Malware Defense hat sich bei mir eingeschlichen!Bitte helft mir!

Puzzle82 · 21.01.2010, 11:02

Hey an alle,
zunächst mal muss ich sagen,dass ich leider überhaupt kein crack bin und von Computersprache wenig bis garnichts verstehe.Was ich aber weiß ist, dass sich bei mir ein Programm names Malware Defense eingeschlichen hat,seitdem öffnen sich ständig Sicherheitswarnungen,ich soll doch bitte das Programm kaufen,ich hab Pornolinks auf meinem Desktop und kann nicht mal mehr auf meinen E-mail-account zugreifen und werde auch auf anderen Seiten ständig auf irgendwelche komischen Seiten verlinkt.AntiVirus-Programme wie Antivir lassen sich nicht mehr öffnen.
Jetzt hab ich schon einige Beiträge dazu gelesen, nur leider muss ich eingestehen dass ich die Lösungsansätze einfach nicht in meinen Kopf bekomme,dass heißt ich sitz hier und kratz mir die Birne. Was ich aber grade gemacht habe: GMER scannen lassen und hier sind die Testberichte:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-21 11:00:38
Windows 5.1.2600 Service Pack 3
Running: lddll0j0.exe; Driver: C:\DOKUME~1\Peter\LOKALE~1\Temp\uftdipog.sys

---- System - GMER 1.0.15 ----

INT 0x62 ? 82FDEBF8
INT 0x63 ? 82B42BF8
INT 0x73 ? 82B42BF8
INT 0x82 ? 82FDEBF8
INT 0x83 ? 82B42BF8

Code 8277A288 ZwEnumerateKey
Code 8277A250 ZwFlushInstructionCache
Code 82DDDD9E IofCallDriver
Code 82B1379E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 82DDDDA3
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 82B137A3
PAGE ntoskrnl.exe!ZwFlushInstructionCache 8056E42A 5 Bytes JMP 8277A254
PAGE ntoskrnl.exe!ZwEnumerateKey 805735A4 5 Bytes JMP 8277A28C
? splz.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F83EE8AC 5 Bytes JMP 82B421D8
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF7F02000, 0x17C940, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Spyware Terminator\sp_rsser.exe[320] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 007F000A
.text C:\Programme\Bonjour\mDNSResponder.exe[388] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 007E000A
.text C:\Programme\OpenOffice.org 3\program\soffice.exe[396] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0114000A
.text C:\WINDOWS\Explorer.EXE[412] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00B9000A
.text C:\Programme\OpenOffice.org 3\program\soffice.bin[460] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0257000A
.text ...
.text C:\Programme\Windows Live\Family Safety\fsssvc.exe[500] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 0101F7BF C:\Programme\Windows Live\Family Safety\fsssvc.exe (Family Safety Service/Microsoft Corporation)
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[604] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 008A000A
.text C:\WINDOWS\system32\wuauclt.exe[660] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A0000A
.text C:\WINDOWS\system32\services.exe[684] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0072000A
.text C:\WINDOWS\system32\lsass.exe[696] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0078000A
.text C:\WINDOWS\system32\Ati2evxx.exe[872] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A7000A
.text ...
.text C:\Programme\Internet Explorer\iexplore.exe[3740] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 7E2A524C C:\WINDOWS\system32\SHDOCVW.dll (Bibliothek für Shell-Dokumente und -Steuerelemente/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!HttpOpenRequestA 77192B01 5 Bytes JMP 00BB000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!InternetConnectA 7719345A 5 Bytes JMP 00BD000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!HttpAddRequestHeadersA 771940D2 5 Bytes JMP 00B1000C
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!InternetConnectW 7719EE40 5 Bytes JMP 00BC000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!HttpAddRequestHeadersW 7719EF34 5 Bytes JMP 00B9000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!HttpOpenRequestW 7719F517 5 Bytes JMP 00BA000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!getaddrinfo 71A12A6F 5 Bytes JMP 46CAE71D C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 46CAEEE9 C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!socket 71A14211 5 Bytes JMP 46CAE59E C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!connect 71A14A07 5 Bytes JMP 46CAE62A C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!send 71A14C27 5 Bytes JMP 46CAE9ED C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!recv 71A1676F 5 Bytes JMP 46CAF1C3 C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Mozilla Firefox\firefox.exe[3996] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 0297000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3996] WS2_32.dll!connect 71A14A07 5 Bytes JMP 0296000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3996] WS2_32.dll!send 71A14C27 5 Bytes JMP 0298000A
.text C:\Programme\Windows Live\Toolbar\wltuser.exe[4004] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C8000A

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 82FE02D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F864EDDC] splz.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F864EE30] splz.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F8624042] splz.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F862413E] splz.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F86240C0] splz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F8624800] splz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F86246D6] splz.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 82B422D8
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F8633B90] splz.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 82FDD1F8
Device \Driver\usbohci \Device\USBPDO-0 82DD61F8
Device \Driver\usbohci \Device\USBPDO-1 82DD61F8
Device \Driver\usbehci \Device\USBPDO-2 82DCA1F8

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume1 82F721F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 82F721F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 82716500
Device \Driver\PCI_PNP1324 \Device\0000004a splz.sys
Device \Driver\NetBT \Device\NetbiosSmb 82716500
Device \Driver\sptd \Device\4038952574 splz.sys
Device \Driver\usbohci \Device\USBFDO-0 82DD61F8
Device \Driver\usbohci \Device\USBFDO-1 82DD61F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82731500
Device \Driver\usbehci \Device\USBFDO-2 82DCA1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82731500
Device \Driver\Ftdisk \Device\FtControl 82F721F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{318B116F-28D0-4919-9076-FD8827205BAE} 82716500
Device \Driver\an6a9a87 \Device\Scsi\an6a9a871Port2Path0Target0Lun0 82D7F1F8
Device \Driver\an6a9a87 \Device\Scsi\an6a9a871 82D7F1F8
Device \FileSystem\Cdfs \Cdfs 82C82500

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRThweegwxmwq.sys (*** hidden *** ) EFCCB000-EFCE8000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [164] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [428] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [640] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1032] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1180] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1228] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1464] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1524] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2068] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [3740] 0x00C00000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3996] 0x01110000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRThweegwxmwq.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd5024de
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd5024de@0013fd987de8 0x1A 0xF1 0xE2 0x73 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRThweegwxmwq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRThweegwxmwq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTxrxjlkdody.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTviyrwbxxnk.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTfwexixmtro.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTuvtodesbcm.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7C 0x7D 0xD0 0xC9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xE1 0x3C 0x70 0xBC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3C 0x2E 0x80 0xB7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0009dd5024de (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0009dd5024de@0013fd987de8 0x1A 0xF1 0xE2 0x73 ...
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRThweegwxmwq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRThweegwxmwq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTxrxjlkdody.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTviyrwbxxnk.dat
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTfwexixmtro.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTuvtodesbcm.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7C 0x7D 0xD0 0xC9 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xE1 0x3C 0x70 0xBC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3C 0x2E 0x80 0xB7 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\3A5E1B4592B128542A6271A2F17CABC6\Usage@WebFiltering 1010108067
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C1A3DE21-6518-BB31-13BE-6353C1E5DA83}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C1A3DE21-6518-BB31-13BE-6353C1E5DA83}@iandcpccpcdampaied 0x6B 0x61 0x6C 0x6B ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C1A3DE21-6518-BB31-13BE-6353C1E5DA83}@hahhejefpjkhlfbi 0x6B 0x61 0x6D 0x6B ...

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h8srtkrl32mainweq.dll 749 bytes
File C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\H8SRT52c7.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\h8srtmainqt.dll 16449 bytes
File C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AX3OPGRY\GetGoogleInfoCU[1].xml 0 bytes
File C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (size mismatch) 8192/94208 bytes executable
File C:\Programme\ATI Technologies\ATI.ACE\Core-Implementation\CLI.Component.Runtime.dll (size mismatch) 20480/73728 bytes executable
File C:\Programme\ATI Technologies\ATI.ACE\Core-Static\installShell64.exe.manifest (size mismatch) 356864/728 bytes executable
File C:\Programme\ATI Technologies\ATI.ACE\Graphics-Full-Existing\CLI.Aspect.MultiVPU2.Graphics.Dashboard.dll (size mismatch) 40960/204800 bytes executable
File C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe (size mismatch) 61440/218624 bytes executable
File C:\Programme\Jens Lorek\TubeBox!\taglib-sharp.dll (size mismatch) 118272/172032 bytes executable
File C:\Programme\Winamp2\Plugins\gen_ml.dll (size mismatch) 189440/272384 bytes executable
File C:\Programme\Winamp2\Plugins\vis_avs.dat (size mismatch) 64000/1029 bytes executable
File C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnqu3270.dll (size mismatch) 319488/303104 bytes executable
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\Lexicon 0 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\Lexicon\1033 0 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\Lexicon\1033\ltts1033.lxa 643717 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\Lexicon\1033\r1033tts.lxa 605050 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\spcommon.dll 77824 bytes executable
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS 0 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS\1033 0 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS\1033\sam.sdf 888 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS\1033\sam.spd 1685606 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS\1033\spttseng.dll 774144 bytes
File C:\Programme\QuickTime\QTSystem\QuickTimeMPEG4Authoring.Resources\QuickTimeMPEG4Authoring.qtr (size mismatch) 16384/13824 bytes executable
File C:\Programme\QuickTime\QTSystem\QuickTimeWebHelper.Resources\QuickTimeWebHelper.qtr (size mismatch) 53248/308224 bytes executable
File C:\Programme\SmartSound Software\Quicktracks\SmartSound.dll (size mismatch) 81920/4210688 bytes executable
File C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP438\A0116295.dll (size mismatch) 1492264/242984 bytes executable
File C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP443\A0117697.dll (size mismatch) 548864/737280 bytes executable
File C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP443\A0117838.exe (size mismatch) 1757184/176128 bytes executable
File C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP443\A0118584.ini (size mismatch) 55808/3501 bytes executable
File C:\WINDOWS\$hf_mig$\KB950974\spuninst.exe (size mismatch) 18808/234872 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE 0 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\cscript.exe 135168 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\jscript.dll 512000 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\scrobj.dll 180224 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\scrrun.dll 172032 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\vbscript.dll 430080 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\wscript.exe 155648 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\wshext.dll 90112 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\wshom.ocx 135168 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\spmsg.dll 18808 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\spuninst.exe 234872 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update 0 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\branches.inf 926 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\eula.txt 1011 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\KB951978.CAT 15271 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\spcustom.dll 26488 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\update.exe 765304 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\update.ver 1472 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\updatebr.inf 496 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\update_SP3QFE.inf 26971 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\updspapi.dll 388984 bytes executable
File C:\WINDOWS\$hf_mig$\KB958644\spuninst.exe (size mismatch) 18808/234872 bytes executable
File C:\WINDOWS\$hf_mig$\KB973507\update\update.ver (size mismatch) 765304/370 bytes executable
File C:\WINDOWS\$hf_mig$\KB976325\SP3QFE\urlmon.dll (size mismatch) 61952/629760 bytes executable
File C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\msdmo.dll (size mismatch) 136192/13312 bytes executable
File C:\WINDOWS\system32\dllcache\ctl3dv2.dll (size mismatch) 27136/27200 bytes executable
File C:\WINDOWS\system32\dllcache\kbdro.dll (size mismatch) 6144/5632 bytes executable
File C:\WINDOWS\system32\p2psvc.dll (size mismatch) 115712/554496 bytes executable
File C:\WINDOWS\system32\ir41_qcx.dll (size mismatch) 120320/338432 bytes executable
File C:\WINDOWS\system32\drivers\H8SRThweegwxmwq.sys 40448 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\H8SRTfwexixmtro.dll 27136 bytes executable
File C:\WINDOWS\system32\h8srtkrl32mainweq.dll 777 bytes
File C:\WINDOWS\system32\H8SRTplevdvqlbr.dll 16896 bytes executable
File C:\WINDOWS\system32\h8srtshsyst.dll 524 bytes
File C:\WINDOWS\system32\H8SRTuvtodesbcm.dll 40960 bytes executable
File C:\WINDOWS\system32\H8SRTviyrwbxxnk.dat 167 bytes
File C:\WINDOWS\system32\H8SRTxrxjlkdody.dll 23552 bytes executable
File C:\WINDOWS\system32\mll_qic.dll (size mismatch) 46592/5632 bytes executable
File C:\WINDOWS\system32\msjint40.dll (size mismatch) 355112/187168 bytes executable
File C:\WINDOWS\system32\pschdprf.ini (size mismatch) 10752/14060 bytes executable

---- EOF - GMER 1.0.15 ----

Bitte helft mir,wenn möglich, und wenns irgendwie geht in einer Sprache die ich irgendwie verstehen kann:-) Ich bin ziemlich verzweifeltnd würde mich über eine Antwort sehr freuen.
Danke Dennis

Chris4You · 21.01.2010, 11:05

Hi,

Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-...er_le.exe.html)

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Drivers to delete:
H8SRTd.sys

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

Danach noch Avira:
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

chris

Puzzle82 · 21.01.2010, 11:21

Hey, dankeschonmal für die schnelle Hilfe, also das habe ich jetzt dem Bericht des avenger-Editors entnommen:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRThweegwxmwq.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SrTd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ich versuche jetzt mal MAM zu starten

Chris4You · 21.01.2010, 11:48

Hi,

poste das Log von MAM und ggf. von Avira...

chris

Puzzle82 · 21.01.2010, 11:49

Also, MAM funktioniert, er hat mitlerweile 3 >Trojaner gefunden, die ich gelöscht habe, ich hoff das ist so richtig, oder muss ich den Zugriff verweigern button betätigen?

Chris4You · 21.01.2010, 11:51

Hi,

Nein entweder in Quarantäne oder löschen lassen...

chris

Puzzle82 · 21.01.2010, 11:55

okey, danke, er ist immernoch am scannen, ich poste gleich...
vielen danke schonmal!

Malware Defense hat sich bei mir eingeschlichen!Bitte helft mir!

Plagegeister aller Art und deren Bekämpfung: Malware Defense hat sich bei mir eingeschlichen!Bitte helft mir!