worm namens otzfksct.dll..

blade · 11.01.2010, 21:49

Hallo,

hab sein ein paar tagen einen ziemlich nervenden trojaner.. das "gute" teil heißt
otzfksct.dll und befindet sich im system32 ordner... Antivir findet zwar den bösling aber, wenn ich den worm lösche kommt er nach ein paar tagen wieder zurück :-(

ich hab mal hijack drüber laufen lassen und soweit ist alles im grünen bereich.. habt ihr eventuell irgendwelche tips für mich? windows ist auch auf dem neuesten stand allerdings seit ich den worm habe deaktiviert sich ständig die auto update funktion von windoof.. liegt warscheinlich am worm..

cosinus · 12.01.2010, 09:56

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

blade · 12.01.2010, 23:29

hi

hier erhälst du beide log files

http://www.file-upload.net/download-2154903/Logs.rar.html

ccleaner habe ich bereits drüber laufen lassen

cosinus · 13.01.2010, 09:31

Die info.txt fehlt aber noch

Und noch zusätzlich bitte:

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

blade · 13.01.2010, 19:30

http://www.file-upload.net/download-2156762/report.rar.html

so ich hoffe es sind jetzt alle logs

cosinus · 13.01.2010, 20:13

Zitat:

C:\WINDOWS\system32\unredmon.exe
C:\WINDOWS\system32\redmonnt.dll

Bitte diese beiden Dateien bei Virustotal auswerten lassen und Ergebnislink posten.
Mach danach bitte einen Durchlauf mit GMER und poste das Log.

blade · 13.01.2010, 21:02

http://www.file-upload.net/download-2157165/gmer.log.html

Datei unredmon.exe empfangen 2010.01.13 19:30:36 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 50 und 71 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.48 2010.01.13 -
AhnLab-V3 5.0.0.2 2010.01.13 -
AntiVir 7.9.1.134 2010.01.13 -
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.13 -
Avast 4.8.1351.0 2010.01.13 -
AVG 9.0.0.725 2010.01.13 -
BitDefender 7.2 2010.01.13 -
CAT-QuickHeal 10.00 2010.01.13 -
ClamAV 0.94.1 2010.01.13 -
Comodo 3570 2010.01.13 -
DrWeb 5.0.1.12222 2010.01.13 -
eSafe 7.0.17.0 2010.01.13 -
eTrust-Vet 35.2.7235 2010.01.13 -
F-Prot 4.5.1.85 2010.01.13 -
F-Secure 9.0.15370.0 2010.01.13 -
Fortinet 4.0.14.0 2010.01.13 -
GData 19 2010.01.13 -
Ikarus T3.1.1.80.0 2010.01.13 -
Jiangmin 13.0.900 2010.01.13 -
K7AntiVirus 7.10.946 2010.01.13 -
Kaspersky 7.0.0.125 2010.01.13 -
McAfee 5859 2010.01.12 -
McAfee+Artemis 5859 2010.01.12 -
McAfee-GW-Edition 6.8.5 2010.01.13 -
Microsoft None 2010.01.13 -
NOD32 4768 2010.01.13 -
Norman 6.04.03 2010.01.13 -
nProtect 2009.1.8.0 2010.01.13 -
Panda 10.0.2.2 2010.01.13 -
PCTools 7.0.3.5 2010.01.13 -
Prevx 3.0 2010.01.13 -
Rising 22.30.02.06 2010.01.13 -
Sophos 4.49.0 2010.01.13 -
Sunbelt 3.2.1858.2 2010.01.13 -
Symantec 20091.2.0.41 2010.01.13 -
TheHacker 6.5.0.3.149 2010.01.13 -
TrendMicro 9.120.0.1004 2010.01.13 -
VBA32 3.12.12.1 2010.01.13 -
ViRobot 2010.1.13.2134 2010.01.13 -
VirusBuster 5.0.21.0 2010.01.13 -
weitere Informationen
File size: 45056 bytes
MD5...: 246e343f3298f667d03ccac005f34fdd
SHA1..: fa469bebd1d0c50fa4321c67218f83d09784087a
SHA256: 83842c054d53b95c89c583830398c3f029fe67966dfbca5a9989023a8e7d3e81
ssdeep: 384

qTG4OCkIOC2XROs9TJT5eLa+aAS1+/FJ/IqCy6HDtfZJST/ZU1Dv/SN:kQC
GRJJTIOi3gqjCPST/GN0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1720
timedatestamp.....: 0x3bdba8d9 (Sun Oct 28 06:42:33 2001)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x458f 0x4600 4.87 03f5c35a135f60fc5952685e0678104e
.rdata 0x6000 0x6af 0x800 3.08 4617a14829ab19797010561af4e60897
.data 0x7000 0x50c4 0x3800 0.50 ad8145ff4d11e93516cdd949f8f66020
.idata 0xd000 0x8d9 0xa00 3.47 784d3585c1b8aa88b947758d804e9789
.rsrc 0xe000 0xce8 0xe00 2.65 e31b61625972f59604ae68d8324a3491
.reloc 0xf000 0x51b 0x600 5.08 b584a9c49c1701481d5a47e9e1689c5d

( 4 imports )
> USER32.dll: wsprintfA, MessageBoxA, LoadStringA
> WINSPOOL.DRV: DeleteMonitorA, EnumPortsA, EnumMonitorsA
> ADVAPI32.dll: RegOpenKeyExA, RegDeleteKeyA, RegCloseKey
> KERNEL32.dll: GetCommandLineA, TerminateProcess, GetCurrentProcess, LoadLibraryA, GetProcAddress, VirtualAlloc, HeapAlloc, LocalFree, LocalHandle, lstrcatA, FormatMessageA, GetLastError, SetLastError, WritePrivateProfileStringA, GetWindowsDirectoryA, MoveFileExA, DeleteFileA, lstrcpyA, GetSystemDirectoryA, lstrcmpA, lstrlenA, GetVersion, GetModuleHandleA, GetStartupInfoA, WideCharToMultiByte, ExitProcess, HeapFree, GetACP, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetFileType, GetCPInfo, HeapDestroy, GetOEMCP, SetHandleCount, GetStdHandle, RtlUnwind, HeapCreate, VirtualFree, WriteFile

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ 4.x (48.0%)
Win64 Executable Generic (30.5%)
Win32 Executable MS Visual C++ (generic) (13.4%)
Win32 Executable Generic (3.0%)
Win32 Dynamic Link Library (generic) (2.7%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

___________________________________________________

____________________________________________________

Datei redmonnt.dll empfangen 2010.01.13 19:36:52 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis:
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.48 2010.01.13 -
AhnLab-V3 5.0.0.2 2010.01.13 -
AntiVir 7.9.1.134 2010.01.13 -
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.13 -
Avast 4.8.1351.0 2010.01.13 -
AVG 9.0.0.725 2010.01.13 -
BitDefender 7.2 2010.01.13 -
CAT-QuickHeal 10.00 2010.01.13 -
ClamAV 0.94.1 2010.01.13 -
Comodo 3570 2010.01.13 -
DrWeb 5.0.1.12222 2010.01.13 -
eSafe 7.0.17.0 2010.01.13 Win32.Banker
eTrust-Vet 35.2.7235 2010.01.13 -
F-Prot 4.5.1.85 2010.01.13 -
F-Secure 9.0.15370.0 2010.01.13 -
Fortinet 4.0.14.0 2010.01.13 -
GData 19 2010.01.13 -
Ikarus T3.1.1.80.0 2010.01.13 -
Jiangmin 13.0.900 2010.01.13 -
K7AntiVirus 7.10.946 2010.01.13 -
Kaspersky 7.0.0.125 2010.01.13 -
McAfee 5860 2010.01.13 -
McAfee+Artemis 5859 2010.01.12 -
McAfee-GW-Edition 6.8.5 2010.01.13 -
Microsoft 1.5302 2010.01.13 -
NOD32 4768 2010.01.13 -
Norman 6.04.03 2010.01.13 -
nProtect 2009.1.8.0 2010.01.13 -
Panda 10.0.2.2 2010.01.13 -
PCTools 7.0.3.5 2010.01.13 -
Prevx 3.0 2010.01.13 -
Rising 22.30.02.06 2010.01.13 -
Sophos 4.49.0 2010.01.13 -
Sunbelt 3.2.1858.2 2010.01.13 -
TheHacker 6.5.0.3.149 2010.01.13 -
TrendMicro 9.120.0.1004 2010.01.13 -
VBA32 3.12.12.1 2010.01.13 -
ViRobot 2010.1.13.2134 2010.01.13 -
VirusBuster 5.0.21.0 2010.01.13 -
weitere Informationen
File size: 116224 bytes
MD5...: 1574dd9d409f2dc45cf82c22b99164a4
SHA1..: e645051f6cb4b703ae7ab184f36359175fe9d346
SHA256: f321ba34102f7b4ccd662c01453b5e005cdce17998ab5d800c25fab540418a72
ssdeep: 1536:FIStwrjmSpCsBt02vbIOUG1+aANN136wl+3g+3Zk6Y/gs678:FVtwGls7UO
UZNN136wl+3g+3ZvYYs67
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xca40
timedatestamp.....: 0x3bdba8d4 (Sun Oct 28 06:42:28 2001)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1102f 0x11200 5.44 8b5fe1d790067c61a8978551b64276d1
.rdata 0x13000 0x87c 0xa00 3.23 38464954888b93a4c7c6867eb797fc21
.data 0x14000 0x7c4c 0x6200 1.63 0063c139755f3019623efc5d1ad6bbaa
.idata 0x1c000 0x140e 0x1600 4.29 76e47cad639b95f9befb146b033e8828
.rsrc 0x1e000 0x1221 0x1400 2.57 d7d1666a8045b60a5e0532422378933d
.reloc 0x20000 0xfe2 0x1000 6.20 6222ff41a44210dd6fc363e52574429d

( 6 imports )
> comdlg32.dll: GetSaveFileNameW, GetOpenFileNameW
> GDI32.dll: StartPage, SetAbortProc, StartDocW, GetDeviceCaps, CreateFontIndirectW, SelectObject, TextOutW, EndPage, TextOutA, EndDoc, DeleteDC, CreateDCW
> USER32.dll: DialogBoxParamW, LoadStringW, wsprintfW, WaitForInputIdle, MessageBoxW, BringWindowToTop, SetForegroundWindow, SetDlgItemTextW, GetDlgItemTextW, EndDialog, SetWindowLongW, GetWindowLongW, SetWindowTextW, EnableWindow, GetDlgItem, SendDlgItemMessageW, WinHelpW, SetDlgItemInt, GetDlgItemInt
> WINSPOOL.DRV: EndDocPrinter, AbortPrinter, SetJobW, EnumPortsW, EnumPrintersW, WritePrinter, GetJobW, ClosePrinter, GetPrinterW, StartDocPrinterW, OpenPrinterW
> ADVAPI32.dll: GetSidSubAuthority, RegDeleteKeyW, GetSidSubAuthorityCount, GetSidIdentifierAuthority, IsValidSid, GetTokenInformation, DuplicateTokenEx, OpenThreadToken, RegCloseKey, RegQueryValueExW, RegCreateKeyExW, CreateProcessAsUserW, RegOpenKeyExW, RegEnumKeyW, RegSetValueExW
> KERNEL32.dll: ReadFile, lstrcmpiW, GetComputerNameW, GlobalFree, GlobalAlloc, GetEnvironmentStrings, MultiByteToWideChar, SetFilePointer, SetStdHandle, LoadLibraryA, VirtualAlloc, HeapFree, UnhandledExceptionFilter, HeapAlloc, FatalAppExitA, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, CreateMutexW, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, DeleteCriticalSection, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, TlsGetValue, TlsFree, TlsAlloc, TlsSetValue, VirtualFree, HeapCreate, WaitForSingleObject, ReleaseMutex, FlushFileBuffers, WriteFile, WideCharToMultiByte, lstrlenW, LocalFree, LocalHandle, FormatMessageW, lstrcatW, lstrcpyW, lstrcpynW, HeapDestroy, PeekNamedPipe, GetExitCodeProcess, GlobalUnlock, CloseHandle, ResetEvent, GlobalLock, SetLastError, FreeEnvironmentStringsA, GetEnvironmentVariableW, GetLastError, GetCurrentThread, CreateThread, CreateEventW, GetCurrentThreadId, FreeEnvironmentStringsW, GetProfileStringW, DuplicateHandle, GetCurrentProcess, CreatePipe, CreateFileW, Sleep, SetEvent, DeleteFileW, GetExitCodeThread, GetWindowsDirectoryW, ExpandEnvironmentStringsW, FreeLibrary, lstrcmpW, ExitProcess, TerminateProcess, GetEnvironmentStringsW, CreateProcessW, GetModuleFileNameW, GlobalHandle, GetProcAddress, LoadLibraryW, GetVersionExW, DisableThreadLibraryCalls, GetCommandLineA, GetModuleHandleA, GetVersion

( 5 exports )
DllEntryPoint, DllMain, InitializePrintMonitor, InitializePrintMonitor2, InitializePrintMonitorUI
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win32 Executable MS Visual C++ (generic) (51.6%)
Windows Screen Saver (17.9%)
Win32 Executable Generic (11.6%)
Win32 Dynamic Link Library (generic) (10.3%)
Win16/32 Executable Delphi generic (2.8%)
pdfid.: -

cosinus · 13.01.2010, 21:08

Bitte nochmal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\otzfksct.dll

drivers to delete:
tmavjm
kuasjg

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Datei c:\avenger\backup.zip bei file-upload hochladen und hier verlinken.

blade · 13.01.2010, 21:34

File-Upload.net - backup.zip

________________________________________________________
________________________________________________________
Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\otzfksct.dll" not found!
Deletion of file "C:\WINDOWS\system32\otzfksct.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "tmavjm" deleted successfully.
Driver "kuasjg" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

cosinus · 13.01.2010, 21:39

Ich hoffe ich hab die richtigen Treiber erwischt. Mach bitte ein Kontroll-Log mit GMER.

blade · 14.01.2010, 21:55

welchen treiber meinst du ? leider kann ich den log nicht hochladen..

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2010-01-14 21:49:52
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

SSDT B94074DE ZwCreateKey
SSDT B94074D4 ZwCreateThread
SSDT B94074E3 ZwDeleteKey
SSDT B94074ED ZwDeleteValueKey
SSDT spvo.sys ZwEnumerateKey [0xF74FCDA4]
SSDT spvo.sys ZwEnumerateValueKey [0xF74FD132]
SSDT B94074F2 ZwLoadKey
SSDT spvo.sys ZwOpenKey [0xF74E40C0]
SSDT B94074C0 ZwOpenProcess
SSDT B94074C5 ZwOpenThread
SSDT spvo.sys ZwQueryKey [0xF74FD20A]
SSDT spvo.sys ZwQueryValueKey [0xF74FD08A]
SSDT B94074FC ZwReplaceKey
SSDT B94074F7 ZwRestoreKey
SSDT B94074E8 ZwSetValueKey
SSDT B94074CF ZwTerminateProcess

INT 0x62 ? 89BA3BF8
INT 0x63 ? 89C12BF8
INT 0x84 ? 89BA2BF8
INT 0x94 ? 89BA2BF8
INT 0xA4 ? 89BA2BF8
INT 0xB4 ? 89BA6F00

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 169 804E27C5 3 Bytes [CD, 4F, F7]
.text ntoskrnl.exe!_abnormal_termination + 428 804E2A84 4 Bytes CALL 8C076AFD
? spvo.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B32418AC 5 Bytes JMP 89BA21D8
.text ar41svh4.SYS B30D7386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text ar41svh4.SYS B30D73AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text ar41svh4.SYS B30D73C4 3 Bytes [00, 80, 02]
.text ar41svh4.SYS B30D73C9 1 Byte [30]
.text ar41svh4.SYS B30D73C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89BA65E0
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F750FDDC] spvo.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F750FE30] spvo.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74E5042] spvo.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74E513E] spvo.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74E50C0] spvo.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74E5800] spvo.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74E56D6] spvo.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89BA22D8
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlInitUnicodeString] 8800001C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!swprintf] 001CBA86
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeSetEvent] C61AEB00
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 001C8986
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 86C61200
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 00001C8B
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmFreeMappingAddress] 96868801
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 8800001C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 001CB286
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmUnmapIoSpace] 88968B00
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 8900001C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IofCompleteRequest] 001CA496
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlCompareUnicodeString] C6168B00
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IofCallDriver] 001CC186
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmAllocateMappingAddress] 428A0A00
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] C286880C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoConnectInterrupt] 8B00001C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoDetachDevice] 24A48DFA
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeWaitForSingleObject] 00000000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeInitializeEvent] 4B8BDF8B
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeCancelTimer] 8D3F0304
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] CB033043
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlInitAnsiString] 0673C13B
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] C13B0003
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoQueueWorkItem] 8366FA72
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmMapIoSpace] 75000E7B
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 0B7D80E3
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoReportDetectedDevice] 307B8D00
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoReportResourceForDetection] 00AA840F
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 83660000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!NlsMbCodePageTag] 6A000E7A
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!PoRequestPowerIrp] C6647400
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] 001CC386
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] 4F8B0200
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!sprintf] 968D5140
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 00001C98
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ObfDereferenceObject] 22F6E852
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 478B0000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 50016A40
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ZwClose] 1CB48E8D
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] E8510000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] 000022E4
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] 6A18538B
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!PoStartNextPowerIrp] 868D5200
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoCreateDevice] 00001CA0
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 22D2E850
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 4B8B0000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 51016A18
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ZwOpenKey] 1CBC968D
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlFreeUnicodeString] E8520000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoStartTimer] 000022C0
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeInitializeTimer] 8A05478A
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoInitializeTimer] 001CC38E
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeInitializeDpc] 30C48300
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeInitializeSpinLock] 1CC58688
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoInitializeIrp] 80E90000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ZwCreateKey] C6000000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 001CC386
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 438B0100
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ZwSetValueKey] 8E8D5018
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeInsertQueueDpc] 00001C98
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 2292E851
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoStartPacket] 538B0000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 52016A18
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 1CB4868D
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoFreeMdl] E8500000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmUnlockPages] 00002280
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 8A05478A
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 001CC38E
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 18C48300
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 1CC58688
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeSynchronizeExecution] 43EB0000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoStartNextPacket] 320C538A
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeBugCheckEx] 88F93BC0
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 001CC396
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeSetTimer] F6317300
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!_allmul] 74070647
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmProbeAndLockPages] 75C0841A
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!_except_handler3] 05578A0B
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!PoSetPowerState] 968801B0
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 00001CC5
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 57B60F66
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlDeleteRegistryValue] 533B6604
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!_aulldiv] 03087408
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!strstr] 72F93B3F
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!_strupr] 8A09EBDA
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeQuerySystemTime] 86880547
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 00001CC5
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!KeTickCount] 88084B8A
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] 001CC68E
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoDeleteDevice] 40578B00
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 8D52006A
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoAllocateWorkItem] 001CC886
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoAllocateIrp] 11E85000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoAllocateMdl] 8B000022
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CC08E
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmLockPagableDataSection] C4968B00
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8900001C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CCC8E
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!ExFreePoolWithTag] D0968900
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoFreeIrp] 8B00001C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!IoFreeWorkItem] 016A4047
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!InitSafeBootMode] D4C68150
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!RtlCompareMemory] 5600001C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!PoCallDriver] 0021E7E8
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!memmove] 18C48300
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[ntoskrnl.exe!MmHighestUserAddress] 5D5B5E5F
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!KfRaiseIrql] 00001CB1
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!HalTranslateBusAddress] 8986C636
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!READ_PORT_USHORT] 001C9686
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\ar41svh4.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89BA11F8
Device \Driver\PCI_PNP0924 \Device\00000043 spvo.sys
Device \Driver\PCI_PNP0924 \Device\00000043 spvo.sys
Device \Driver\usbuhci \Device\USBPDO-0 88E21500
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BA41F8
Device \Driver\dmio \Device\DmControl\DmConfig 89BA41F8
Device \Driver\dmio \Device\DmControl\DmPnP 89BA41F8
Device \Driver\dmio \Device\DmControl\DmInfo 89BA41F8
Device \Driver\usbuhci \Device\USBPDO-1 88E21500
Device \Driver\usbuhci \Device\USBPDO-2 88E21500
Device \Driver\usbuhci \Device\USBPDO-3 88E21500
Device \Driver\sptd \Device\4163552174 spvo.sys
Device \Driver\usbehci \Device\USBPDO-4 88E261F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89C131F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89C131F8
Device \Driver\Cdrom \Device\CdRom0 88E2A500
Device \Driver\Ftdisk \Device\HarddiskVolume3 89C131F8
Device \Driver\Cdrom \Device\CdRom1 88E2A500
Device \Driver\NetBT \Device\NetBT_Tcpip_{7320DDF7-87C8-4B78-8E25-7BB19EAC5FF0} 88E42500
Device \Driver\Ftdisk \Device\HarddiskVolume4 89C131F8
Device \Driver\Ftdisk \Device\HarddiskVolume5 89C131F8
Device \Driver\USBSTOR \Device\00000069 88E4E500
Device \Driver\NetBT \Device\NetBt_Wins_Export 88E42500
Device \Driver\NetBT \Device\NetbiosSmb 88E42500
Device \Driver\usbuhci \Device\USBFDO-0 88E21500
Device \Driver\USBSTOR \Device\0000006c 88E4E500
Device \Driver\usbuhci \Device\USBFDO-1 88E21500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 88E37500
Device \Driver\usbuhci \Device\USBFDO-2 88E21500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 88E37500
Device \Driver\usbuhci \Device\USBFDO-3 88E21500
Device \Driver\usbehci \Device\USBFDO-4 88E261F8
Device \Driver\Ftdisk \Device\FtControl 89C131F8
Device \Driver\ar41svh4 \Device\Scsi\ar41svh41 88E31500
Device \Driver\adpu160m \Device\Scsi\adpu160m1Port2Path0Target0Lun0 89C111F8
Device \Driver\adpu160m \Device\Scsi\adpu160m1 89C111F8
Device \Driver\ar41svh4 \Device\Scsi\ar41svh41Port3Path0Target0Lun0 88E31500
Device \FileSystem\Cdfs \Cdfs 88E49500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 E:\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x35 0xE8 0x0E 0xE1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x99 0x23 0x07 0x99 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3C 0x0B 0x97 0x03 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 E:\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xC6 0xDF 0x35 0xEB ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x99 0x23 0x07 0x99 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3C 0x0B 0x97 0x03 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 E:\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x35 0xE8 0x0E 0xE1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x99 0x23 0x07 0x99 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3C 0x0B 0x97 0x03 ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl (size mismatch) 8192/4096 bytes

---- EOF - GMER 1.0.15 ----

cosinus · 15.01.2010, 12:10

Die gelöschten Treiber sind jedenfalls nicht mehr da

Mach bitte einen Kontrollscan mit Malwarebytes, aktualisiere Malwarebytes vor dem Komplettscan bitte!

blade · 15.01.2010, 18:06

habs upgedatet

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3569
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.01.2010 18:06:33
mbam-log-2010-01-15 (18-06-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|Z:\|)
Durchsuchte Objekte: 300458
Laufzeit: 46 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 15.01.2010, 19:16

Tja, sehr schön, das Teil ist so weg und das ohne Combofix

Oder möchtest Du noch ein Log mit CF machen?

blade · 15.01.2010, 19:57

danke

wenn du mir sagst was CF ist kann ich gerne nochn log davon posten

13.01.2010, 21:39	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	worm namens otzfksct.dll.. Ich hoffe ich hab die richtigen Treiber erwischt. Mach bitte ein Kontroll-Log mit GMER. __________________ Logfiles bitte immer in CODE-Tags posten

15.01.2010, 12:10	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	worm namens otzfksct.dll.. Die gelöschten Treiber sind jedenfalls nicht mehr da Mach bitte einen Kontrollscan mit Malwarebytes, aktualisiere Malwarebytes vor dem Komplettscan bitte! __________________ Logfiles bitte immer in CODE-Tags posten

15.01.2010, 19:16	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	worm namens otzfksct.dll.. Tja, sehr schön, das Teil ist so weg und das ohne Combofix Oder möchtest Du noch ein Log mit CF machen? __________________ Logfiles bitte immer in CODE-Tags posten

worm namens otzfksct.dll..

Plagegeister aller Art und deren Bekämpfung: worm namens otzfksct.dll..