUME~1\Lars\LOKALE~1\Temp\pxtdypow.sys


---- System - GMER 1.0.15 ----

Code 86CE6B70 ZwEnumerateKey
Code 86CE7C00 ZwFlushInstructionCache
Code 86CE15FE IofCallDriver
Code 86D218F6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 86CE1603
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 86D218FB
PAGE ntoskrnl.exe!ZwFlushInstructionCache 8056E42A 5 Bytes JMP 86CE7C04
PAGE ntoskrnl.exe!ZwEnumerateKey 805735A4 5 Bytes JMP 86CE6B74
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF6D4FEBF]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpOpenRequestA 77192B01 5 Bytes JMP 13189BEC
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetConnectA 7719345A 5 Bytes JMP 13189A80
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetCloseHandle 77194D94 5 Bytes JMP 1318B354
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetOpenA 77195796 5 Bytes JMP 13189A2C
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpSendRequestA 771960A9 5 Bytes JMP 1318A500
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFile 771982F2 5 Bytes JMP 1318B100
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetQueryDataAvailable 771A8A67 5 Bytes JMP 1318AEF4
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFileExA 771C934E 5 Bytes JMP 1318B2B4
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFileExW 771C9D9E 5 Bytes JMP 1318B304
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpSendRequestW 771E3224 5 Bytes JMP 1318A914

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTrntyuuhddc.sys (*** hidden *** ) AACCE000-AACEB000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [888] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [932] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [992] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1076] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1440] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1868] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1972] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2292] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTrntyuuhddc.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvvkbejitao.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTyjrdtiindx.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTgvxvasrnty.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvvkbejitao.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTyjrdtiindx.dat
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTgvxvasrnty.dll

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp\H8SRTf5fc.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp\h8srtmainqt.dll 15813 bytes
File C:\WINDOWS\system32\drivers\H8SRTrntyuuhddc.sys 40960 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\H8SRTcbaxjaimof.dll 36864 bytes executable
File C:\WINDOWS\system32\H8SRTgvxvasrnty.dll 40960 bytes executable
File C:\WINDOWS\system32\H8SRTvvkbejitao.dll 23040 bytes executable
File C:\WINDOWS\system32\H8SRTyjrdtiindx.dat 202 bytes

---- EOF - GMER 1.0.15 ----


Vielen Dank für Eure Hilfe.

Gruß Silvio

Hallöle SIWA. Hast du dir den Laptop gekauft?

Dann musst du Neuaufsetzen und hinterher ordentlich absichern.

Oder hast du den von einem Freund bekommen um ihn heil zu machen?

In dem Fall poste bitte zwei AVZ logs.

Hallo undoreal,

ich soll den Rechner heile machen, aber wie gesagt, ich bin auch nur Einäugiger...:-)

Ich werde heute Abend die zwei logs erstellen und posten.

Bei der Anleitung komme ich bei Download nach den 4. Punkt nicht zurecht.
Soll ich die 1111.com einmal starten als Admin und dann wieder schließen, bevor ich die dann wieder mit doppelklick starte oder ist der Start dann schon gewährleistet und ich kann mit Punkt 2 der Systemanalyse fortfahren?

Gruß SIWA

Einfach nur auf die 1111.exe mit rechts drauf klicken und "Ausführen als Admin" auswählen. Danach wie in der Anleitung beschrieben weitermachen.

Der Updater bringt eine Fehlermeldung:-(((

Ich habe auf dem Rechner eine WLAN-Verbindung eingerichtet - die verbindung steht, aber er läßt mich auch nicht mit dem IE ins Netz.

Dann lass das Update erstmal weg und gehe weiter vor wie in der Anleitung beschrieben wird.