Malware Defense hat sich bei mir eingeschlichen!Bitte helft mir!

Puzzle82 · 21.01.2010, 11:02

Hey an alle,
zunächst mal muss ich sagen,dass ich leider überhaupt kein crack bin und von Computersprache wenig bis garnichts verstehe.Was ich aber weiß ist, dass sich bei mir ein Programm names Malware Defense eingeschlichen hat,seitdem öffnen sich ständig Sicherheitswarnungen,ich soll doch bitte das Programm kaufen,ich hab Pornolinks auf meinem Desktop und kann nicht mal mehr auf meinen E-mail-account zugreifen und werde auch auf anderen Seiten ständig auf irgendwelche komischen Seiten verlinkt.AntiVirus-Programme wie Antivir lassen sich nicht mehr öffnen.
Jetzt hab ich schon einige Beiträge dazu gelesen, nur leider muss ich eingestehen dass ich die Lösungsansätze einfach nicht in meinen Kopf bekomme,dass heißt ich sitz hier und kratz mir die Birne. Was ich aber grade gemacht habe: GMER scannen lassen und hier sind die Testberichte:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-21 11:00:38
Windows 5.1.2600 Service Pack 3
Running: lddll0j0.exe; Driver: C:\DOKUME~1\Peter\LOKALE~1\Temp\uftdipog.sys

---- System - GMER 1.0.15 ----

INT 0x62 ? 82FDEBF8
INT 0x63 ? 82B42BF8
INT 0x73 ? 82B42BF8
INT 0x82 ? 82FDEBF8
INT 0x83 ? 82B42BF8

Code 8277A288 ZwEnumerateKey
Code 8277A250 ZwFlushInstructionCache
Code 82DDDD9E IofCallDriver
Code 82B1379E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 82DDDDA3
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 82B137A3
PAGE ntoskrnl.exe!ZwFlushInstructionCache 8056E42A 5 Bytes JMP 8277A254
PAGE ntoskrnl.exe!ZwEnumerateKey 805735A4 5 Bytes JMP 8277A28C
? splz.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F83EE8AC 5 Bytes JMP 82B421D8
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF7F02000, 0x17C940, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Spyware Terminator\sp_rsser.exe[320] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 007F000A
.text C:\Programme\Bonjour\mDNSResponder.exe[388] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 007E000A
.text C:\Programme\OpenOffice.org 3\program\soffice.exe[396] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0114000A
.text C:\WINDOWS\Explorer.EXE[412] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00B9000A
.text C:\Programme\OpenOffice.org 3\program\soffice.bin[460] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0257000A
.text ...
.text C:\Programme\Windows Live\Family Safety\fsssvc.exe[500] ADVAPI32.dll!RegOpenKeyExA 77DA7852 5 Bytes JMP 0101F7BF C:\Programme\Windows Live\Family Safety\fsssvc.exe (Family Safety Service/Microsoft Corporation)
.text C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe[604] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 008A000A
.text C:\WINDOWS\system32\wuauclt.exe[660] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A0000A
.text C:\WINDOWS\system32\services.exe[684] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0072000A
.text C:\WINDOWS\system32\lsass.exe[696] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 0078000A
.text C:\WINDOWS\system32\Ati2evxx.exe[872] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00A7000A
.text ...
.text C:\Programme\Internet Explorer\iexplore.exe[3740] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 7E2A524C C:\WINDOWS\system32\SHDOCVW.dll (Bibliothek für Shell-Dokumente und -Steuerelemente/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!HttpOpenRequestA 77192B01 5 Bytes JMP 00BB000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!InternetConnectA 7719345A 5 Bytes JMP 00BD000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!HttpAddRequestHeadersA 771940D2 5 Bytes JMP 00B1000C
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!InternetConnectW 7719EE40 5 Bytes JMP 00BC000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!HttpAddRequestHeadersW 7719EF34 5 Bytes JMP 00B9000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WININET.dll!HttpOpenRequestW 7719F517 5 Bytes JMP 00BA000A
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!getaddrinfo 71A12A6F 5 Bytes JMP 46CAE71D C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 46CAEEE9 C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!socket 71A14211 5 Bytes JMP 46CAE59E C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!connect 71A14A07 5 Bytes JMP 46CAE62A C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!send 71A14C27 5 Bytes JMP 46CAE9ED C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3740] WS2_32.dll!recv 71A1676F 5 Bytes JMP 46CAF1C3 C:\Programme\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Programme\Mozilla Firefox\firefox.exe[3996] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 0297000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3996] WS2_32.dll!connect 71A14A07 5 Bytes JMP 0296000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3996] WS2_32.dll!send 71A14C27 5 Bytes JMP 0298000A
.text C:\Programme\Windows Live\Toolbar\wltuser.exe[4004] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00C8000A

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 82FE02D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F864EDDC] splz.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F864EE30] splz.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F8624042] splz.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F862413E] splz.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F86240C0] splz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F8624800] splz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F86246D6] splz.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 82B422D8
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F8633B90] splz.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 82FDD1F8
Device \Driver\usbohci \Device\USBPDO-0 82DD61F8
Device \Driver\usbohci \Device\USBPDO-1 82DD61F8
Device \Driver\usbehci \Device\USBPDO-2 82DCA1F8

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume1 82F721F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 82F721F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [F859CB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 82716500
Device \Driver\PCI_PNP1324 \Device\0000004a splz.sys
Device \Driver\NetBT \Device\NetbiosSmb 82716500
Device \Driver\sptd \Device\4038952574 splz.sys
Device \Driver\usbohci \Device\USBFDO-0 82DD61F8
Device \Driver\usbohci \Device\USBFDO-1 82DD61F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82731500
Device \Driver\usbehci \Device\USBFDO-2 82DCA1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82731500
Device \Driver\Ftdisk \Device\FtControl 82F721F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{318B116F-28D0-4919-9076-FD8827205BAE} 82716500
Device \Driver\an6a9a87 \Device\Scsi\an6a9a871Port2Path0Target0Lun0 82D7F1F8
Device \Driver\an6a9a87 \Device\Scsi\an6a9a871 82D7F1F8
Device \FileSystem\Cdfs \Cdfs 82C82500

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRThweegwxmwq.sys (*** hidden *** ) EFCCB000-EFCE8000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [164] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [428] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [640] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1032] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1180] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1228] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1464] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1524] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2068] 0x00700000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\Programme\Internet Explorer\iexplore.exe [3740] 0x00C00000
Library \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [3996] 0x01110000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRThweegwxmwq.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd5024de
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd5024de@0013fd987de8 0x1A 0xF1 0xE2 0x73 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRThweegwxmwq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRThweegwxmwq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTxrxjlkdody.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTviyrwbxxnk.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTfwexixmtro.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTuvtodesbcm.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7C 0x7D 0xD0 0xC9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xE1 0x3C 0x70 0xBC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3C 0x2E 0x80 0xB7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0009dd5024de (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0009dd5024de@0013fd987de8 0x1A 0xF1 0xE2 0x73 ...
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRThweegwxmwq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRThweegwxmwq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTxrxjlkdody.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTviyrwbxxnk.dat
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTfwexixmtro.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtmsg \\?\globalroot\systemroot\system32\H8SRTplevdvqlbr.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTuvtodesbcm.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7C 0x7D 0xD0 0xC9 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xE1 0x3C 0x70 0xBC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x3C 0x2E 0x80 0xB7 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\3A5E1B4592B128542A6271A2F17CABC6\Usage@WebFiltering 1010108067
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C1A3DE21-6518-BB31-13BE-6353C1E5DA83}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C1A3DE21-6518-BB31-13BE-6353C1E5DA83}@iandcpccpcdampaied 0x6B 0x61 0x6C 0x6B ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C1A3DE21-6518-BB31-13BE-6353C1E5DA83}@hahhejefpjkhlfbi 0x6B 0x61 0x6D 0x6B ...

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h8srtkrl32mainweq.dll 749 bytes
File C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\H8SRT52c7.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\h8srtmainqt.dll 16449 bytes
File C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AX3OPGRY\GetGoogleInfoCU[1].xml 0 bytes
File C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (size mismatch) 8192/94208 bytes executable
File C:\Programme\ATI Technologies\ATI.ACE\Core-Implementation\CLI.Component.Runtime.dll (size mismatch) 20480/73728 bytes executable
File C:\Programme\ATI Technologies\ATI.ACE\Core-Static\installShell64.exe.manifest (size mismatch) 356864/728 bytes executable
File C:\Programme\ATI Technologies\ATI.ACE\Graphics-Full-Existing\CLI.Aspect.MultiVPU2.Graphics.Dashboard.dll (size mismatch) 40960/204800 bytes executable
File C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe (size mismatch) 61440/218624 bytes executable
File C:\Programme\Jens Lorek\TubeBox!\taglib-sharp.dll (size mismatch) 118272/172032 bytes executable
File C:\Programme\Winamp2\Plugins\gen_ml.dll (size mismatch) 189440/272384 bytes executable
File C:\Programme\Winamp2\Plugins\vis_avs.dat (size mismatch) 64000/1029 bytes executable
File C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnqu3270.dll (size mismatch) 319488/303104 bytes executable
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\Lexicon 0 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\Lexicon\1033 0 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\Lexicon\1033\ltts1033.lxa 643717 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\Lexicon\1033\r1033tts.lxa 605050 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\spcommon.dll 77824 bytes executable
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS 0 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS\1033 0 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS\1033\sam.sdf 888 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS\1033\sam.spd 1685606 bytes
File C:\Programme\Gemeinsame Dateien\SpeechEngines\Microsoft\Lexicon\TTS\1033\spttseng.dll 774144 bytes
File C:\Programme\QuickTime\QTSystem\QuickTimeMPEG4Authoring.Resources\QuickTimeMPEG4Authoring.qtr (size mismatch) 16384/13824 bytes executable
File C:\Programme\QuickTime\QTSystem\QuickTimeWebHelper.Resources\QuickTimeWebHelper.qtr (size mismatch) 53248/308224 bytes executable
File C:\Programme\SmartSound Software\Quicktracks\SmartSound.dll (size mismatch) 81920/4210688 bytes executable
File C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP438\A0116295.dll (size mismatch) 1492264/242984 bytes executable
File C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP443\A0117697.dll (size mismatch) 548864/737280 bytes executable
File C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP443\A0117838.exe (size mismatch) 1757184/176128 bytes executable
File C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP443\A0118584.ini (size mismatch) 55808/3501 bytes executable
File C:\WINDOWS\$hf_mig$\KB950974\spuninst.exe (size mismatch) 18808/234872 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE 0 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\cscript.exe 135168 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\jscript.dll 512000 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\scrobj.dll 180224 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\scrrun.dll 172032 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\vbscript.dll 430080 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\wscript.exe 155648 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\wshext.dll 90112 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\SP3QFE\wshom.ocx 135168 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\spmsg.dll 18808 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\spuninst.exe 234872 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update 0 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\branches.inf 926 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\eula.txt 1011 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\KB951978.CAT 15271 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\spcustom.dll 26488 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\update.exe 765304 bytes executable
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\update.ver 1472 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\updatebr.inf 496 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\update_SP3QFE.inf 26971 bytes
File C:\WINDOWS\$hf_mig$\KB951978\SP3QFE\update\updspapi.dll 388984 bytes executable
File C:\WINDOWS\$hf_mig$\KB958644\spuninst.exe (size mismatch) 18808/234872 bytes executable
File C:\WINDOWS\$hf_mig$\KB973507\update\update.ver (size mismatch) 765304/370 bytes executable
File C:\WINDOWS\$hf_mig$\KB976325\SP3QFE\urlmon.dll (size mismatch) 61952/629760 bytes executable
File C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\msdmo.dll (size mismatch) 136192/13312 bytes executable
File C:\WINDOWS\system32\dllcache\ctl3dv2.dll (size mismatch) 27136/27200 bytes executable
File C:\WINDOWS\system32\dllcache\kbdro.dll (size mismatch) 6144/5632 bytes executable
File C:\WINDOWS\system32\p2psvc.dll (size mismatch) 115712/554496 bytes executable
File C:\WINDOWS\system32\ir41_qcx.dll (size mismatch) 120320/338432 bytes executable
File C:\WINDOWS\system32\drivers\H8SRThweegwxmwq.sys 40448 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\H8SRTfwexixmtro.dll 27136 bytes executable
File C:\WINDOWS\system32\h8srtkrl32mainweq.dll 777 bytes
File C:\WINDOWS\system32\H8SRTplevdvqlbr.dll 16896 bytes executable
File C:\WINDOWS\system32\h8srtshsyst.dll 524 bytes
File C:\WINDOWS\system32\H8SRTuvtodesbcm.dll 40960 bytes executable
File C:\WINDOWS\system32\H8SRTviyrwbxxnk.dat 167 bytes
File C:\WINDOWS\system32\H8SRTxrxjlkdody.dll 23552 bytes executable
File C:\WINDOWS\system32\mll_qic.dll (size mismatch) 46592/5632 bytes executable
File C:\WINDOWS\system32\msjint40.dll (size mismatch) 355112/187168 bytes executable
File C:\WINDOWS\system32\pschdprf.ini (size mismatch) 10752/14060 bytes executable

---- EOF - GMER 1.0.15 ----

Bitte helft mir,wenn möglich, und wenns irgendwie geht in einer Sprache die ich irgendwie verstehen kann:-) Ich bin ziemlich verzweifeltnd würde mich über eine Antwort sehr freuen.
Danke Dennis

Chris4You · 21.01.2010, 11:05

Hi,

Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-...er_le.exe.html)

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Drivers to delete:
H8SRTd.sys

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

Danach noch Avira:
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

chris

Puzzle82 · 21.01.2010, 11:21

Hey, dankeschonmal für die schnelle Hilfe, also das habe ich jetzt dem Bericht des avenger-Editors entnommen:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRThweegwxmwq.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SrTd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ich versuche jetzt mal MAM zu starten

Chris4You · 21.01.2010, 11:48

Hi,

poste das Log von MAM und ggf. von Avira...

chris

Puzzle82 · 21.01.2010, 11:49

Also, MAM funktioniert, er hat mitlerweile 3 >Trojaner gefunden, die ich gelöscht habe, ich hoff das ist so richtig, oder muss ich den Zugriff verweigern button betätigen?

Chris4You · 21.01.2010, 11:51

Hi,

Nein entweder in Quarantäne oder löschen lassen...

chris

Puzzle82 · 21.01.2010, 11:55

okey, danke, er ist immernoch am scannen, ich poste gleich...
vielen danke schonmal!

Puzzle82 · 21.01.2010, 12:31

na wundervoll,
das hat zwar alles geklappt, aber am ende ist mein Computer abgestürzt und er hat natürlich nichts gespeichert, also kann ich das nochmal machen...:-(
Trotzdem nochmal danke für die gute unterstützung, ich muss jetzt leider zur arbeit, d.h. ich kann erst heute abend weitermachen..
ich melde mich dann nochmal,
thx for all
dennis

Puzzle82 · 21.01.2010, 13:12

ALso, das ging jetzt doch recht rasch, das sind die Daten von MAM:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

21.01.2010 13:12:02
mbam-log-2010-01-21 (13-12-01).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 156649
Laufzeit: 34 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\malware defense (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{497dddb6-6eee-4561-9621-b77dc82c1f84} (Rogue.Ascentive) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4e980492-027b-47f1-a7ab-ab086dacbb9e} (Rogue.Ascentive) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5ead8321-fcbb-4c3f-888c-ac373d366c3f} (Rogue.Ascentive) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{31f3cf6e-a71a-4daa-852b-39ac230940b4} (Rogue.Ascentive) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\SysRestore.dll (Rogue.Ascentive) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Peter\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\cliconfg64.exe (Rogue.Installer) -> Delete on reboot.
C:\Programme\Malware Defense\mdext.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Programme\Malware Defense\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysRestore.dll (Rogue.Ascentive) -> Quarantined and deleted successfully.
C:\Programme\malware Defense\help.ico (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Programme\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Peter\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Peter\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Peter\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Peter\Desktop\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Peter\Desktop\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\nudetube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\pornotube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\youporn.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTfwexixmtro.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTplevdvqlbr.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTuvtodesbcm.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTxrxjlkdody.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTviyrwbxxnk.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRThweegwxmwq.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\H8SRT52c7.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

Chris4You · 21.01.2010, 13:14

Hi,

das sieht gut aus, jetzt noch bitte Avira..

chris

Puzzle82 · 21.01.2010, 13:24

okey, alles erledigt!!! Er prüft grad das System und ich mach mich vom acker zur arbeit, ich möchte mich nochmal herzlichste bedanke für deine Hilfe, ist ne geile Seite hier..
ich poste später noch die Ergebnisse!
Danke!
Dennis

Puzzle82 · 21.01.2010, 21:25

so, da bin ich wieder,ohne Virus! Scheint alles bereinigt zu sein! also das wäre der Avira Report:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 21. Januar 2010 13:22

Es wird nach 1265407 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : TREBOR

Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.0.1 2048 Bytes 06.11.2009 06:35:56
VBASE002.VDF : 7.10.0.2 2048 Bytes 06.11.2009 06:35:58
VBASE003.VDF : 7.10.0.3 2048 Bytes 06.11.2009 06:36:02
VBASE004.VDF : 7.10.0.4 2048 Bytes 06.11.2009 06:36:04
VBASE005.VDF : 7.10.0.5 2048 Bytes 06.11.2009 06:36:08
VBASE006.VDF : 7.10.0.6 2048 Bytes 06.11.2009 06:36:12
VBASE007.VDF : 7.10.0.7 2048 Bytes 06.11.2009 06:36:16
VBASE008.VDF : 7.10.0.8 2048 Bytes 06.11.2009 06:36:18
VBASE009.VDF : 7.10.0.9 2048 Bytes 06.11.2009 06:36:22
VBASE010.VDF : 7.10.0.10 2048 Bytes 06.11.2009 06:36:30
VBASE011.VDF : 7.10.0.11 2048 Bytes 06.11.2009 06:36:34
VBASE012.VDF : 7.10.0.12 2048 Bytes 06.11.2009 06:36:38
VBASE013.VDF : 7.10.0.13 2048 Bytes 06.11.2009 06:36:40
VBASE014.VDF : 7.10.0.14 2048 Bytes 06.11.2009 06:36:44
VBASE015.VDF : 7.10.0.15 2048 Bytes 06.11.2009 06:36:46
VBASE016.VDF : 7.10.0.16 2048 Bytes 06.11.2009 06:36:48
VBASE017.VDF : 7.10.0.17 2048 Bytes 06.11.2009 06:36:50
VBASE018.VDF : 7.10.0.18 2048 Bytes 06.11.2009 06:36:54
VBASE019.VDF : 7.10.0.19 2048 Bytes 06.11.2009 06:36:56
VBASE020.VDF : 7.10.0.20 2048 Bytes 06.11.2009 06:36:58
VBASE021.VDF : 7.10.0.21 2048 Bytes 06.11.2009 06:37:00
VBASE022.VDF : 7.10.0.22 2048 Bytes 06.11.2009 06:37:04
VBASE023.VDF : 7.10.0.23 2048 Bytes 06.11.2009 06:37:06
VBASE024.VDF : 7.10.0.24 2048 Bytes 06.11.2009 06:37:10
VBASE025.VDF : 7.10.0.25 2048 Bytes 06.11.2009 06:37:12
VBASE026.VDF : 7.10.0.26 2048 Bytes 06.11.2009 06:37:14
VBASE027.VDF : 7.10.0.27 2048 Bytes 06.11.2009 06:37:16
VBASE028.VDF : 7.10.0.28 2048 Bytes 06.11.2009 06:37:18
VBASE029.VDF : 7.10.0.29 2048 Bytes 06.11.2009 06:37:20
VBASE030.VDF : 7.10.0.30 2048 Bytes 06.11.2009 06:37:22
VBASE031.VDF : 7.10.0.33 2048 Bytes 06.11.2009 06:37:24
Engineversion : 8.2.1.59
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 08.11.2009 06:38:48
AESCN.DLL : 8.1.2.5 127346 Bytes 08.11.2009 06:38:46
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.2 479604 Bytes 08.11.2009 06:38:42
AEPACK.DLL : 8.2.0.3 422261 Bytes 08.11.2009 06:38:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.178 2093431 Bytes 08.11.2009 06:38:34
AEHELP.DLL : 8.1.7.0 237940 Bytes 08.11.2009 06:38:30
AEGEN.DLL : 8.1.1.71 364916 Bytes 08.11.2009 06:38:28
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.8.2 184694 Bytes 08.11.2009 06:38:24
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, I:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 21. Januar 2010 13:22

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '41010' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CToolbar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sp_rsser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fsssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpywareTerminatorUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btdna.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cledx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fsui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '50' Prozesse mit '50' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '54' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <[System] >
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/BoontyGames
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120588.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120589.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120590.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120601.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120603.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120605.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120606.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120607.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'I:\' <[Stuff] >

Beginne mit der Desinfektion:
C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/BoontyGames
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bc7b82b.qua' verschoben!
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120588.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b89b7ec.qua' verschoben!
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120589.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af7717d.qua' verschoben!
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120590.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b89b7ed.qua' verschoben!
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120601.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af3109e.qua' verschoben!
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120603.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '480b2a36.qua' verschoben!
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120605.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af1200e.qua' verschoben!
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120606.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4af40926.qua' verschoben!
C:\System Volume Information\_restore{F4C474F9-CE39-4AB2-8864-86626E3EFFCC}\RP464\A0120607.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '480a124e.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 21. Januar 2010 21:23
Benötigte Zeit: 44:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

9310 Verzeichnisse wurden überprüft
312280 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
312268 Dateien ohne Befall
2541 Archive wurden durchsucht
3 Warnungen
11 Hinweise
41010 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Chris4You · 21.01.2010, 21:37

Hi,

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Hast/hattest Du Daemontools installiert?

chris

Puzzle82 · 22.01.2010, 02:48

Hey, hatte nicht gesehen,dass Du noch was geschrieben hattest. Ich bin deinen Anweisungen gefolgt, hab einen neuen Wiederherstellungspunkt festgelegt.
Ja, vor ca. 2 Wochen hab ich daemontools installiert,soll ich das wieder kicken?
Grüße
Dennis

Chris4You · 22.01.2010, 07:25

Hi,

Daemon-Tools installiert ähnlich wie die lieben Rootkits generische Treiber, so dass es in einem GMER-Log schwer fällt zu entscheiden, ist das nun ein Rootkit oder doch nur Daemon-Tools. Daher die Anweisung von GMER Daemon-Tools bzw. Alcohl zu deinstallieren (wobei immer noch Reste übrigbleiben ein bestimmter Treiber [mal sehen wie lange die Trojanerprogrammierer brauchen um den dann zu benutzen])...

Wenn Du keine Auffälligkeiten bemerkst, kannst Du Daemon drauf lassen...

chris

Malware Defense hat sich bei mir eingeschlichen!Bitte helft mir!

Plagegeister aller Art und deren Bekämpfung: Malware Defense hat sich bei mir eingeschlichen!Bitte helft mir!