Trojan.Win32.Cosmu.jnu/Trojan/Win32.Cosmu.gen Befall !!! Kann ihn nicht entfernen !!!

Maschi · 12.01.2010, 17:11

Hallo,
mein Problem ist das ich einen Trojaner auf meinem Rechner habe, denk ich zumindest mal, und den nicht weg bekomme.
Habe verschiedene Anti-Virus, Anti-Spyware Software ausprobiert (Spybot, Spyware Doctor, A-Squared), ein paar haben ihn gefunden und ich habe ihn mittels dieser Software auch entfernen lassen aber die Datei in der dieser Trojaner sitz (Sorry, ich kenn mich net aus) ist immer noch da und sobald ich sie lösche ist sie auch schon wieder da.
Diese Datei die ich meine hat den Pfad:
C:\WINDOWS\system32\audio\audio.exe , sie sieht aus wie die ICQ-Blume.
Ich hoffe mir kann irgendjemand weiterhelfen, ich bin am verzweifeln !!!

MfG Thomas

Virustotal.com - Auswertung

Virustotal. MD5: 37b9e7c33153629427eca1130cd8e8d9 Trojan.Win32.Cosmu!IK Trojan/Win32.Cosmu.gen Generic16.SMC

HiJackthis Log

File-Upload.net - hijackthis.rar

Kos · 12.01.2010, 20:07

Hi

Deinstalliere bitte zunächst a-squared (oder schalte dessen guard aus) - zwei Aktivscanner zur gleichen Zeit sind für ein System nur schwer verdaulich.

Danach:
Anleitung: Malwarebytes

Schließe beim Scan bitte alles an dein PC an (USB-Sticks, ext. Festplatten usw.)

Maschi · 13.01.2010, 13:57

Hi,

so ich hab alles getan was in der Anleitung stand und habe auch alles angeschlossen.
Also ich weiß es net genau aber in C:\WINDOWS\system32\audio\audio.exe
die Datei die ich net löschen konnte is jetz weg, bedeutet das das er jetz weg is?

Vielen Dank für die Hilfe

Hier die Ergebnisse:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3552
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.01.2010 06:53:18
mbam-log-2010-01-13 (06-53-18).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|H:\|)
Durchsuchte Objekte: 219340
Laufzeit: 1 hour(s), 20 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{c5760yl5-4n08-h34v-ybvy-vtx3mu18jelg} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2ba1c226-ec1b-4471-a65f-d0688ac6ee3a} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\audio\audio.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.

Kos · 13.01.2010, 14:20

Ja, audio.exe sollte weg sein, aber

Zitat:

C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.

das sieht überhaupt nicht gut aus. Hier ein paar Infos zu Bifrose (englisch).

Bitte einmal GMER genau nach Anleitung.

Maschi · 13.01.2010, 15:58

So, hab alles getan.
Is das Poroblem jetz damit auch behoben oder hab ich wirklich ein ernsteres Problem auf meinem PC ?

Hier die Ergebnisse

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-13 15:46:37
Windows 5.1.2600 Service Pack 3
Running: f1gvzoe9.exe; Driver: C:\DOKUME~1\Privat\LOKALE~1\Temp\uwloquog.sys

---- System - GMER 1.0.15 ----

SSDT F7A90B1E ZwCreateKey
SSDT F7A90B14 ZwCreateThread
SSDT F7A90B23 ZwDeleteKey
SSDT F7A90B2D ZwDeleteValueKey
SSDT spsy.sys ZwEnumerateKey [0xF738CDA4]
SSDT spsy.sys ZwEnumerateValueKey [0xF738D132]
SSDT F7A90B32 ZwLoadKey
SSDT spsy.sys ZwOpenKey [0xF73740C0]
SSDT F7A90B00 ZwOpenProcess
SSDT F7A90B05 ZwOpenThread
SSDT spsy.sys ZwQueryKey [0xF738D20A]
SSDT spsy.sys ZwQueryValueKey [0xF738D08A]
SSDT F7A90B3C ZwReplaceKey
SSDT F7A90B37 ZwRestoreKey
SSDT F7A90B28 ZwSetValueKey
SSDT F7A90B0F ZwTerminateProcess

INT 0x62 ? 84B2DBF8
INT 0x63 ? 8464FF00
INT 0x73 ? 8464FF00
INT 0x82 ? 84B2DBF8
INT 0x83 ? 8464FF00

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 169 804E27C5 3 Bytes [CD, 38, F7]
? spsy.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F71738AC 5 Bytes JMP 8464F4E0
.text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF6766360, 0x24BB1D, 0xE8000020]
.text a23i6zgy.SYS F6719386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text a23i6zgy.SYS F67193AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text a23i6zgy.SYS F67193C4 3 Bytes [00, 80, 02]
.text a23i6zgy.SYS F67193C9 1 Byte [30]
.text a23i6zgy.SYS F67193C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 84AC25E0
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F739FDDC] spsy.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F739FE30] spsy.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7375042] spsy.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F737513E] spsy.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73750C0] spsy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7375800] spsy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73756D6] spsy.sys
IAT \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8464F5E0
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlInitUnicodeString] 8800001C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!swprintf] 001CBA86
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeSetEvent] C61AEB00
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 001C8986
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 86C61200
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 00001C8B
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmFreeMappingAddress] 96868801
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 8800001C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 001CB286
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmUnmapIoSpace] 88968B00
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 8900001C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IofCompleteRequest] 001CA496
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlCompareUnicodeString] C6168B00
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IofCallDriver] 001CC186
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmAllocateMappingAddress] 428A0A00
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] C286880C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoConnectInterrupt] 8B00001C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoDetachDevice] 24A48DFA
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeWaitForSingleObject] 00000000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInitializeEvent] 4B8BDF8B
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeCancelTimer] 8D3F0304
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] CB033043
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlInitAnsiString] 0673C13B
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] C13B0003
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoQueueWorkItem] 8366FA72
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmMapIoSpace] 75000E7B
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 0B7D80E3
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoReportDetectedDevice] 307B8D00
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoReportResourceForDetection] 00AA840F
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 83660000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!NlsMbCodePageTag] 6A000E7A
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoRequestPowerIrp] C6647400
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] 001CC386
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] 4F8B0200
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!sprintf] 968D5140
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 00001C98
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ObfDereferenceObject] 22F6E852
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 478B0000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 50016A40
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwClose] 1CB48E8D
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] E8510000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] 000022E4
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] 6A18538B
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoStartNextPowerIrp] 868D5200
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoCreateDevice] 00001CA0
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 22D2E850
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 4B8B0000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 51016A18
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwOpenKey] 1CBC968D
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlFreeUnicodeString] E8520000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoStartTimer] 000022C0
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInitializeTimer] 8A05478A
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoInitializeTimer] 001CC38E
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInitializeDpc] 30C48300
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInitializeSpinLock] 1CC58688
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoInitializeIrp] 80E90000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwCreateKey] C6000000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 001CC386
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 438B0100
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwSetValueKey] 8E8D5018
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInsertQueueDpc] 00001C98
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 2292E851
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoStartPacket] 538B0000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 52016A18
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 1CB4868D
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoFreeMdl] E8500000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmUnlockPages] 00002280
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 8A05478A
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 001CC38E
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 18C48300
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 1CC58688
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeSynchronizeExecution] 43EB0000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoStartNextPacket] 320C538A
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeBugCheckEx] 88F93BC0
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 001CC396
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeSetTimer] F6317300
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!_allmul] 74070647
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmProbeAndLockPages] 75C0841A
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!_except_handler3] 05578A0B
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoSetPowerState] 968801B0
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 00001CC5
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 57B60F66
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlDeleteRegistryValue] 533B6604
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!_aulldiv] 03087408
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!strstr] 72F93B3F
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!_strupr] 8A09EBDA
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeQuerySystemTime] 86880547
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 00001CC5
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeTickCount] 88084B8A
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] 001CC68E
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoDeleteDevice] 40578B00
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 8D52006A
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateWorkItem] 001CC886
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateIrp] 11E85000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateMdl] 8B000022
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CC08E
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmLockPagableDataSection] C4968B00
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8900001C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CCC8E
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ExFreePoolWithTag] D0968900
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoFreeIrp] 8B00001C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoFreeWorkItem] 016A4047
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!InitSafeBootMode] D4C68150
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlCompareMemory] 5600001C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoCallDriver] 0021E7E8
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!memmove] 18C48300
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmHighestUserAddress] 5D5B5E5F
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KfRaiseIrql] 00001CB1
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!HalTranslateBusAddress] 8986C636
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!READ_PORT_USHORT] 001C9686
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7384B90] spsy.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 84ABE1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{12C171E2-6D8B-432F-9234-0678CCFA08E5} 84700500
Device \Driver\usbohci \Device\USBPDO-0 845EE500
Device \Driver\PCI_PNP1478 \Device\00000051 spsy.sys
Device \Driver\usbohci \Device\USBPDO-1 845EE500
Device \Driver\usbehci \Device\USBPDO-2 845E3500
Device \Driver\Ftdisk \Device\HarddiskVolume1 84AC01F8
Device \Driver\Cdrom \Device\CdRom0 845BB500
Device \Driver\Ftdisk \Device\HarddiskVolume2 84AC01F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 84AC01F8
Device \Driver\Cdrom \Device\CdRom1 845BB500
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Cdrom \Device\CdRom2 845BB500
Device \Driver\NetBT \Device\NetBt_Wins_Export 84700500
Device \Driver\NetBT \Device\NetbiosSmb 84700500
Device \Driver\NetBT \Device\NetBT_Tcpip_{1EB74E66-18B0-4E02-A9E9-C565AAC29ADE} 84700500
Device \Driver\sptd \Device\3737945228 spsy.sys
Device \Driver\usbohci \Device\USBFDO-0 845EE500
Device \Driver\usbohci \Device\USBFDO-1 845EE500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 845A1500
Device \Driver\usbehci \Device\USBFDO-2 845E3500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 845A1500
Device \Driver\Ftdisk \Device\FtControl 84AC01F8
Device \Driver\a23i6zgy \Device\Scsi\a23i6zgy1 845C3500
Device \Driver\a23i6zgy \Device\Scsi\a23i6zgy1Port2Path0Target0Lun0 845C3500
Device \FileSystem\Fastfat \Fat 84603500
Device \FileSystem\Fastfat \Fat B763B297

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 845AF500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7C 0x5C 0x96 0xD1 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x44 0x5B 0x16 0x3B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xEE 0x64 0x72 0x66 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA1 0x0F 0x12 0xF0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x59 0xA1 0x46 0x49 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x15 0xEB 0xB9 0x9F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x43 0xD7 0x48 0xBA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x81 0x32 0xB1 0xBB ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7C 0x5C 0x96 0xD1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x44 0x5B 0x16 0x3B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xEE 0x64 0x72 0x66 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA1 0x0F 0x12 0xF0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x59 0xA1 0x46 0x49 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x15 0xEB 0xB9 0x9F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x43 0xD7 0x48 0xBA ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x81 0x32 0xB1 0xBB ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA1 0x0F 0x12 0xF0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x59 0xA1 0x46 0x49 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x15 0xEB 0xB9 0x9F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x43 0xD7 0x48 0xBA ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x81 0x32 0xB1 0xBB ...

---- EOF - GMER 1.0.15 ----

Kos · 13.01.2010, 17:05

Hum, gmer-log sieht sauber aus, aber wir werden noch bisschen was machen müssen, um einigermaßen sicher zu gehen.

Mach bitte einen Scan mit Avira, benutze die agressive Einstellungen.

Maschi · 13.01.2010, 18:39

Ich danke dir wirklich sehr für deine Hilfe

So, hier der Report von AntiVir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 13. Januar 2010 17:33

Es wird nach 1524286 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Privat
Computername : PRIVAT-ZFW728II

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 21.11.2009 14:04:25
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:04:25
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:04:25
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 14:04:25
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 14:04:25
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 14:04:25
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 14:04:25
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 14:04:25
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 14:04:25
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 14:04:25
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 14:04:25
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 14:04:25
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 14:04:25
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 14:04:25
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 13:49:22
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 13:38:24
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 13:32:11
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 13:29:18
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 13:28:23
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 13:29:32
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 13:23:08
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 13:22:29
VBASE021.VDF : 7.10.2.131 201216 Bytes 07.01.2010 14:43:53
VBASE022.VDF : 7.10.2.158 192000 Bytes 11.01.2010 14:38:05
VBASE023.VDF : 7.10.2.159 2048 Bytes 11.01.2010 14:38:06
VBASE024.VDF : 7.10.2.160 2048 Bytes 11.01.2010 14:38:06
VBASE025.VDF : 7.10.2.161 2048 Bytes 11.01.2010 14:38:06
VBASE026.VDF : 7.10.2.162 2048 Bytes 11.01.2010 14:38:06
VBASE027.VDF : 7.10.2.163 2048 Bytes 11.01.2010 14:38:06
VBASE028.VDF : 7.10.2.164 2048 Bytes 11.01.2010 14:38:07
VBASE029.VDF : 7.10.2.165 2048 Bytes 11.01.2010 14:38:07
VBASE030.VDF : 7.10.2.166 2048 Bytes 11.01.2010 14:38:07
VBASE031.VDF : 7.10.2.174 126976 Bytes 12.01.2010 14:38:02
Engineversion : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 01.11.2009 20:10:09
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 05.01.2010 14:49:57
AESCN.DLL : 8.1.3.0 127348 Bytes 11.12.2009 13:32:28
AESBX.DLL : 8.1.1.1 246132 Bytes 21.11.2009 14:04:25
AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 13:38:55
AEPACK.DLL : 8.2.0.4 422263 Bytes 05.01.2010 14:49:51
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 09.01.2010 14:42:37
AEHELP.DLL : 8.1.9.0 237943 Bytes 17.12.2009 13:28:34
AEGEN.DLL : 8.1.1.83 369014 Bytes 05.01.2010 14:49:15
AEEMU.DLL : 8.1.1.0 393587 Bytes 01.11.2009 20:07:10
AECORE.DLL : 8.1.9.1 180598 Bytes 11.12.2009 13:32:27
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 01.11.2009 20:10:12
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 21.11.2009 14:04:24

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 13. Januar 2010 17:33

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '44745' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxdncoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxdnserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxdnmsdmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dispdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '52' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <Allgemein>
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [3]: Das System kann den angegebenen Pfad nicht finden.

Ende des Suchlaufs: Mittwoch, 13. Januar 2010 18:32
Benötigte Zeit: 58:58 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8642 Verzeichnisse wurden überprüft
270859 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
270857 Dateien ohne Befall
1630 Archive wurden durchsucht
2 Warnungen
1 Hinweise
44745 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Kos · 13.01.2010, 19:09

Sieht auch gut aus. Aber weil ich paranoid bin

:

Rootkitscan mit RootRepeal

- Lade den Scanner hier herunter:
RootRepeal - RootRepeal - Rootkit Detector
- scrolle runter und downloade RootRepeal.zip.
- Trenne deinen Computer vom Internet
- Deaktiviere dein Firewall und Antivirenprogramm
- Entpacke die Datei auf Deinen Desktop.
- Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
- Klicke auf den Reiter Report und dann auf den Button Scan.
- Mache einen Haken bei den folgenden Elementen und klicke Ok.

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
- Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
- Wähle C:\ und klicke wieder Ok.
- Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
- Bitte wärend des Scans nicht am Computer arbeiten!
- Wenn der Suchlauf beendet ist, klicke auf Save Report.
- Speichere das Logfile als RootRepeal.txt auf dem Desktop.
- Kopiere den Inhalt hier in den Thread.
- Aktiviere Antivirenprogramm wieder.

Maschi · 14.01.2010, 01:18

So, hier die Auswertung

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/01/13 19:21
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: adfs.SYS
Image Path: C:\WINDOWS\System32\Drivers\adfs.SYS
Address: 0xB8F36000 Size: 69248 File Visible: No Signed: -
Status: -

Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF51FE000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79CF000 Size: 8192 File Visible: No Signed: -
Status: -

Name: PCI_PNP8236
Image Path: \Driver\PCI_PNP8236
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB8EA6000 Size: 49152 File Visible: No Signed: -
Status: -

Name: spij.sys
Image Path: spij.sys
Address: 0xF7373000 Size: 995328 File Visible: No Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7bc9756

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7bc974c

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7bc975b

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7bc9765

#: 071 Function Name: NtEnumerateKey
Status: Hooked by "spij.sys" at address 0xf738cda4

#: 073 Function Name: NtEnumerateValueKey
Status: Hooked by "spij.sys" at address 0xf738d132

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7bc976a

#: 119 Function Name: NtOpenKey
Status: Hooked by "spij.sys" at address 0xf73740c0

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7bc9738

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7bc973d

#: 160 Function Name: NtQueryKey
Status: Hooked by "spij.sys" at address 0xf738d20a

#: 177 Function Name: NtQueryValueKey
Status: Hooked by "spij.sys" at address 0xf738d08a

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7bc9774

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7bc976f

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7bc9760

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf7bc9747

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]
Process: System Address: 0x84abe1f8 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System Address: 0x84736500 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System Address: 0x84739500 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System Address: 0x84739500 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84739500 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84739500 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System Address: 0x84739500 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84739500 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System Address: 0x84739500 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_CREATE]
Process: System Address: 0x84939500 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_CLOSE]
Process: System Address: 0x84939500 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84939500 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84939500 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_POWER]
Process: System Address: 0x84939500 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84939500 Size: 121

Object: Hidden Code [Driver: usbohci, IRP_MJ_PNP]
Process: System Address: 0x84939500 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System Address: 0x84ac01f8 Size: 121

Object: Hidden Code [Driver: MA, IRP_MJ_CREATE]
Process: System Address: 0x8472a500 Size: 121

Object: Hidden Code [Driver: MA, IRP_MJ_CLOSE]
Process: System Address: 0x8472a500 Size: 121

Object: Hidden Code [Driver: MA, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8472a500 Size: 121

Object: Hidden Code [Driver: MA, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8472a500 Size: 121

Object: Hidden Code [Driver: MA, IRP_MJ_POWER]
Process: System Address: 0x8472a500 Size: 121

Object: Hidden Code [Driver: MA, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8472a500 Size: 121

Object: Hidden Code [Driver: MA, IRP_MJ_PNP]
Process: System Address: 0x8472a500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System Address: 0x846ac500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System Address: 0x846ac500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x846ac500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x846ac500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System Address: 0x846ac500 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System Address: 0x846ac500 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_CREATE]
Process: System Address: 0x84abf1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_CLOSE]
Process: System Address: 0x84abf1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84abf1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x84abf1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_POWER]
Process: System Address: 0x84abf1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x84abf1f8 Size: 121

Object: Hidden Code [Driver: Sparrow, IRP_MJ_PNP]
Process: System Address: 0x84abf1f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System Address: 0x845bb500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_CREATE]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_CLOSE]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_READ]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_SHUTDOWN]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_CLEANUP]
Process: System Address: 0x84695500 Size: 121

Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_PNP]
Process: System Address: 0x84695500 Size: 121

==EOF==

Kos · 14.01.2010, 13:58

Stelle zunächst sicher, dass alle Dateien im Explorer angezeigt werden.

Suche dann bitte im Ordner

Code:

ATTFilter

C:\WINDOWS\System32\Drivers

nach einer Datei namens adfs.sys und lade diese, falls du sie findest, bei VirusTotal hoch. Poste bitte das Ergebnis der Analyse.

Maschi · 14.01.2010, 14:59

Dort befindet sich keine Datei mit dem Namen.
In dieser befindet sich wohl ein Virus?
Was soll ich nun machen?

Kos · 14.01.2010, 16:20

Hm, das ist jetzt die Frage. Die Datei adsf.sys gehört normalerweise zu einem Programm namens "Adobe Drive". Benutzt du so ein Programm?

Maschi · 14.01.2010, 17:09

Ja ich hatte es gestern noch drauf, aber ich habs deinstalliert weil ich es net mehr brauche.
Also ich hatte Adobe Photoshop drauf und dazu gehörten noch paar andere Programme und ich meine dieses Adobe Drive war da auch dabei.

Kos · 14.01.2010, 17:46

Dann ist es in Ordnung

Wir machen jetzt noch zwei Scans zur Absicherung, dann sollten wir durch sein. Wie geht es dem Rechner?

Jetzt bitte einmal
Anleitung: Dr.Web-CureIt

Maschi · 17.01.2010, 05:00

Sorry, hat ein wenig gedauert, hatte Probleme mit meinem Internet.
Ich hab die Log Datei mal Hochgeladen, weil die sehr groß ist.

Hier der Link zur Log Datei

http://www.file-upload.net/download-2167887/DrWeb.txt.html

Und dazu kam noch diese Meldung:

Das Betriebssystem Windows verwendet die HOSTS-Datei,
um textuelle Hostnamen in IP-Adressen umzuwandeln.
Modifizierungen der HOSTS-Datei sind eventuell auf Malware zurückzuführen.
Möchten Sie die Default-HOSTS-Datei wiederherstellen?

Ich habe die Datei nicht wiederhergestellt sondern stattdessen in die Quarantäne verschoben und von da aus gelöscht, denk ich zumindest das es sowas wie eine Quarantäne war in diesem Programm.

Da ich aber ein paar Probleme hatte, habe ich die Systemwiederherstellung von Windows so zurückgestellt das die Probleme weg waren (1-2 Tage) und ich vermute mal das diese Datei dann auch wieder da ist, oder?

Trojan.Win32.Cosmu.jnu/Trojan/Win32.Cosmu.gen Befall !!! Kann ihn nicht entfernen !!!

Log-Analyse und Auswertung: Trojan.Win32.Cosmu.jnu/Trojan/Win32.Cosmu.gen Befall !!! Kann ihn nicht entfernen !!!