| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Letzte Zweifel ausräumen, ob der PC infiziert ist oder nichtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.02.2010, 21:10
| #1 |
| |  Letzte Zweifel ausräumen, ob der PC infiziert ist oder nicht Hallo. Bin mit google immer wieder auf dieses Forum gestoßen und denke, dass mir hier kompetent geholfen werden kann. Ich habe GMER laufen lassen und hätte gern gewusst, ob jemand so nett ist, sich das mal anzusehen, ob es Anzeichen einer Infektion gibt. Ein HJT-Log habe ich auch noch angehängt. Sonst habe ich nur AntiVir free 9.0.0.419 und die Windows-Firewall laufen. Ab und zu lasse ich MBAM im abges. Modus und die Security-CD von heise laufen. Immer ohne Befund, auch der Scan von AntiVir. Alle Security-Patches von MS sind installiert. Welche Tests wären noch nötig, um allerletzte Zweifel auszuräumen? Vielen Dank vorab. PCkiller Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-28 14:03:05
Windows 6.0.6002 Service Pack 2
Running: 5gh7nokx.exe; Driver: C:\Users\ich\AppData\Local\Temp\uwldrpow.sys
---- System - GMER 1.0.15 ----
SSDT 8C47801C ZwCreateThread
SSDT 8C478008 ZwOpenProcess
SSDT 8C47800D ZwOpenThread
SSDT 8C478017 ZwTerminateProcess
INT 0x62 ? 853F5BF8
INT 0x62 ? 853F5BF8
INT 0x62 ? 853F5BF8
INT 0x62 ? 853F5BF8
INT 0x72 ? 853F5BF8
INT 0x82 ? 853F5BF8
INT 0x82 ? 853F5BF8
INT 0x82 ? 853F5BF8
INT 0xA2 ? 85129BF8
INT 0xA2 ? 85129BF8
INT 0xA2 ? 85129BF8
INT 0xA2 ? 85129BF8
INT 0xA2 ? 85129BF8
INT 0xA2 ? 85129BF8
INT 0xA2 ? 853F5BF8
INT 0xA2 ? 85129BF8
INT 0xB2 ? 853F5BF8
INT 0xB2 ? 853F5BF8
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!KeSetEvent + 221 81CBB984 4 Bytes [1C, 80, 47, 8C]
.text ntkrnlpa.exe!KeSetEvent + 3F1 81CBBB54 4 Bytes [08, 80, 47, 8C]
.text ntkrnlpa.exe!KeSetEvent + 40D 81CBBB70 4 Bytes [0D, 80, 47, 8C]
.text ntkrnlpa.exe!KeSetEvent + 621 81CBBD84 4 Bytes [17, 80, 47, 8C]
? System32\Drivers\spes.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 8A37F41B 5 Bytes JMP 853F51D8
.text a8246gdu.SYS 8E156000 22 Bytes [82, F3, FC, 81, 6C, F2, FC, ...]
.text a8246gdu.SYS 8E156017 181 Bytes [00, 32, 17, 7A, 80, 3D, 15, ...]
.text a8246gdu.SYS 8E1560CE 10 Bytes [00, 00, 00, 00, 00, 00, 02, ...]
.text a8246gdu.SYS 8E1560DA 12 Bytes [00, 00, 02, 00, 00, 00, 24, ...]
.text a8246gdu.SYS 8E1560E7 714 Bytes [00, F0, 0E, 00, 00, 00, 00, ...]
.text ...
.text C:\Windows\system32\DRIVERS\atksgt.sys section is writeable [0x80EE2300, 0x3B6D8, 0xE8000020]
.text C:\Windows\system32\DRIVERS\lirsgt.sys section is writeable [0x80F25300, 0x1BEE, 0xE8000020]
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [806976D6] \SystemRoot\System32\Drivers\spes.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80697042] \SystemRoot\System32\Drivers\spes.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [80697800] \SystemRoot\System32\Drivers\spes.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [806970C0] \SystemRoot\System32\Drivers\spes.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8069713E] \SystemRoot\System32\Drivers\spes.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [806A6E9C] \SystemRoot\System32\Drivers\spes.sys
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortNotification] CC358B04
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortWritePortUchar] 838E17BF
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortWritePortUlong] 458B38C6
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortGetPhysicalAddress] A5A5A514
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 100D8BA5
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortGetScatterGatherList] 5F8E1790
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortReadPortUchar] 30810889
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortStallExecution] 54771129
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortGetParentBusType] 10C25D5E
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortRequestCallback] 8B55CC00
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 084D8BEC
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortGetUnCachedExtension] 0CF0918B
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortCompleteRequest] 458B0000
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortMoveMemory] 8B108910
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 000CF491
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 04508900
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 053C7980
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortReadPortUshort] 560C558B
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortReadPortBufferUshort] C6127557
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortInitialize] B18D0502
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortGetDeviceBase] 00000CF8
IAT \SystemRoot\System32\Drivers\a8246gdu.SYS[ataport.SYS!AtaPortDeviceStateChange] A508788D
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8512E1F8
Device \Driver\volmgr \Device\VolMgrControl 8512B1F8
Device \Driver\usbuhci \Device\USBPDO-0 854A1500
Device \Driver\usbuhci \Device\USBPDO-1 854A1500
Device \Driver\usbuhci \Device\USBPDO-2 854A1500
Device \Driver\usbehci \Device\USBPDO-3 8544F500
Device \Driver\usbuhci \Device\USBPDO-4 854A1500
Device \Driver\usbuhci \Device\USBPDO-5 854A1500
Device \Driver\usbuhci \Device\USBPDO-6 854A1500
Device \Driver\PCI_PNP8581 \Device\00000057 spes.sys
Device \Driver\volmgr \Device\HarddiskVolume1 8512B1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\usbehci \Device\USBPDO-7 8544F500
Device \Driver\volmgr \Device\HarddiskVolume2 8512B1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\cdrom \Device\CdRom0 85450500
Device \Driver\volmgr \Device\HarddiskVolume3 8512B1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\cdrom \Device\CdRom1 85450500
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8512D1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-2 8512D1F8
Device \Driver\atapi \Device\Ide\IdePort0 8512D1F8
Device \Driver\atapi \Device\Ide\IdePort1 8512D1F8
Device \Driver\atapi \Device\Ide\IdePort2 8512D1F8
Device \Driver\atapi \Device\Ide\IdePort3 8512D1F8
Device \Driver\atapi \Device\Ide\IdePort4 8512D1F8
Device \Driver\atapi \Device\Ide\IdePort5 8512D1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP5T0L0-8 8512D1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 8512D1F8
Device \Driver\cdrom \Device\CdRom2 85450500
Device \Driver\netbt \Device\NetBt_Wins_Export 85832500
Device \Driver\Smb \Device\NetbiosSmb 858E81F8
Device \Driver\iScsiPrt \Device\RaidPort0 85ABB500
Device \Driver\netbt \Device\NetBT_Tcpip_{C07DA911-27FC-49E3-980A-D15B89905BF8} 85832500
Device \Driver\usbuhci \Device\USBFDO-0 854A1500
Device \Driver\usbuhci \Device\USBFDO-1 854A1500
Device \Driver\netbt \Device\NetBT_Tcpip_{7922D88C-A66C-4758-9D92-97F6A1CB4D6F} 85832500
Device \Driver\usbuhci \Device\USBFDO-2 854A1500
Device \Driver\usbehci \Device\USBFDO-3 8544F500
Device \Driver\usbuhci \Device\USBFDO-4 854A1500
Device \Driver\usbuhci \Device\USBFDO-5 854A1500
Device \Driver\usbuhci \Device\USBFDO-6 854A1500
Device \Driver\usbehci \Device\USBFDO-7 8544F500
Device \Driver\a8246gdu \Device\Scsi\a8246gdu1 859B81F8
Device \Driver\a8246gdu \Device\Scsi\a8246gdu1Port7Path0Target0Lun0 859B81F8
Device \Driver\sptd \Device\3219902590 spes.sys
Device \FileSystem\cdfs \Cdfs 8584A1F8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBD 0xA0 0x97 0x2A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x12 0xDC 0x8E 0xBD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x96 0x95 0x4F 0x7E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBD 0xA0 0x97 0x2A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x12 0xDC 0x8E 0xBD ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x96 0x95 0x4F 0x7E ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:07:59, on 28.02.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18882) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe D:\Program Files\Avira\AntiVir Desktop\avgnt.exe D:\Program Files\foobar2000\foobar2000.exe D:\Program Files\ac'tivAid\AutoHotkey\AutoHotkey.exe C:\Program Files\Windows Media Player\wmpnscfg.exe D:\Program Files\Opera10\opera.exe C:\Windows\explorer.exe E:\Setups\Installationsdateien\Diagnose undTesten\HiJack-This\HiJackThis202.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: ac'tivAid.lnk = D:\Program Files\ac'tivAid\Portable_ac'tivAid.exe O4 - Startup: foobar200.lnk = D:\Program Files\foobar2000\foobar2000.exe O13 - Gopher Prefix: O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- End of file - 2962 bytes Geändert von PCkiller (28.02.2010 um 21:20 Uhr) Grund: Code-Tags gesetzt |
| Themen zu Letzte Zweifel ausräumen, ob der PC infiziert ist oder nicht |
| 0 bytes, antivir, antivir guard, avg, avira, bho, controlset002, defender, desktop, explorer, google, hal.dll, helper, hijack, hijackthis, infiziert, internet, internet explorer, kompetent, local\temp, locker, notification, nvidia, ohne befund, opera, pc infiziert, plug-in, registry, rundll, scan, software, system, temp, ups, usbport.sys, vista, windows-firewall |
Baum-Darstellung