Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Werde Virus/Trojaner nicht los - vermtl. Win32.Trojan.Tdss (https://www.trojaner-board.de/76404-virus-trojaner-los-vermtl-win32-trojan-tdss.html)

Chris4You 20.11.2009 12:18

Hi,

dürfte keinen Einfluss haben.

Meines Wissens verbiegt CF da nichts... Plätte mal noch alle versteckten Dateien.

Nach dem booten ohne Netz von Festplatte gleich mal die Scanner auf die Reise schicken.

chris

Joe007 20.11.2009 12:28

Zitat:

Zitat von Chris4You (Beitrag 481583)
Plätte mal noch alle versteckten Dateien.

was meinst Du damit Chris?

Chris4You 20.11.2009 12:32

Hi,

nicht die versteckten, die temporären (ich werde langsam -äh- alt)..
C.\windows\temp, c:\dokumente einstellungen\user\lokale einstellungen\temp,
das für den Admin nicht vergessen...

Hast Du die falsche atapi.sys schon "übergebügelt"?

chris

Joe007 20.11.2009 12:38

achso, jep, hab ich eh gemacht, jetzt beim neustart waren wieder welche da, hab ich wieder gelöscht.

die atapi.sys hab ich schon länger expandiert s.o., soll ich nochmal?
Zitat:

Zitat von Joe007 (Beitrag 481564)
Code:

expand -r E:\i386\atapi.sy_ C:\Windows\system32\drivers\


Chris4You 20.11.2009 12:45

Hi,

wenn Windows läuft, dürfte das nicht funktionieren...

Jetzt bitte noch mal Gmer drüberjagen, mal sehen was der noch so ausgibt (oder ob er wieder das zeitliche Segnet)...

chris
Ps.: Bin jetzt ca. 2 h weg...

Joe007 20.11.2009 12:58

Gmer gestartet, aber Antivir und Firewall vergessen auszuschalten, unvollständiges log bis dahin:
Code:

GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-20 12:55:49
Windows 5.1.2600 Service Pack 3
Running: q85ssexw.exe; Driver: C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT            F7C0AE26                                                                                                ZwCreateKey
SSDT            F7C0AE1C                                                                                                ZwCreateThread
SSDT            F7C0AE2B                                                                                                ZwDeleteKey
SSDT            F7C0AE35                                                                                                ZwDeleteValueKey
SSDT            F7C0AE3A                                                                                                ZwLoadKey
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwMapViewOfSection [0xF79C98D0]
SSDT            F7C0AE08                                                                                                ZwOpenProcess
SSDT            F7C0AE0D                                                                                                ZwOpenThread
SSDT            F7C0AE44                                                                                                ZwReplaceKey
SSDT            F7C0AE3F                                                                                                ZwRestoreKey
SSDT            F7C0AE30                                                                                                ZwSetValueKey
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                        ZwShutdownSystem [0xF79C9E70]
SSDT            F7C0AE17                                                                                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          tcpip.sys!IPTransmit + 10FC                                                                              F3FA7D3A 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          tcpip.sys!IPTransmit + 2A52                                                                              F3FA9690 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          tcpip.sys!IPRegisterProtocol + 930                                                                      F3FBF454 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          wanarp.sys                                                                                              F6C5E3FD 7 Bytes  CALL F731B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetReadFile                                              408C654B 5 Bytes  JMP 13159E5C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetCloseHandle                                            408C9088 5 Bytes  JMP 1315A05C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetQueryDataAvailable                                    408CBF7F 5 Bytes  JMP 13159C7C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!HttpOpenRequestA                                              408CD508 5 Bytes  JMP 13158964
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetConnectA                                              408CDEAE 5 Bytes  JMP 1315880C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!HttpSendRequestW                                              408CFABE 5 Bytes  JMP 13159688
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetOpenA                                                  408DD690 5 Bytes  JMP 131587C0
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!HttpSendRequestA                                              408DEE89 5 Bytes  JMP 13159288
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetReadFileExW                                            408E3349 5 Bytes  JMP 1315A00C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetReadFileExA                                            408E3381 5 Bytes  JMP 13159FBC

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                      [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                      [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                    [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                              [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                      [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                        [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                        [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                    [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                        [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                      [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                  [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                      [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                      [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\Tcp                                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                Lbd.sys (Boot Driver/Lavasoft AB)

Device          \Driver\Tcpip \Device\Udp                                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\RawIp                                                                              wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                        wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y!  71230

---- EOF - GMER 1.0.15 ----


Joe007 20.11.2009 14:30

soll ich die atapi.sys dann nochmal ersetzen? (habs mit cmd unter windows gemacht gehabt) Wenn ja, wie?

Gmer ist noch nicht fertig, log folgt dann (scheint aber im wesentlichen das vorausgegangene zu sein).

Gmer immer noch nicht fertig, ich muss jetzt leider weg und poste das log dann heute abend.

Chris4You 20.11.2009 15:16

Hi,

bis jetzt sieht das noch gut aus, was Gmer anzeigt...
(Das war bisher auch mein längster Thread, ein MT -> MonsterThread)...

Der Rootkit ist unglaublich schlau gemacht, der richtet sich auf dem Rechner ein eigenes, verschlüsseltes Filessystem ein..... Arrrghhh....

chris

Joe007 20.11.2009 19:51

is auch etwas nervenauf- und v.a. sehr zeitraubend, hätte eigentlich schon genug Probleme... danke jedenfalls fürs durchhaltevermögen!

hier das Gmer log (Scan nur auf C:\, ohne Internet, Virenscanner, Sygate)
Code:

GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-20 19:48:26
Windows 5.1.2600 Service Pack 3
Running: q85ssexw.exe; Driver: C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT            F7C0AE26                                                                                                                                                                                                                                                                      ZwCreateKey
SSDT            F7C0AE1C                                                                                                                                                                                                                                                                      ZwCreateThread
SSDT            F7C0AE2B                                                                                                                                                                                                                                                                      ZwDeleteKey
SSDT            F7C0AE35                                                                                                                                                                                                                                                                      ZwDeleteValueKey
SSDT            F7C0AE3A                                                                                                                                                                                                                                                                      ZwLoadKey
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                                                                                                                                                                            ZwMapViewOfSection [0xF79C98D0]
SSDT            F7C0AE08                                                                                                                                                                                                                                                                      ZwOpenProcess
SSDT            F7C0AE0D                                                                                                                                                                                                                                                                      ZwOpenThread
SSDT            F7C0AE44                                                                                                                                                                                                                                                                      ZwReplaceKey
SSDT            F7C0AE3F                                                                                                                                                                                                                                                                      ZwRestoreKey
SSDT            F7C0AE30                                                                                                                                                                                                                                                                      ZwSetValueKey
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)                                                                                                                                                                                            ZwShutdownSystem [0xF79C9E70]
SSDT            F7C0AE17                                                                                                                                                                                                                                                                      ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          tcpip.sys!IPTransmit + 10FC                                                                                                                                                                                                                                                  F3FA7D3A 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          tcpip.sys!IPTransmit + 2A52                                                                                                                                                                                                                                                  F3FA9690 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          tcpip.sys!IPRegisterProtocol + 930                                                                                                                                                                                                                                            F3FBF454 6 Bytes  CALL F731B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          wanarp.sys                                                                                                                                                                                                                                                                    F6C5E3FD 7 Bytes  CALL F731B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetReadFile                                                                                                                                                                                                                    408C654B 5 Bytes  JMP 13159E5C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetCloseHandle                                                                                                                                                                                                                408C9088 5 Bytes  JMP 1315A05C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetQueryDataAvailable                                                                                                                                                                                                          408CBF7F 5 Bytes  JMP 13159C7C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!HttpOpenRequestA                                                                                                                                                                                                                    408CD508 5 Bytes  JMP 13158964
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetConnectA                                                                                                                                                                                                                    408CDEAE 5 Bytes  JMP 1315880C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!HttpSendRequestW                                                                                                                                                                                                                    408CFABE 5 Bytes  JMP 13159688
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetOpenA                                                                                                                                                                                                                      408DD690 5 Bytes  JMP 131587C0
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!HttpSendRequestA                                                                                                                                                                                                                    408DEE89 5 Bytes  JMP 13159288
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetReadFileExW                                                                                                                                                                                                                408E3349 5 Bytes  JMP 1315A00C
.text          C:\WINDOWS\Explorer.EXE[1476] WININET.dll!InternetReadFileExA                                                                                                                                                                                                                408E3381 5 Bytes  JMP 13159FBC

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                                                                                                                                                                                                          [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                                                                                                                                                                                                            [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                                                                                                                                                    [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                                                                                                                                                                                                      [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                                                                                                                                                                                      [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                                                                                                                                                                          [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                                                                                                                                                                          [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                                                                                                                                                    [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                                                                                                                                                                                      [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                                                                                                                                                                                    [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                                                                                                                                                                          [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                                                                                                                                                                            [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                                                                                                                                                                            [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                                                                                                                                                                              [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                                                                                                                                                                                        [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                                                                                                                                                      [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                                                                                                                                                                                        [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                                                                                                                                                                            [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                                                                                                                                                                            [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                                                                                                                                                                                          [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                                                                                                                                                                                            [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                                                                                                                                                    [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                                                                                                                                                                                      [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                                                                                                                                                                                                      [F731BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                                                                                                                                                                                                    [F731BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                                                                                                                                                                                                          [F731BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                                                                                                                                                                                                            [F731BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                                                                                                                                                                                                                      wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\Tcp                                                                                                                                                                                                                                                    wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                                                                                                                                                    Lbd.sys (Boot Driver/Lavasoft AB)

Device          \Driver\Tcpip \Device\Udp                                                                                                                                                                                                                                                    wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\RawIp                                                                                                                                                                                                                                                  wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                                                                                                                                                                            wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                                                                                                                                                      fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y!                                                                                                                                                                      71230

---- Files - GMER 1.0.15 ----

File            C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\ET_MME~1.JS  3397 bytes
File            C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\OVERLA~1.JS  6443 bytes
File            C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\styles.css  5870 bytes

---- EOF - GMER 1.0.15 ----

werd jetzt mal schauen, ob die richtige atapi.sys gespeichert ist (virustotal), ob das überschreiben in cmd unter windows überhaupt was gebracht hat...

Chris4You 20.11.2009 19:57

Hi,

wenn möglich kill noch die folgenden Files, die sind nicht ganz koscher...
Code:

C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\ET_MME~1.JS  3397 bytes
File            C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\OVERLA~1.JS  6443 bytes
File            C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\styles.css  5870 bytes

Da ist javascript dahinter...

GMER sieht immer noch gut aus, ich denke wir haben dem Rootkit jetzt hoffentlich (endgültig) den Garaus gemacht...

chris

Joe007 20.11.2009 20:06

Virustotal Ergebnis von der aktuellen C:\Windows\system32\drivers\atapi.sys
(1 Fund)
Code:

Datei atapi.sys empfangen 2009.11.20 18:59:26 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/41 (2.44%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 50 und 71 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.41        2009.11.20        -
AhnLab-V3        5.0.0.2        2009.11.20        -
AntiVir        7.9.1.72        2009.11.20        -
Antiy-AVL        2.0.3.7        2009.11.20        -
Authentium        5.2.0.5        2009.11.20        -
Avast        4.8.1351.0        2009.11.20        -
AVG        8.5.0.425        2009.11.20        -
BitDefender        7.2        2009.11.20        -
CAT-QuickHeal        10.00        2009.11.20        -
ClamAV        0.94.1        2009.11.20        -
Comodo        2983        2009.11.19        -
DrWeb        5.0.0.12182        2009.11.20        -
eSafe        7.0.17.0        2009.11.19        Win32.Rootkit
eTrust-Vet        35.1.7132        2009.11.20        -
F-Prot        4.5.1.85        2009.11.20        -
F-Secure        9.0.15370.0        2009.11.20        -
Fortinet        3.120.0.0        2009.11.20        -
GData        19        2009.11.20        -
Ikarus        T3.1.1.74.0        2009.11.20        -
Jiangmin        11.0.800        2009.11.20        -
K7AntiVirus        7.10.901        2009.11.20        -
Kaspersky        7.0.0.125        2009.11.20        -
McAfee        5808        2009.11.20        -
McAfee+Artemis        5808        2009.11.20        -
McAfee-GW-Edition        6.8.5        2009.11.20        -
Microsoft        1.5302        2009.11.20        -
NOD32        4625        2009.11.20        -
Norman        6.03.02        2009.11.20        -
nProtect        2009.1.8.0        2009.11.20        -
Panda        10.0.2.2        2009.11.20        -
PCTools        7.0.3.5        2009.11.20        -
Prevx        3.0        2009.11.20        -
Rising        22.22.04.09        2009.11.20        -
Sophos        4.47.0        2009.11.20        -
Sunbelt        3.2.1858.2        2009.11.19        -
Symantec        1.4.4.12        2009.11.20        -
TheHacker        6.5.0.2.074        2009.11.19        -
TrendMicro        9.0.0.1003        2009.11.20        -
VBA32        3.12.12.0        2009.11.20        -
ViRobot        2009.11.20.2047        2009.11.20        -
VirusBuster        5.0.21.0        2009.11.20        -
weitere Informationen
File size: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): PE_Patch


edit: zu den Dateien, war ein Webseitenartikel, den ich gespeichert hatte, habe ich eigentlich auch noch in nem anderen Ordner gespeichert. Den genannten hab ich gelöscht. Seltsam, dass er beim anderen nicht gemeckert hat.

Joe007 20.11.2009 20:19

habe die atapi.sys von der recovery-cd jetzt aufm laptop expandiert (nicht in den drivers ordner) und bei virustotal.com hochgeladen,
Ergebnis: 1 Fund/Verdacht, aber anders als vorherige
Code:

Datei atapi.sys empfangen 2009.11.20 19:17:20 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/41 (2.44%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.41        2009.11.20        -
AhnLab-V3        5.0.0.2        2009.11.20        -
AntiVir        7.9.1.72        2009.11.20        -
Antiy-AVL        2.0.3.7        2009.11.20        -
Authentium        5.2.0.5        2009.11.20        -
Avast        4.8.1351.0        2009.11.20        -
AVG        8.5.0.425        2009.11.20        -
BitDefender        7.2        2009.11.20        -
CAT-QuickHeal        10.00        2009.11.20        -
ClamAV        0.94.1        2009.11.20        -
Comodo        2983        2009.11.19        -
DrWeb        5.0.0.12182        2009.11.20        -
eSafe        7.0.17.0        2009.11.19        -
eTrust-Vet        35.1.7132        2009.11.20        -
F-Prot        4.5.1.85        2009.11.20        -
F-Secure        9.0.15370.0        2009.11.20        -
Fortinet        3.120.0.0        2009.11.20        -
GData        19        2009.11.20        -
Ikarus        T3.1.1.74.0        2009.11.20        -
Jiangmin        11.0.800        2009.11.20        -
K7AntiVirus        7.10.901        2009.11.20        -
Kaspersky        7.0.0.125        2009.11.20        -
McAfee        5808        2009.11.20        -
McAfee+Artemis        5808        2009.11.20        -
McAfee-GW-Edition        6.8.5        2009.11.20        Heuristic.LooksLike.Rootkit.H
Microsoft        1.5302        2009.11.20        -
NOD32        4625        2009.11.20        -
Norman        6.03.02        2009.11.20        -
nProtect        2009.1.8.0        2009.11.20        -
Panda        10.0.2.2        2009.11.20        -
PCTools        7.0.3.5        2009.11.20        -
Prevx        3.0        2009.11.20        -
Rising        22.22.04.09        2009.11.20        -
Sophos        4.47.0        2009.11.20        -
Sunbelt        3.2.1858.2        2009.11.19        -
Symantec        1.4.4.12        2009.11.20        -
TheHacker        6.5.0.2.074        2009.11.19        -
TrendMicro        9.0.0.1003        2009.11.20        -
VBA32        3.12.12.0        2009.11.20        -
ViRobot        2009.11.20.2047        2009.11.20        -
VirusBuster        5.0.21.0        2009.11.20        -
weitere Informationen
File size: 86656 bytes
MD5...: a64013e98426e1877cb653685c5c0009
SHA1..: 0bd545ba48874782909e698347b5697d7c7f5e7e
SHA256: 1f2a1c91c6532e24309f4f70393b6e4c093b89736545b26034cd3d04850a90e2
ssdeep: 1536:ZWoDN+cQxH24y3TG6IEEPJ04RRpJM68BoDcQouCp3D8tsME0qS0SgHsCM9:
ZWQNotyDAk0TkBoDcQouCp3DMsqqS/gc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12874
timedatestamp.....: 0x3b7d83e5 (Fri Aug 17 20:51:49 2001)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x8964 0x8980 6.52 4bdc88ee796842f4263cedc5af78d11a
NONPAGE 0x8d00 0x1704 0x1780 6.48 b395147ee8ddaf9fb626431548cf330d
.rdata 0xa480 0x9fa 0xa00 4.50 b991896f88b7294f82143e25524326aa
.data 0xae80 0xd90 0xe00 0.43 0a2a6265c6bde9c4ef0bc2723dc5f65b
PAGESCAN 0xbc80 0x1252 0x1280 6.43 737f29a29cdfc89f93bc86f6bd27c5b9
PAGE 0xcf00 0x52e2 0x5300 6.49 f6ed930ff32e79455919098780a98c6a
INIT 0x12200 0x1fd4 0x2000 6.53 d2f78e646fa8f9f8bbcaf2c7eef6d8c1
.rsrc 0x14200 0x3d8 0x400 3.30 76f993bc3457e5294292beb4e17d1324
.reloc 0x14600 0xc06 0xc80 6.28 d0760b7af0995103e15da2b78665405a

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, IofCallDriver, RtlCompareUnicodeString, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmHighestUserAddress, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, KeCancelTimer, _allmul, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, _except_handler3, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.0 (XPClient.010817-1148)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

das Ersetzen scheint leider nicht geklappt zu haben.

Chris4You 21.11.2009 10:58

Hi,

das halte ich für einen Fehlalarm...
Habe allerdings keine gleiche Version hier um das zu prüfen, von meinem sauberen Rechner aus meldet eSave ein Rootkit...

Es ist unwahrscheinlich das die CD infiziert ist... und ein aktiver Rootkit verseucht den Treiber in dem system32/drivers-Verzeichnis...

Beobachte den Rechner wie er sich verhält...

chris

Joe007 21.11.2009 12:47

Habe heute Vormittag nochmal MAM drüberlaufen lassen, 5 Funde:

Code:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3205
Windows 5.1.2600 Service Pack 3

21.11.2009 12:29:57
mbam-log-2009-11-21 (12-29-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 323687
Laufzeit: 1 hour(s), 11 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

FF und IE lassen sich immer noch nicht starten...

(Wie) soll ich die atapi.sys ggf. nochmal ersetzen?

(Vista-Laptop war grad im Ruhezustand, hab ihn wieder hochgefahren und konnte dann zunächst im FF das Forum gar nicht aufrufen. ZoneAlarm (aufm Laptop) meldete mir, dass FF versuche, als Server zu agieren (hat eine eingehende Verbindungsanforderung erhalten, Quell-IP: 0.0.0.0:60302), hoffe, das ist nicht ungewöhnlich)

Joe007 21.11.2009 15:05

Habe inzwischen auch Antivir nochmal laufen lassen, 1 Fund: TR/Spy.68096.3

Code:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 21. November 2009  13:33

Es wird nach 1382322 Virenstämmen gesucht.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : MD8818

Versionsinformationen:
BUILD.DAT      : 9.0.0.415    21609 Bytes  08.11.2009 09:55:00
AVSCAN.EXE    : 9.0.3.10    466689 Bytes  19.11.2009 19:03:23
AVSCAN.DLL    : 9.0.3.0      49409 Bytes  13.02.2009 11:04:10
LUKE.DLL      : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0      13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF  : 7.10.0.0  19875328 Bytes  06.11.2009 19:03:23
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 19:03:23
VBASE002.VDF  : 7.10.1.1      2048 Bytes  19.11.2009 19:03:23
VBASE003.VDF  : 7.10.1.2      2048 Bytes  19.11.2009 19:03:23
VBASE004.VDF  : 7.10.1.3      2048 Bytes  19.11.2009 19:03:23
VBASE005.VDF  : 7.10.1.4      2048 Bytes  19.11.2009 19:03:23
VBASE006.VDF  : 7.10.1.5      2048 Bytes  19.11.2009 19:03:23
VBASE007.VDF  : 7.10.1.6      2048 Bytes  19.11.2009 19:03:23
VBASE008.VDF  : 7.10.1.7      2048 Bytes  19.11.2009 19:03:23
VBASE009.VDF  : 7.10.1.8      2048 Bytes  19.11.2009 19:03:23
VBASE010.VDF  : 7.10.1.9      2048 Bytes  19.11.2009 19:03:23
VBASE011.VDF  : 7.10.1.10      2048 Bytes  19.11.2009 19:03:23
VBASE012.VDF  : 7.10.1.11      2048 Bytes  19.11.2009 19:03:23
VBASE013.VDF  : 7.10.1.12      2048 Bytes  19.11.2009 19:03:23
VBASE014.VDF  : 7.10.1.13      2048 Bytes  19.11.2009 19:03:23
VBASE015.VDF  : 7.10.1.14      2048 Bytes  19.11.2009 19:03:23
VBASE016.VDF  : 7.10.1.15      2048 Bytes  19.11.2009 19:03:23
VBASE017.VDF  : 7.10.1.16      2048 Bytes  19.11.2009 19:03:23
VBASE018.VDF  : 7.10.1.17      2048 Bytes  19.11.2009 19:03:23
VBASE019.VDF  : 7.10.1.18      2048 Bytes  19.11.2009 19:03:23
VBASE020.VDF  : 7.10.1.19      2048 Bytes  19.11.2009 19:03:23
VBASE021.VDF  : 7.10.1.20      2048 Bytes  19.11.2009 19:03:23
VBASE022.VDF  : 7.10.1.21      2048 Bytes  19.11.2009 19:03:23
VBASE023.VDF  : 7.10.1.22      2048 Bytes  19.11.2009 19:03:23
VBASE024.VDF  : 7.10.1.23      2048 Bytes  19.11.2009 19:03:23
VBASE025.VDF  : 7.10.1.24      2048 Bytes  19.11.2009 19:03:23
VBASE026.VDF  : 7.10.1.25      2048 Bytes  19.11.2009 19:03:23
VBASE027.VDF  : 7.10.1.26      2048 Bytes  19.11.2009 19:03:23
VBASE028.VDF  : 7.10.1.27      2048 Bytes  19.11.2009 19:03:23
VBASE029.VDF  : 7.10.1.28      2048 Bytes  19.11.2009 19:03:23
VBASE030.VDF  : 7.10.1.29      2048 Bytes  19.11.2009 19:03:23
VBASE031.VDF  : 7.10.1.43    70144 Bytes  20.11.2009 12:33:01
Engineversion  : 8.2.1.72
AEVDF.DLL      : 8.1.1.2      106867 Bytes  16.09.2009 08:12:08
AESCRIPT.DLL  : 8.1.2.45    586108 Bytes  17.11.2009 19:07:29
AESCN.DLL      : 8.1.2.5      127346 Bytes  04.09.2009 09:04:32
AESBX.DLL      : 8.1.1.1      246132 Bytes  19.11.2009 19:03:23
AERDL.DLL      : 8.1.3.2      479604 Bytes  03.10.2009 15:50:30
AEPACK.DLL    : 8.2.0.3      422261 Bytes  06.11.2009 10:36:02
AEOFFICE.DLL  : 8.1.0.38    196987 Bytes  23.07.2009 08:59:39
AEHEUR.DLL    : 8.1.0.180  2093432 Bytes  07.11.2009 10:36:27
AEHELP.DLL    : 8.1.7.4      237943 Bytes  17.11.2009 19:07:25
AEGEN.DLL      : 8.1.1.75    364918 Bytes  19.11.2009 19:03:23
AEEMU.DLL      : 8.1.1.0      393587 Bytes  03.10.2009 15:49:23
AECORE.DLL    : 8.1.8.2      184694 Bytes  06.11.2009 10:32:25
AEBB.DLL      : 8.1.0.3      53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3      18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL    : 9.0.3.0      44289 Bytes  09.09.2009 08:11:49
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0      36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL    : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL  : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0      11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL    : 9.0.73.0      87297 Bytes  19.11.2009 19:03:18

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 21. November 2009  13:33

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '75359' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVESched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVECapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pvrservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '56' Prozesse mit '56' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '65' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
    [HINWEIS]  Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]  Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
    [HINWEIS]  Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]  Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.004
  [0] Archivtyp: RAR
    --> GameData\Global\Global.far
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.016
  [0] Archivtyp: RAR
    --> GameData\Textures\Textures.far
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.021
  [0] Archivtyp: RAR
    --> UIGraphics\UIGraphics.far
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.024
  [0] Archivtyp: RAR
    --> SoundData\simsgeneratedhitsource.hit
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.025
  [0] Archivtyp: RAR
    --> GameData\UIText.iff
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.035
  [0] Archivtyp: RAR
    --> SoundData\TVStations\TV_Action\b\TV_ACTION_AIRPLANE.XA
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.036
  [0] Archivtyp: RAR
    --> SoundData\TVStations\TV_Action\e\TV_ACTION_MUS7.XA
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dateien\Dateien vom ganz alten PC\CDRW3\Sims\SIMS.037
  [0] Archivtyp: RAR
    --> SoundData\TVStations\TV_Mystery\b\TV_HOR_MUSIC.XA
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\arirtje.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.68096.3
Beginne mit der Suche in 'D:\' <RECOVER>

Beginne mit der Desinfektion:
C:\WINDOWS\system32\arirtje.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.68096.3
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b70f2f5.qua' verschoben!


Ende des Suchlaufs: Samstag, 21. November 2009  15:00
Benötigte Zeit:  1:26:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  15402 Verzeichnisse wurden überprüft
 515256 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 515253 Dateien ohne Befall
  9943 Archive wurden durchsucht
    18 Warnungen
      3 Hinweise
  75359 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden



Alle Zeitangaben in WEZ +1. Es ist jetzt 01:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131