| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.Bot ist nach jedem Neustart wieder daWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.10.2010, 18:59
| #16 |
| /// Malware-holic   |  Backdoor.Bot ist nach jedem Neustart wieder da weil die meisten das nicht wollen, aber wir können das machen, ist das sicherste. ich würde dir dann helfen beim vernünftigem absichern des systems. |
|
14.10.2010, 19:19
| #17 |
 | Backdoor.Bot ist nach jedem Neustart wieder da Tja, ich habe im Moment keine Zeit, daher habe ich auch keine Lust auf eine format c Aktion. Außerdem habe ich mir festvorgenommen, erst alles platt zu machen, wenn ich win7 besitze und eine bessere Hardware. da aber kein Geld da ist, werde ich wohl oder übel noch einmal gmer über Nacht laufen lassen.
__________________Erstmal Danke bis hierher, fahre morgen in den Urlaub und werde, falls der Scan fertig ist, diesen posten, bevor ich losfahre. Würde mich aber interessieren, was Du mit Hilfe bei Sicherung meinst. Dachte bisher, dass ich nicht so schlecht gesichert bin und auch nicht total ahnungslos. |
|
14.10.2010, 19:36
| #18 |
| /// Malware-holic | Backdoor.Bot ist nach jedem Neustart wieder da naja n bissel könnte man da schon tun, sandboxie zb
__________________ich bin ab übermorgen auch nicht da bis dienstag |
|
15.10.2010, 07:13
| #19 |
| | Backdoor.Bot ist nach jedem Neustart wieder da So da ist der Log.upsGMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-15 07:26:26
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: e:\Temp\pxtdapod.sys
---- System - GMER 1.0.15 ----
SSDT B8702706 ZwCreateKey
SSDT B87026FC ZwCreateThread
SSDT B870270B ZwDeleteKey
SSDT B8702715 ZwDeleteValueKey
SSDT spiq.sys ZwEnumerateKey [0xB7EC8CA2]
SSDT spiq.sys ZwEnumerateValueKey [0xB7EC9030]
SSDT B870271A ZwLoadKey
SSDT spiq.sys ZwOpenKey [0xB7EAB0C0]
SSDT B87026E8 ZwOpenProcess
SSDT B87026ED ZwOpenThread
SSDT spiq.sys ZwQueryKey [0xB7EC9108]
SSDT spiq.sys ZwQueryValueKey [0xB7EC8F88]
SSDT B8702724 ZwReplaceKey
SSDT B870271F ZwRestoreKey
SSDT B8702710 ZwSetValueKey
INT 0x62 ? 8A758BF8
INT 0x63 ? 8A4FBBF8
INT 0x73 ? 8A75CBF8
INT 0x82 ? 8A758BF8
INT 0xB4 ? 8A4FBBF8
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2D1C 8050391C 4 Bytes CALL A508A947
? spiq.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B7A2962C 5 Bytes JMP 8A4FB1D8
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB4CD7380, 0x566445, 0xE8000020]
.text atutsjoc.SYS B4C5E384 1 Byte [20]
.text atutsjoc.SYS B4C5E384 37 Bytes [20, 00, 00, 68, 00, 00, 00, ...]
.text atutsjoc.SYS B4C5E3AA 24 Bytes [00, 00, 20, 00, 00, E0, 00, ...]
.text atutsjoc.SYS B4C5E3C4 3 Bytes [00, 00, 00]
.text atutsjoc.SYS B4C5E3C9 1 Byte [00]
.text ...
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB11B2300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB224B300, 0x1B7E, 0xE8000020]
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EAC040] spiq.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EAC13C] spiq.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EAC0BE] spiq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EAC7FC] spiq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EAC6D2] spiq.sys
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!KfAcquireSpinLock] 0A64D90F
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!READ_PORT_UCHAR] 046FD406
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!KeGetCurrentIrql] 1672C31D
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!KfRaiseIrql] 1879CE14
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!KfLowerIrql] 3248ED2B
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!HalGetInterruptVector] 3C43E022
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!HalTranslateBusAddress] 2E5EF739
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!KeStallExecutionProcessor] 2055FA30
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!KfReleaseSpinLock] EC01B79A
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] E20ABA93
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!READ_PORT_USHORT] F017AD88
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] FE1CA081
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[HAL.dll!WRITE_PORT_UCHAR] D42D83BE
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[WMILIB.SYS!WmiSystemControl] C83B99AC
IAT \SystemRoot\System32\Drivers\atutsjoc.SYS[WMILIB.SYS!WmiCompleteRequest] C63094A5
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7EBBD92] spiq.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A7561F8
Device \Driver\usbohci \Device\USBPDO-0 8A5BD1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A7CB1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A7CB1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A7CB1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A7CB1F8
Device \Driver\usbehci \Device\USBPDO-1 8A5B91F8
Device \Driver\sptd \Device\1436803402 spiq.sys
Device \Driver\prodrv06 \Device\ProDrv06 E1D48408
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A75A1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A75A1F8
Device \Driver\Cdrom \Device\CdRom0 8A59A1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A75A1F8
Device \Driver\Cdrom \Device\CdRom1 8A59A1F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8A75A1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E59E14FF-DF76-46C9-8F3A-7BC93E00911D} 8846C1F8
Device \Driver\Ftdisk \Device\HarddiskVolume5 8A75A1F8
Device \Driver\prohlp02 \Device\ProHlp02 E18930B8
Device \Driver\PCI_PNP8402 \Device\00000076 spiq.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 8846C1F8
Device \Driver\NetBT \Device\NetbiosSmb 8846C1F8
Device \Driver\nvata \Device\00000095 8A7581F8
Device \Driver\nvata \Device\00000095 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\nvata \Device\00000096 8A7581F8
Device \Driver\nvata \Device\00000096 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation)
Device \Driver\usbohci \Device\USBFDO-0 8A5BD1F8
Device \Driver\usbehci \Device\USBFDO-1 8A5B91F8
Device \Driver\nvata \Device\NvAta0 8A7581F8
Device \Driver\nvata \Device\NvAta0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 884561F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 884561F8
Device \Driver\Ftdisk \Device\FtControl 8A75A1F8
Device \Driver\atutsjoc \Device\Scsi\atutsjoc1Port2Path0Target0Lun0 8A377500
Device \Driver\atutsjoc \Device\Scsi\atutsjoc1Port2Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\nvgts \Device\Scsi\nvgts1Port1Path1Target1Lun0 8A7571F8
Device \Driver\nvgts \Device\Scsi\nvgts1Port1Path1Target1Lun0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atutsjoc \Device\Scsi\atutsjoc1 8A377500
Device \Driver\atutsjoc \Device\Scsi\atutsjoc1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\nvgts \Device\Scsi\nvgts1 8A7571F8
Device \Driver\nvgts \Device\Scsi\nvgts1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Cdfs \Cdfs 884031F8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 422843683
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -111860077
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x00 0x87 0x0C 0x91 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x30 0xCD 0xC6 0x8A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 e:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x10 0xA0 0xED 0xBC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5B 0xBF 0x9D 0x65 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFF 0xCE 0xDF 0xF7 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x00 0x87 0x0C 0x91 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x30 0xCD 0xC6 0x8A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 e:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 2
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x10 0xA0 0xED 0xBC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x5B 0xBF 0x9D 0x65 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFF 0xCE 0xDF 0xF7 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG06.00.00.01WORKSTATION 3E9CBA167DC28B85924F2E4C070B45DD42C88F086154F578FBC35EB605E149685319D0E89C2C631FD38D710B4431E1755F2B7BC10ADF2549613817C3CB0BF0A04C2FD2525FEFD4EE6DCE073888CE6A550AB9EBDE4390E0055224176EDAFDDD22A0143D035582A3C60BAB466B29088F07C30CB200C5DB690EC542D002EDA0FC47DDC33D0F605B091B7081BBA3CC07F73823015B2D9E3A70EB498F692E19DE2E8F237E356FB7F6320570EEA641EEF73DB9D2B8A14F2FAA9C4979CEBA0640A544A025C43C7F6654C041F5597909618A6E03FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6679DB7CE019D40AA5CA2D97226D213B555BA7FD869164D67944D04184B552FDF62ECE9F6F71A33DE423D9932EE25F6B27FB237CECDA953056C5DEECC095C605C99327F00F2F586D91433DD32C572264249D95D94CFB2D161EB5B720D22DC8CAF703703BFCF9AAAD1179B40FDC49FAD66090E15F0277EC59FFD722AA6C9D84DB0F9DC70612C51688D982BBC3E1258A6F0E37AFDA821BFB93FC2E5759D9728BDAE7198864589B58DC60AAD96D0B81FAD2A26DEFA34737BBC357E08F6A78973FC6A31F34A7D4DB7EA2B038051C4264865CCBC0F3142348B60691AC0162F00BCAD17BC8A0552C09AD35EBB96B6602DFB73073D710A345D1F3CB72
---- EOF - GMER 1.0.15 ----
|
|
15.10.2010, 09:50
| #20 |
| /// Malware-holic | Backdoor.Bot ist nach jedem Neustart wieder da Lade SystemLook von jpshortstuff herunter und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe Doppelklick auf die SystemLook.exe, um das Tool zu starten. user von windows seven und vista rechtsklick und als admin ausführen. kopiere ein: :filefind atutsjoc.SYS Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten. Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert, diese posten. |
|
15.10.2010, 10:21
| #21 |
| | Backdoor.Bot ist nach jedem Neustart wieder da Wird gemacht, Commander!  SystemLook 04.09.10 by jpshortstuff Log created at 11:19 on 15/10/2010 by btsv Administrator - Elevation successful ========== filefind ========== Searching for "atutsjoc.SYS " No files found. -= EOF =- |
|
15.10.2010, 10:31
| #22 |
| /// Malware-holic | Backdoor.Bot ist nach jedem Neustart wieder da avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
|
25.10.2010, 12:29
| #23 |
| | Backdoor.Bot ist nach jedem Neustart wieder da So, bin wieder da und habe über nacht antivir laufen lassen, morgens komme ich ins Arbeitszimmer und es wird keine Systemplatte mehr gefunden. Kabel habe ich schon ausgetauscht und man hört, dass die Platte auch anläuft. Nur zur Sicherheit: Kann daran Antivir mit den Änderungen der Einstellungen zu tun haben? |
|
28.10.2010, 13:00
| #24 |
| /// Malware-holic | Backdoor.Bot ist nach jedem Neustart wieder da mein computer war kaputt. normalerweise hat avira nichts damit zu tun, so was hab ich zu mindest noch nicht gehört. was genau für fehlermeldungen gibt es? |
|
28.10.2010, 16:34
| #25 |
| | Backdoor.Bot ist nach jedem Neustart wieder da Tja, gar keine, der rechner hat irgendwann in der Nach einen Neustart veranlasst, was an sich schon sehr komisch war. Morgends war dann keine Systemplatte mehr da! Wurde nicht mal mehr vom Bios gefunden. Platte ausgetauscht und neues System drauf - nun gehts wieder. Trotzdem merkwürdig, zumal ich kein "klackern" oder sonst etwas höre, die Platte läuft auch an... |
|
28.10.2010, 16:51
| #26 |
| /// Malware-holic | Backdoor.Bot ist nach jedem Neustart wieder da und wenn du die platte jetzt als slafe anschließt, kannst du drauf zugreifen? |
|
28.10.2010, 17:57
| #27 |
| | Backdoor.Bot ist nach jedem Neustart wieder da Unter xp nicht und bei win7 komme ich nur bis zum Laufwerk. Dann geht nichts mehr. Allerdings habe ich sie mit eine USB-Adapter angeschlossen. Es klingt jetzt schon so, dass sie hakt. |
|
28.10.2010, 17:59
| #28 |
| /// Malware-holic | Backdoor.Bot ist nach jedem Neustart wieder da na dann ist sie wohl kaputt. welches bs nutzt du jetzt? damit ich dir tipps zum absichern geben kann. |
|
28.10.2010, 18:21
| #29 |
| | Backdoor.Bot ist nach jedem Neustart wieder da noch xp, warte auf win7 home premium, gruß |
|
28.10.2010, 18:31
| #30 |
| /// Malware-holic | Backdoor.Bot ist nach jedem Neustart wieder da du kannst dich ja melden, wenn du win7 hast, dann helfe ich dir beim absichern, so machen wir uns net 2x die arbeit |
|
| Themen zu Backdoor.Bot ist nach jedem Neustart wieder da |
| 0 bytes, 0x00000001, ad-aware, adblock, adobe, afd.sys, alternate, antivir, antivir guard, avg, avgntflt.sys, avira, bearbeitung, bho, c:\windows\system32\rundll32.exe, components, computer, desktop, dllhost.exe, einstellungen, excel, firefox, fontcache, gainward, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, location, mozilla, mozilla thunderbird, msiexec.exe, msimg32.dll, nt.dll, ntdll.dll, oldtimer, oledlg.dll, plug-in, prozesse, registry, rundll, schannel.dll, searchplugins, software, sptd.sys, system restore, tracker, ups.exe, verweise, virus gefunden, windows, windows xp, wintrust.dll |
Linear-Darstellung
