Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ich kann nichts mehr updaten! (https://www.trojaner-board.de/68513-nichts-mehr-updaten.html)

epistel 13.01.2009 11:15
Ich kann nichts mehr updaten!
 
Hallo Zusammen

Ich bin ein absoluter Forumsneuling, also bitte habt Nachsicht mit mir.
Ich habe folgendes Problem. Seit ein paar Tagen läuft mein Computer extrem instabil, insbesondere beim Aufstarten hängt er sich des öfteren auf.
Habe das ganze System rauf und runter gescannt mit versch. Progs.
Ebenso kann ich keinerlei updates mehr machen, also weder Antivir, Search&Destroy noch Windows.
Wenn ich auf den Window-update Button klicke, dann kommt immer meine Startpage "goolge.ch". Gebe ich konreter update-adressen ein, so meldet es, das diese seite nicht gültig ist. "The requested URL /microsoftupdate was not found on this server."

Hat irgendjemand eine Idee!!

Vielen Dank für Euren Support!

Hier noch mein Hijack-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:28, on 13.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Datenbereinigung\Adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\AccelerometerSt.Exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Registry Mechanic\RegMech.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Datenbereinigung\Hijackthis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.Exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Datenbereinigung\Adaware\aawservice.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9607 bytes

undoreal 13.01.2009 11:20
Halli hallo epistel
:hallo:

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

  • Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
    Installiert bleiben dürfen nur Anti-Malware oder SuperAntispyware ohne Wächter.
    .
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
    .
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
    • Sicherheit: -> höchste Stufe
    • Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
      Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
  • Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista




Panda AntiRootkit

  • Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
  • Starte die PAVARK.exe durch einen Doppelklick.
  • Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
  • Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
  • Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
    Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.
  • Bereinige die Funde anschließend!



Blacklight


Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log)
Evtl. Funde lasse bitte ebenfalls beheben/umbennen.


GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

epistel 13.01.2009 11:31
Hallo Undoreal

Vielen Dank für die schnelle Antwort.
Werde dies alles gewissenhaft machen und mich wieder melden.

Vielen Dank schon jetzt für Deine Bemühungen.

epistel 13.01.2009 17:04
Hallo Undoreal

So, habe jetzt alles gemacht, was Du gesagt hast.
cccleaner hat ein paar sachen gefixed.
Panda hat nicht gefunden.
gmer hat folgendes log-file ergeben.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-13 17:01:49
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT spis.sys ZwCreateKey [0xF72870E0]
SSDT spis.sys ZwEnumerateKey [0xF72A5CA2]
SSDT spis.sys ZwEnumerateValueKey [0xF72A6030]
SSDT spis.sys ZwOpenKey [0xF72870C0]
SSDT spis.sys ZwQueryKey [0xF72A6108]
SSDT spis.sys ZwQueryValueKey [0xF72A5F88]
SSDT spis.sys ZwSetValueKey [0xF72A619A]

INT 0x63 ? 8929ABF8
INT 0x74 ? 8929ABF8
INT 0x83 ? 8929ABF8
INT 0x83 ? 8929ABF8
INT 0x84 ? 8929ABF8
INT 0x94 ? 8929ABF8
INT 0xB4 ? 89E05BF8

Code 88C93878 ZwFlushInstructionCache
Code A8428E99 pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!ObfDereferenceObject 8052668E 7 Bytes [ B8, 44, 88, 70, F7, FF, E0 ]
PAGE ntkrnlpa.exe!MmMapViewOfSection 805B1DC2 7 Bytes [ B8, D0, 82, 70, F7, FF, E0 ]
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP 88C9387C
PAGE ntkrnlpa.exe!ObCreateObject 805C137C 7 Bytes [ B8, 12, 82, 70, F7, FF, E0 ]
PAGE ntkrnlpa.exe!ObInsertObject 805C2FA2 7 Bytes [ B8, E4, 86, 70, F7, FF, E0 ]
? phooks.sys Das System kann die angegebene Datei nicht finden. !
? spis.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F548D934 5 Bytes JMP 8929A1D8

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7298048] spis.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89E041F8
Device \FileSystem\Fastfat \FatCdrom 854C71F8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\NetBT \Device\NetBT_Tcpip_{B8D5484A-7BD1-4960-8801-E0274CD16567} 854E21F8
Device \Driver\usbuhci \Device\USBPDO-0 892581F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89E731F8
Device \Driver\dmio \Device\DmControl\DmConfig 89E731F8
Device \Driver\dmio \Device\DmControl\DmPnP 89E731F8
Device \Driver\dmio \Device\DmControl\DmInfo 89E731F8
Device \Driver\usbuhci \Device\USBPDO-1 892581F8
Device \Driver\usbuhci \Device\USBPDO-2 892581F8
Device \Driver\usbehci \Device\USBPDO-3 8928E1F8
Device \Driver\usbehci \Device\USBPDO-4 8928E1F8
Device \Driver\usbuhci \Device\USBPDO-5 892581F8
Device \Driver\usbuhci \Device\USBPDO-6 892581F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89E061F8
Device \Driver\usbuhci \Device\USBPDO-7 892581F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89E061F8
Device \Driver\Cdrom \Device\CdRom0 8914B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 89E061F8
Device \Driver\Cdrom \Device\CdRom1 8914B1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{AA737D1C-809D-4364-B001-274ED2AC0D6A} 854E21F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 854E21F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{6ECACD5F-E325-4837-A7E3-20655352F50F} 854E21F8
Device \Driver\NetBT \Device\NetbiosSmb 854E21F8
Device \Driver\PCI_PNP6858 \Device\0000005c spis.sys
Device \Driver\sptd \Device\1316058108 spis.sys
Device \Driver\usbuhci \Device\USBFDO-0 892581F8
Device \Driver\usbuhci \Device\USBFDO-1 892581F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 854DE500
Device \Driver\usbuhci \Device\USBFDO-2 892581F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 854DE500
Device \Driver\usbehci \Device\USBFDO-3 8928E1F8
Device \Driver\usbuhci \Device\USBFDO-4 892581F8
Device \Driver\Ftdisk \Device\FtControl 89E061F8
Device \Driver\usbuhci \Device\USBFDO-5 892581F8
Device \Driver\usbuhci \Device\USBFDO-6 892581F8
Device \Driver\usbehci \Device\USBFDO-7 8928E1F8
Device \Driver\ank5wqcq \Device\Scsi\ank5wqcq1 8911F1F8
Device \Driver\ank5wqcq \Device\Scsi\ank5wqcq1Port1Path0Target0Lun0 8911F1F8
Device \FileSystem\Fastfat \Fat 854C71F8
Device \FileSystem\Cdfs \Cdfs 892D6500

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\msqpdxtobwwejp.sys (*** hidden *** ) [SYSTEM] msqpdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@imagepath \systemroot\system32\drivers\msqpdxtobwwejp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxserv \\?\globalroot\systemroot\system32\drivers\msqpdxtobwwejp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys\modules@msqpdxl \\?\globalroot\systemroot\system32\msqpdxyfqjnsdr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x6C 0x80 0x3F 0x28 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xD2 0x32 0xE6 0x4E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x36 0xEE 0x2B 0x76 ...
Reg HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@imagepath \systemroot\system32\drivers\msqpdxtobwwejp.sys
Reg HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys\modules@msqpdxserv \\?\globalroot\systemroot\system32\drivers\msqpdxtobwwejp.sys
Reg HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys\modules@msqpdxl \\?\globalroot\systemroot\system32\msqpdxyfqjnsdr.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x6C 0x80 0x3F 0x28 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xD2 0x32 0xE6 0x4E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x36 0xEE 0x2B 0x76 ...
Reg HKLM\SOFTWARE\Classes\msqpdxvx
Reg HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxrun 71
Reg HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxpff 1090
Reg HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxaff 1090
Reg HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxinfo ?}gx~yc?~f?gfomcyjloumllqQRTc
Reg HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxid rfx?y?zw}e??dcf??h`hhnm?nWUQW]VP!ZXY
Reg HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxsrv 1862465305
Reg HKLM\SOFTWARE\Classes\msqpdxvx@msqpdxpos "xsx{ut|o"deicaabjy?kflooUXPC

---- EOF - GMER 1.0.14 ----

Irgend eine Idee?
Grüsse und vielen Dank

undoreal 13.01.2009 19:35
Wo ist das Blacklight log?

Poste bitte immer alle logs!

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.


Downloade dir den Avenger.

Wechsel in den abgesicherten Modus.
So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;)

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:
HKLM\SYSTEM\CurrentControlSet\Services\msqpdxserv.sys
HKLM\SYSTEM\ControlSet003\Services\msqpdxserv.sys
HKLM\SOFTWARE\Classes\msqpdxvx
Hinweis:
  • HKLM\... bedeutet HKEY_Local_Mashine\
  • HKCU\... bedeutet HKEY_Current_User\
und so weiter...


Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\WINDOWS\system32\drivers\msqpdxtobwwejp.sys
C:\WINDOWS\system32\msqpdxyfqjnsdr. dll
C:\WINDOWS\system32\msqpdxyfqjnsdr.dll
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • (Strte im normalen Modus.)
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131