Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   W32/Sality!mem Trojaner - HJT Logfile (https://www.trojaner-board.de/61969-w32-sality-mem-trojaner-hjt-logfile.html)

marcusvox 13.10.2008 11:41
W32/Sality!mem Trojaner - HJT Logfile
 
Liebes Trojaner-Board-Team!
Ich habe mir gestern den im Titel genannten Trojaner eingefangen. Ich denke auf jeden Fall, dass ich den hab, "Stinger" hat ihn so bezeichnet. Der Trojaner macht sich mit einem "System Alert" rechts unten in der Taskleiste bemerkbar und will mich dazu auffordern Antispyware-Software oder ähnliches zu kaufen.
Ich hab auch schon entdeckt, dass jemand im Forum diesen Trojaner hatte. Das Problem ist nur, dass ich mich mit PCs viel zu wenig auskenne um nachzuvollziehen, was man aus einem HiJackThis-Logfile herauslesen kann und was genau dann zu tun ist bzw. welche Einträge ich dann fixen muss.
Deshalb hoffe ich, dass mir hier geholfen werden kann.
Ich schicke schon mal ein herzliches Dankeschön vorraus und hoffe, dass ich bald eine Antwort bekomme.
Lieben Gruß
Marcus

P.S.: Falls ich bei meinem Post einen Fehler gemacht habe, also z.B. irgendeine wichtige Angabe vergessen habe, bitte ich darum meinen Post nicht gleich zu schließen oder zu löschen, sondern mich darauf hinzuweisen, damit ich das schnellstmöglich editieren kann. Wie gesagt, ich kenne mich nicht wirklich aus. Vielen Dank!

HiJackThis-Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:02:39, on 13.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Class - {A7939976-24C6-9140-AC56-2B1D314B6E0C} - C:\WINDOWS\kueld1.dll (file missing)
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute Lite Edition\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3700DB82-7AB8-4E77-B407-35C6385DF37D}: NameServer = 195.34.133.21,195.34.133.22
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: euphuize - {da75fab1-136e-4ead-834d-0e04fbd6edc1} - C:\WINDOWS\system32\eivrbsi.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7570 bytes

Tayk 13.10.2008 19:48
Lade folgende Datei/Dateien bei Virustotal hoch und poste den Vollständigen bericht mit MD5 Hash usw.

Lasse Dabei auch versteckte Ordner und Dateien anzeigen!

Zitat:
C:\WINDOWS\system32\eivrbsi.dll
Scanne danach mit Malwarebytes Antimalware und poste den Vollständigen bericht, auch wenn nichts gefunden wird!

Und Jetzt noch ein Rootkitscan!

Deaktiviere Während des Rootkitscanns alle Virenscanner und Programme!
Poste die logs auch wenn deiner Ansicht nach nichts gefunden wurde!

1.MBR Scannen lassen
Lade dir bitte mbr detector herunter und führe ihn aus.
Poste das Ergebnis dann hier, die log datei liegt im gleichen ordner in dem du die mbr.exe gepeichert hast!

2.Gmer scannen lassen
Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

3.Blacklight scannen lassen
Lade dir Blackligt herunter und führe ihn aus.
Poste das Ergebnis dann hier.


PS:Wenn es Sality ist dann hast du einen Keylogger pass auf und log dich so wenig wie möglich in dingen ein führe kein onlinebanking, etc. am besten nichts online machen was iwi kosten verursachen kann!

marcusvox 13.10.2008 22:08
Lieber Tayk!
Du bist mein Held! Es scheint alles funktioniert zu haben, der Trojaner scheint zumindest nicht mehr auf und seit ich die MalwareBytes Antimalware hab scannen lassen und die Funde gelöscht habe, können die anderen Programme, die du mir gesagt hast, nichts mehr finden!
DANKE DANKE DANKE vielmals!

Virustotal:
Code:
MD5:          5e96db7ec17e5c4720a938b89cc1e451
First received:        2008.10.13 12:04:33 (CET)
Datum        2008.10.13 12:20:51 (CET) [<1D]
Ergebnisse        4/36
Permalink:        analisis/1443721e561dedd5aee29bd50ad0cb3a


 Datei eivrbsi.dll empfangen 2008.10.13 12:20:02 (CET)
Status: Beendet
Ergebnis: 4/36 (11.11%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.10.13.0        2008.10.13        -
AntiVir        7.8.1.34        2008.10.13        -
Authentium        5.1.0.4        2008.10.13        -
Avast        4.8.1248.0        2008.10.12        -
AVG        8.0.0.161        2008.10.12        -
BitDefender        7.2        2008.10.13        -
CAT-QuickHeal        9.50        2008.10.13        -
ClamAV        0.93.1        2008.10.13        -
DrWeb        4.44.0.09170        2008.10.13        -
eSafe        7.0.17.0        2008.10.12        -
eTrust-Vet        31.6.6141        2008.10.10        -
Ewido        4.0        2008.10.12        -
F-Prot        4.4.4.56        2008.10.12        -
F-Secure        8.0.14332.0        2008.10.13        -
Fortinet        3.113.0.0        2008.10.13        -
GData        19        2008.10.13        -
Ikarus        T3.1.1.34.0        2008.10.13        -
K7AntiVirus        7.10.491        2008.10.11        -
Kaspersky        7.0.0.125        2008.10.13        -
McAfee        5403        2008.10.11        New Malware.al!enc
Microsoft        1.4005        2008.10.13        TrojanDownloader:Win32/Renos.AC
NOD32        3517        2008.10.13        Win32/TrojanDownloader.FakeAlert.LX
Norman        5.80.02        2008.10.10        -
Panda        9.0.0.4        2008.10.13        -
PCTools        4.4.2.0        2008.10.12        -
Prevx1        V2        2008.10.13        -
Rising        20.66.02.00        2008.10.13        -
SecureWeb-Gateway        6.7.6        2008.10.13        -
Sophos        4.34.0        2008.10.13        Mal/FakeAlert-A
Sunbelt        3.1.1719.1        2008.10.13        -
Symantec        10        2008.10.13        -
TheHacker        6.3.1.0.108        2008.10.11        -
TrendMicro        8.700.0.1004        2008.10.13        -
VBA32        3.12.8.6        2008.10.12        -
ViRobot        2008.10.13.1417        2008.10.13        -
VirusBuster        4.5.11.0        2008.10.12        -
weitere Informationen
File size: 15360 bytes
MD5...: 5e96db7ec17e5c4720a938b89cc1e451
SHA1..: ab29d76fc6b632ab2b34c234b026c64fdbd7da17
SHA256: 6c75bef97bb8580a7d116e9b979b455676bdebf989e3607dcdc7b2f8e7f9b6e4
SHA512: 40f08c6c0abff9564aa393c61efe23db57d15e9b668bd5c1e001e637b7d29f8e
6279d2739768a9966dd268b7a50faa578421887fc481e71e64370dcd48b047f2
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ 4.x (85.8%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
Win16/32 Executable Delphi generic (1.3%)
Generic Win/DOS Executable (1.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001982
timedatestamp.....: 0x48f0844b (Sat Oct 11 10:47:39 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x143e 0x1600 5.47 d11728e10444a73a068515c06dd82d6e
.rdata 0x3000 0x715 0x800 4.58 a50e44b2afc0f5b94661f2cd3f79c8fb
.data 0x4000 0x810 0x600 4.69 6654ae6ff8d4031743519848026f731e
.rsrc 0x5000 0xfa8 0x1000 4.50 695f8e496fa43ec890b786847c7f2475
.reloc 0x6000 0x24a 0x400 4.22 437e9a49758ad74962e84c409dc7e791

( 5 imports )
> user32.dll: LoadIconA, PostQuitMessage, RegisterClassExA, LoadCursorA, SetWindowPos, SetWindowTextA, TranslateAcceleratorA, TranslateMessage, LoadAcceleratorsA, SetTimer, KillTimer, GetMessageA, EndPaint, DispatchMessageA, DefWindowProcA, CreateWindowExA, BeginPaint, wsprintfA
> kernel32.dll: lstrcpynA, WritePrivateProfileStructA, WaitForSingleObject, TerminateProcess, RtlZeroMemory, LoadLibraryA, GetVersionExA, GetTempPathA, GetTempFileNameA, GetProcAddress, GetModuleFileNameW, ClearCommError, CloseHandle, CopyFileExA, CopyFileExW, CreateThread, DefineDosDeviceA, DeleteFileA, ExitProcess, GetLastError, GetLongPathNameA, GetModuleFileNameA
> msvcrt.dll: fscanf, strlen, strcpy, strcmp, strcat, fwrite, fseek, fread, fopen, fclose, atoi, _strlwr, _wfopen
> shlwapi.dll: PathFileExistsA, StrStrA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegOpenKeyA, RegDeleteKeyA, RegCreateKeyA, RegCloseKey

( 6 exports )
aab, aal, allert2, fgllert, qoad, windows

MalwareBytes Antimalware:
Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1266
Windows 5.1.2600 Service Pack 2

13.10.2008 22:22:12
mbam-log-2008-10-13 (22-22-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 117220
Laufzeit: 24 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\eivrbsi.dll (Trojan.Zlob) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{da75fab1-136e-4ead-834d-0e04fbd6edc1} (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\multimediaControls.chl (Trojan.Zlob) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{da75fab1-136e-4ead-834d-0e04fbd6edc1} (Trojan.Zlob) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\eivrbsi.dll (Trojan.Zlob) -> No action taken.
Rootkit (hab ich das was auf der gmer seite war genommen, aber ich glaub gmer macht einen rootkit scan, oder?):
Code:
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Musste die Antwort leider aufteilen...

marcusvox 13.10.2008 22:11
Teil 2:

Gmer:
Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-13 22:42:13
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT    sptd.sys                                                                                                            ZwCreateKey [0xF738DAC8]
SSDT    F7C6A87C                                                                                                            ZwCreateThread
SSDT    sptd.sys                                                                                                            ZwEnumerateKey [0xF738DC22]
SSDT    sptd.sys                                                                                                            ZwEnumerateValueKey [0xF738DF9A]
SSDT    \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                  ZwMapViewOfSection [0xF78658D0]
SSDT    sptd.sys                                                                                                            ZwOpenKey [0xF738D98E]
SSDT    F7C6A868                                                                                                            ZwOpenProcess
SSDT    F7C6A86D                                                                                                            ZwOpenThread
SSDT    sptd.sys                                                                                                            ZwQueryKey [0xF738E064]
SSDT    sptd.sys                                                                                                            ZwQueryValueKey [0xF738DEFC]
SSDT    sptd.sys                                                                                                            ZwSetValueKey [0xF738E0EC]
SSDT    \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                  ZwShutdownSystem [0xF7865E70]
SSDT    F7C6A877                                                                                                            ZwTerminateProcess
SSDT    F7C6A872                                                                                                            ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

?      qwtpnze.sys                                                                                                        Das System kann die angegebene Datei nicht finden. !
?      C:\WINDOWS\system32\drivers\sptd.sys                                                                                Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
?      C:\WINDOWS\System32\Drivers\SPTD4813.SYS                                                                            Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text  dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7                                                                        F6BB74F0 16 Bytes  [ 53, B0, 3B, E3, 81, 94, 89, ... ]
.text  dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11                                                                    F6BB7501 31 Bytes  [ 60, BB, F6, C4, F1, FF, 44, ... ]
?      C:\WINDOWS\System32\Drivers\dtscsi.sys                                                                              Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text  wanarp.sys                                                                                                          F7791402 2 Bytes  [ 90, 90 ]
?      C:\DOKUME~1\****\LOKALE~1\Temp\mbr.sys                                                                            Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT    atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F7389AD2] sptd.sys
IAT    atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F7389C0E] sptd.sys
IAT    atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                [F7389B96] sptd.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                        [F738A76C] sptd.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                [F738A642] sptd.sys
IAT    \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                  [F73AC056] sptd.sys
IAT    \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                                [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                              [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                  [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                            [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                          [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                  [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                              [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                    [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                              [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                  [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                                [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                            [F714CB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                          [F714CCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                [F714CDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT    \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F714CD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.14 ----

Device  \FileSystem\Ntfs \Ntfs                                                                                              86FDAA40
Device  \Driver\Tcpip \Device\Ip                                                                                            wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \Driver\00000038 \Device\00000050                                                                                  sptd.sys
Device  \Driver\NetBT \Device\NetBT_Tcpip_{3700DB82-7AB8-4E77-B407-35C6385DF37D}                                            85C207F8
Device  \Driver\dmio \Device\DmControl\DmIoDaemon                                                                          86F92A40
Device  \Driver\dmio \Device\DmControl\DmConfig                                                                            86F92A40
Device  \Driver\dmio \Device\DmControl\DmPnP                                                                                86F92A40
Device  \Driver\dmio \Device\DmControl\DmInfo                                                                              86F92A40
Device  \Driver\Tcpip \Device\Tcp                                                                                          wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              86F92C78
Device  \Driver\Ftdisk \Device\HarddiskVolume2                                                                              86F92C78
Device  \Driver\Cdrom \Device\CdRom0                                                                                        86FDA808
Device  \FileSystem\Rdbss \Device\FsWrap                                                                                    85BF97F8
Device  \Driver\Ftdisk \Device\HarddiskVolume3                                                                              86F92C78
Device                                                                                                                      ACPI.sys (ACPI-Treiber für NT/Microsoft Corporation)
Device  \Driver\Ftdisk \Device\HarddiskVolume4                                                                              86F92C78
Device  \Driver\NetBT \Device\NetBt_Wins_Export                                                                            85C207F8
Device  \Driver\NetBT \Device\NetbiosSmb                                                                                    85C207F8
Device  \Driver\Tcpip \Device\Udp                                                                                          wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \Driver\Tcpip \Device\RawIp                                                                                        wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \Driver\Disk \Device\Harddisk0\DR0                                                                                  86FDAC78
Device  \Driver\Disk \Device\Harddisk1\DR1                                                                                  86FDAC78
Device  \Driver\NetBT \Device\NetBT_Tcpip_{76114D7E-167B-46E2-AAED-BBB3C27AF17F}                                            85C207F8
Device  \Driver\nvatabus \Device\NvAta0                                                                                    86FDA0E8
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                  85C037F8
Device  \Driver\Tcpip \Device\IPMULTICAST                                                                                  wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                                                                        85C037F8
Device  \FileSystem\Npfs \Device\NamedPipe                                                                                  85C7A7F8
Device  \Driver\Ftdisk \Device\FtControl                                                                                    86F92C78
Device  \FileSystem\Msfs \Device\Mailslot                                                                                  8695D6A0
Device  \Driver\si3114r5 \Device\Scsi\si3114r51Port5Path3Target1fLun0                                                      86F92550
Device  \Driver\si3114r5 \Device\Scsi\si3114r51                                                                            86F92550
Device  \Driver\si3114r5 \Device\Scsi\si3114r51Port5Path0Target10Lun0                                                      86F92550
Device  \Driver\dtscsi \Device\Scsi\dtscsi1                                                                                86E435F0
Device  \FileSystem\Cdfs \Cdfs
Gmer muss ich leider auch aufteilen...

marcusvox 13.10.2008 22:13
Teil 3:

Code:
---- Registry - GMER 1.0.14 ----

Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                       
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                    D:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                    0
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xFB 0xFB 0xF1 0x60 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                             
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                        0x48 0x1B 0x3C 0x0B ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                       
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                  0xA7 0x99 0x4C 0x33 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                       
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                  0x83 0x2D 0x0F 0x84 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42                       
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh                  0xD9 0x13 0x00 0x98 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                       
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                    D:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                    0
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xFB 0xFB 0xF1 0x60 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                             
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                        0xD4 0x20 0x7F 0xE5 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                       
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                  0x8C 0x19 0x74 0xDE ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                       
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                  0xB9 0xB9 0x5A 0x83 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42                       
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh                  0xBA 0x66 0x4B 0x54 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0                                                                  1786089410
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  -984829291
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  507875643
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                   
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                D:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0xFB 0xFB 0xF1 0x60 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                         
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                    0xD4 0x20 0x7F 0xE5 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                   
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh              0x8C 0x19 0x74 0xDE ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                   
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh              0xB9 0xB9 0x5A 0x83 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42                   
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh              0xBA 0x66 0x4B 0x54 ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xE2 0x63 0x26 0xF1 ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x6A 0x9C 0xD6 0x61 ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0x25 0xDA 0xEC 0x7E ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x86 0x8C 0x21 0x01 ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xF5 0x1D 0x4D 0x73 ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0xDF 0x20 0x58 0x62 ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0xFB 0xA7 0x78 0xE6 ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0x83 0x6C 0x56 0x8B ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0x51 0xFA 0x6E 0x91 ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0xB1 0xCD 0x45 0x5A ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0xE3 0x0E 0x66 0xD5 ...
Reg    HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                 
Reg    HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment
Reg    HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg    HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.14 ----
Blacklight:
Code:
10/13/08 22:43:29 [Info]: BlackLight Engine 1.0.67 initialized
10/13/08 22:43:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/13/08 22:43:29 [Note]: 7019 4
10/13/08 22:43:29 [Note]: 7005 0
10/13/08 22:43:36 [Note]: 7006 0
10/13/08 22:43:36 [Note]: 7011 180
10/13/08 22:43:37 [Note]: 7026 0
10/13/08 22:43:37 [Note]: 7026 0
10/13/08 22:43:38 [Note]: FSRAW library version 1.7.1024
10/13/08 22:45:21 [Note]: 2000 1012
10/13/08 22:46:23 [Note]: 7007 0
So, ich denke das sind alle Berichte!
Nochmals 1000 Dank für die absolut kompetente und schnelle Hilfe!
Das Board hier ist echt einsame Spitze!
Lieben Gruß
Marcus

Tayk 13.10.2008 22:17
Zitat:
Lieber Tayk!
Du bist mein Held! Es scheint alles funktioniert zu haben, der Trojaner scheint zumindest nicht mehr auf und seit ich die MalwareBytes Antimalware hab scannen lassen und die Funde gelöscht habe, können die anderen Programme, die du mir gesagt hast, nichts mehr finden!
DANKE DANKE DANKE vielmals!
Also deine Logs sehen leider nicht so gut aus! Du hast den Zlob, Zlob läd dateien aus dem internet und infiziert das system mit anderen viren usw. und deswegen kann man nie sicher sein was sich noch alles auf deinem Rechner tummelt! Eine Manuelle Bereinigung ist zwar möglich aber garantieren das alles weg ist kann dir niemand! Deswegen würde ich dir das Neuaufsetzen empfehlen so leid es mir tut!

Zitat:
aber ich glaub gmer macht einen rootkit scan, oder?
Gmer und Blacklight suchen nach Rootkits und MBR durchsucht den Master Boot Record

Es ist wichtig das du mir noch den MBR log postest denn nur dann kann ich erkennen ob im MBR etwas sitzt!

marcusvox 14.10.2008 01:02
oh mann!
da hab ich mich dann wohl zu früh gefreut!
schade, dass es da wirklich keine möglichkeit gibt das neu aufsetzen zu umgehen.
aber trotzdem auf jeden fall nochmal 1000 dank! finds wirklich sehr cool, dass man hier so schnell hilfe bekommt!!!
lieben gruß
marcus


p.s.: stimmt mbr hab ich vergessen zu posten!

MBR:
Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Tayk 14.10.2008 16:44
MBR sieht gut aus du kannst neuaufsetzen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131