Trojaner-Board - TR/PCK.tdss.Z.230 in system32\tdlclk.dll

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/PCK.tdss.Z.230 in system32\tdlclk.dll (https://www.trojaner-board.de/79620-tr-pck-tdss-z-230-system32-tdlclk-dll.html)

TR/PCK.tdss.Z.230 in system32\tdlclk.dll

Hallo Ihr!

Unglücklicherweise habe ich mir wohl ein wenig malware eingefangen.
Mein AntiVir hat jedenfalls letzte Woche dauernd ausgeschlagen:ifis

In der Datei 'C:\Windows\System32\tdlwsp.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.

Ich habe im Internet überall gesucht, konnte aber keine Anleitung finden, wie ich den trojaner los werden kann. (an spezifische Hilfe in Foren habe ich nicht gedacht)

Seit gestern gibt AntiVir mir nun zwei andere Meldungen im 10Minuten-Abstand:

In der Datei 'C:\Windows\System32\tdlclk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden.

und

In der Datei 'C:\Windows\System32\tdlcmd.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.

Habe den Zugriff verweigert, aber scheinbar wird AntiVir mit den Trojanern nicht fertig.

Habe CCCleaner, malwarebytes und RSIT ausgeführt, und logs angehängt.

Wäre jemand so nett und würde mir helfen?

Vielen Dank im Voraus!!!

Halli hallo.

Erstelle bitte die AVZ logs und hänge sie an deinen nächsten Post an.

leider hängt sich avz auf während des scanns. habe es 3x probiert und alle hintergrundprogramme, internet etc. waren abgestellt..

gibt es eine alternative?

Danke für Deine Unterstützung übrigens!

Da will uns das rootkit einen Strich durch die Rechnung machen.

Ich würde dich gerne als Testobjekt engagieren und gucken ob AVZ damit fertig wird. Wenn das nicht klappt steigen wir auf andere Tools um.

Mache also folgendes:

Starte die umbennante avz.exe als Administrator.
Klicke im Hauptfenster oben auf AVZGuard -> Enable AVZGuard.
Starte den Computer neu.
Starte AVZ nach dem Neustart. Klicke im Hauptfenster oben auf AVZP -> install extended monitoring driver.
Starte den Computer neu.

Nachdem nun also der AVZGuard läuft und der Extendet Monitoring Driver installiert ist führe die Skripte aus wie in der Anleitung beschrieben wird. Drucke dir die Anleitung am besten aus bevor du mit der Prozedur beginnst da der AVZGuard alle Aktionen am Rechner verhindern wird.

Hallo,

gerne spiele ich das Versuchskaninchen.

AVZ hat sich leider dennoch aufgehängt. Könnte aber auch daran liegen, dass ich deiner Anleitung nicht ganz folgen konnte.

Die 111111.com kann ich (jedenfalls mit rechtsklick) nicht mit administrator-rechten öffnen, geht wohl nur bei *.exe?

Vielleicht damit zusammenhängend konnte ich den AVZguard nicht enablen bzw. war nach dem neustart der AVZguard nicht mehr enabled.

Das mit dem monitoring driver hat jedoch geklappt (nach neustart immernoch enabled).

Was nun?

Alex, ich glaube für sowas musst du immer einen neuen Thread aufmachen...

@undoreal: leider habe ich das problem noch nicht weiter lösen können. wäre sehr nett wenn du mir weiter hilfestellung leisten könntest!

@ Aley: bitte eröffne einen eigenen Thread und poste dort die AVZ logs. Schicke mir den Link zum Thread per PN dann helfe ich dir gerne weiter.

@ Harg. Sowas hatte ich mir schon gedacht.

Macht nichts, den bekommen wir trotzdem klein.

Ich möchte gerne noch ein zwei Sachen ausprobieren:

Klicke auf File -> Custom Skript und kopiere folgendes rein:

Code:

var
 

 Lines : TStrings;
 

 i : integer;
 

begin
 

 Lines := TStringList.Create;
 

 SearchFiles('%System32%\drivers', '*.sys', Lines, true, false);
 

 for i:= 0 to Lines.Count-1 do
 

  AddToLog(Lines[i]+', MD5='+CalkFileMD5(Lines[i])+
 

           ', Size='+inttostr(GetFileSize(Lines[i])));
 

 Lines.Free;
 

end.

Führe das Skript aus.

Im Log Bereich des Hauptfensters findest du jetzt eine Liste mit Dateien und deren Md5 Summen. Kopiere dieses Fenster vollständig und poste es.

C:\Windows\system32\drivers\1394bus.sys, MD5=0349BE02F329F4F48F1D48097FD65974, Size=53376
C:\Windows\system32\drivers\acpi.sys, MD5=95AC68CEA5D7FC9848015A4FC79236D1, Size=265080
C:\Windows\system32\drivers\adp94xx.sys, MD5=2EDC5BBAC6C651ECE337BDE8ED97C9FB, Size=420968
C:\Windows\system32\drivers\adpahci.sys, MD5=B84088CA3CDCA97DA44A984C6CE1CCAD, Size=297576
C:\Windows\system32\drivers\adpu160m.sys, MD5=7880C67BCCC27C86FD05AA2AFB5EA469, Size=98408
C:\Windows\system32\drivers\adpu320.sys, MD5=9AE713F8E30EFC2ABCCD84904333DF4D, Size=147048
C:\Windows\system32\drivers\afd.sys, MD5=0F03B1CAEA027884DF089A987A1AC1BD, Size=273920
C:\Windows\system32\drivers\AGP440.sys, MD5=EF23439CDD587F64C2C1B8825CEAD7D8, Size=53864
C:\Windows\system32\drivers\aliide.sys, MD5=90395B64600EBB4552E26E178C94B2E4, Size=14952
C:\Windows\system32\drivers\AMDAGP.SYS, MD5=2B13E304C9DFDFA5EB582F6A149FA2C7, Size=54888
C:\Windows\system32\drivers\amdide.sys, MD5=0577DF1D323FE75A739C787893D300EA, Size=15464
C:\Windows\system32\drivers\amdk7.sys, MD5=DC487885BCEF9F28EECE6FAC0E5DDFC5, Size=38912
C:\Windows\system32\drivers\amdk8.sys, MD5=0CA0071DA4315B00FC1328CA86B425DA, Size=40960
C:\Windows\system32\drivers\Apfiltr.sys, MD5=7C2F57BCE81FA74933F0E1C84A97C9DB, Size=140800
C:\Windows\system32\drivers\arc.sys, MD5=5F673180268BB1FDB69C99B6619FE379, Size=67688
C:\Windows\system32\drivers\arcsas.sys, MD5=957F7540B5E7F602E44648C7DE5A1C05, Size=67688
C:\Windows\system32\drivers\ASPI32.SYS, MD5=E54E27976E2C5A6465D44C10B1D87AC0, Size=84832
C:\Windows\system32\drivers\asyncmac.sys, MD5=53B202ABEE6455406254444303E87BE1, Size=17408
C:\Windows\system32\drivers\atapi(54).sys, MD5=E8EEDE1127EE0F4800C35C465E648D7C, Size=19712
C:\Windows\system32\drivers\atapi.sys, MD5=E8EEDE1127EE0F4800C35C465E648D7C, Size=19712
C:\Windows\system32\drivers\ataport.sys, MD5=0A2D1F5D47D5A1472C25A959067CDBF4, Size=107896
C:\Windows\system32\drivers\avgntflt.sys, MD5=841A3576B4CA653B48960FA77C50B844, Size=55656
C:\Windows\system32\drivers\avipbb.sys, MD5=6D52060B59E7D79CD2A044B6ADD1F1EF, Size=96104
C:\Windows\system32\drivers\battc.sys, MD5=2B8A5A8879238C3BA9A89A8E3AC4E45D, Size=28216
C:\Windows\system32\drivers\bdasup.sys, MD5=9F5F8F2318DFA3974A6F6A5602733929, Size=12288
C:\Windows\system32\drivers\beep.sys, MD5=67E506B75BD5326A3EC7B70BD014DFB6, Size=6144
C:\Windows\system32\drivers\bowser.sys, MD5=74B442B2BE1260B7588C136177CEAC66, Size=69632
C:\Windows\system32\drivers\BrFiltLo.sys, MD5=9F9ACC7F7CCDE8A15C282D3F88B43309, Size=13568
C:\Windows\system32\drivers\BrFiltUp.sys, MD5=56801AD62213A41F6497F96DEE83755A, Size=5248
C:\Windows\system32\drivers\bridge.sys, MD5=42CD94F18DDF8353CDF594237419B136, Size=93696
C:\Windows\system32\drivers\BrSerId.sys, MD5=B304E75CFF293029EDDF094246747113, Size=71808
C:\Windows\system32\drivers\BrSerWdm.sys, MD5=203F0B1E73ADADBBB7B7B1FABD901F6B, Size=62336
C:\Windows\system32\drivers\BrUsbMdm.sys, MD5=BD456606156BA17E60A04E18016AE54B, Size=12160
C:\Windows\system32\drivers\BrUsbSer.sys, MD5=AF72ED54503F717A43268B3CC5FAEC2E, Size=11904
C:\Windows\system32\drivers\bthmodem.sys, MD5=AD07C1EC6665B8B35741AB91200C6B68, Size=39936
C:\Windows\system32\drivers\cdfs.sys, MD5=7ADD03E75BEB9E6DD102C3081D29840A, Size=70144
C:\Windows\system32\drivers\cdr4_xp.sys, MD5=BF79E659C506674C0497CC9C61F1A165, Size=2432
C:\Windows\system32\drivers\cdralw2k.sys, MD5=2C41CD49D82D5FD85C72D57B6CA25471, Size=2560
C:\Windows\system32\drivers\cdrom.sys, MD5=6656ECEAD5DD22DA08FD2A7D896A629E, Size=67072
C:\Windows\system32\drivers\circlass.sys, MD5=DA8E0AFC7BAA226C538EF53AC2F90897, Size=35328
C:\Windows\system32\drivers\Classpnp.sys, MD5=65B46D5DEC35307D523515E1A08722C2, Size=125304
C:\Windows\system32\drivers\CmBatt.sys, MD5=99AFC3795B58CC478FBBBCDC658FCB56, Size=14208
C:\Windows\system32\drivers\cmdide.sys, MD5=45201046C776FFDAF3FC8A0029C581C8, Size=16488
C:\Windows\system32\drivers\compbatt.sys, MD5=6AFEF0B60FA25DE07C0968983EE4F60A, Size=20792
C:\Windows\system32\drivers\crashdmp.sys, MD5=98B5C24E0CF000E49BD4395DDEB86602, Size=34680
C:\Windows\system32\drivers\crcdisk.sys, MD5=2A213AE086BBEC5E937553C7D9A2B22C, Size=22632
C:\Windows\system32\drivers\crusoe.sys, MD5=22A7F883508176489F559EE745B5BF5D, Size=38912
C:\Windows\system32\drivers\CVirtA.sys, MD5=B5ECADF7708960F1818C7FA015F4C239, Size=5275
C:\Windows\system32\drivers\CVPNDRVA.sys, MD5=D46B2E0EEAF349F2085F8B164E462156, Size=306811
C:\Windows\system32\drivers\dfsc.sys, MD5=E9C5BA26C98F5F4C54B33B6A94A725A5, Size=75264
C:\Windows\system32\drivers\disk.sys, MD5=061D52CC439668C0AC82E911BA8F300F, Size=53112
C:\Windows\system32\drivers\Diskdump.sys, MD5=0183496303B4F8A5878D99A667F33170, Size=19968
C:\Windows\system32\drivers\djsvs.sys, MD5=AE1FDF7BF7BB6C6A70F67699D880592A, Size=71272
C:\Windows\system32\drivers\DMICall.sys, MD5=F206E28ED74C491FD5D7C0A1119CE37F, Size=10216
C:\Windows\system32\drivers\dne2000.sys, MD5=694616F813FB627A32C9E32DEC133078, Size=131856
C:\Windows\system32\drivers\drmk.sys, MD5=7BE5A3C671A2CB56E94403BFC2020A0D, Size=130048
C:\Windows\system32\drivers\drmkaud.sys, MD5=97FEF831AB90BEE128C9AF390E243F80, Size=5632
C:\Windows\system32\drivers\Dumpata.sys, MD5=9FE741636B099E9C809EF8DFE4B7E5C5, Size=27000
C:\Windows\system32\drivers\dxapi.sys, MD5=EAAAFEF04FBB45665C9576E525D45A12, Size=13312
C:\Windows\system32\drivers\dxg.sys, MD5=6D16255C9EB5683F83A472E1679ED2E4, Size=76288
C:\Windows\system32\drivers\dxgkrnl.sys, MD5=7A5C267F7E277EF1ECB9475BF6E4103F, Size=625664
C:\Windows\system32\drivers\E1G60I32.sys, MD5=F88FB26547FD2CE6D0A5AF2985892C48, Size=117760
C:\Windows\system32\drivers\ecache.sys, MD5=90924BD47F358541093CD9754396BF70, Size=140664
C:\Windows\system32\drivers\elxstor.sys, MD5=E8F3F21A71720C84BCF423B80028359F, Size=316520
C:\Windows\system32\drivers\exfat.sys, MD5=AC786F02DF6C1030C97F57B8B9BF8CAF, Size=136704
C:\Windows\system32\drivers\fastfat.sys, MD5=40B6E983DEBEA0DBF2B51248297CC306, Size=142848
C:\Windows\system32\drivers\fdc.sys, MD5=63BDADA84951B9C03E641800E176898A, Size=25088
C:\Windows\system32\drivers\fileinfo.sys, MD5=A8C0139A884861E3AAE9CFE73B208A9F, Size=58936
C:\Windows\system32\drivers\filetrace.sys, MD5=0AE429A696AECBC5970E3CF2C62635AE, Size=27648
C:\Windows\system32\drivers\flpydisk.sys, MD5=6603957EFF5EC62D25075EA8AC27DE68, Size=20480
C:\Windows\system32\drivers\fltMgr.sys, MD5=2FED8535E02F750FD0C77E5CFEB65AB8, Size=189816
C:\Windows\system32\drivers\fs_rec.sys, MD5=65EA8B77B5851854F0C55C43FA51A198, Size=12800
C:\Windows\system32\drivers\FWPKCLNT.SYS, MD5=D64C15EBFCF9B34D691A59E9640604E6, Size=99192
C:\Windows\system32\drivers\GAGP30KX.SYS, MD5=4E1CD0A45C50A8882616CAE5BF82F3C5, Size=58984
C:\Windows\system32\drivers\hdaudbus.sys, MD5=4D15DD7B938A51DD29EFF75E2DEB92B5, Size=561152
C:\Windows\system32\drivers\HdAudio.sys, MD5=D447852756CAFAE09FA30F3743819CAE, Size=236544
C:\Windows\system32\drivers\hidbth.sys, MD5=1338520E78D90154ED6BE8F84DE5FCEB, Size=29184
C:\Windows\system32\drivers\hidclass.sys, MD5=33E6878B0607CA35D6CEACC4AD467B3B, Size=39424
C:\Windows\system32\drivers\hidir.sys, MD5=FF3160C3A2445128C5A6D9B076DA519E, Size=21504
C:\Windows\system32\drivers\hidparse.sys, MD5=175444D3A01CA45D0E1C5DC5F48DF7CD, Size=25472
C:\Windows\system32\drivers\hidusb.sys, MD5=3FBE92946E9F37C619E5E4DF2809F79C, Size=12800
C:\Windows\system32\drivers\HpCISSs.sys, MD5=DF353B401001246853763C4B7AAA6F50, Size=37480
C:\Windows\system32\drivers\HSXHWAZL.sys, MD5=31F949D452201F2F0AF0C88D7DB512CD, Size=206848
C:\Windows\system32\drivers\HSX_CNXT.sys, MD5=6D2350BB6E77E800FC4BE4E5B7A2E89A, Size=659968
C:\Windows\system32\drivers\HSX_DPV.sys, MD5=53229DCF431D76434816CD29251168A0, Size=986624
C:\Windows\system32\drivers\http.sys, MD5=CC4EB3578097ACB8E7D23EC696596E8B, Size=401408
C:\Windows\system32\drivers\i2omgmt.sys, MD5=8420BF9AD8AE0B4A96F30BD7C8FB9ADF, Size=16488
C:\Windows\system32\drivers\i2omp.sys, MD5=324C2152FF2C61ABAE92D09F3CCA4D63, Size=27752
C:\Windows\system32\drivers\i8042prt.sys, MD5=22D56C8184586B7A1F6FA60BE5F5A2BD, Size=54784
C:\Windows\system32\drivers\iaStorV.sys, MD5=C957BF4B5D80B46C5017BF0101E6C906, Size=232040
C:\Windows\system32\drivers\igdkmd32.sys, MD5=E5490AEA3B791C454E9933BF749CA3D8, Size=2307584
C:\Windows\system32\drivers\iirsp.sys, MD5=2D077BF86E843F901D8DB709C95B49A5, Size=41576
C:\Windows\system32\drivers\intelide.sys, MD5=97469037714070E45194ED318D636401, Size=14952
C:\Windows\system32\drivers\intelppm.sys, MD5=224191001E78C89DFA78924C3EA595FF, Size=41472
C:\Windows\system32\drivers\ipfltdrv.sys, MD5=62C265C38769B864CB25B4BCF62DF6C3, Size=47616
C:\Windows\system32\drivers\IPMIDrv.sys, MD5=40F34F8ABA2A015D780E4B09138B6C17, Size=65536
C:\Windows\system32\drivers\ipnat.sys, MD5=8793643A67B42CEC66490B2A0CF92D68, Size=100864
C:\Windows\system32\drivers\irda.sys, MD5=E50A95179211B12946F7E035D60AF560, Size=95744
C:\Windows\system32\drivers\irenum.sys, MD5=109C0DFB82C3632FBD11949B73AEEAC9, Size=13312
C:\Windows\system32\drivers\isapnp.sys, MD5=350FCA7E73CF65BCEF43FAE1E4E91293, Size=47208
C:\Windows\system32\drivers\iteatapi.sys, MD5=BCED60D16156E428F8DF8CF27B0DF150, Size=35944
C:\Windows\system32\drivers\iteraid.sys, MD5=06FA654504A498C30ADCA8BEC4E87E7E, Size=35944
C:\Windows\system32\drivers\kbdclass.sys, MD5=37605E0A8CF00CBBA538E753E4344C6E, Size=35384
C:\Windows\system32\drivers\kbdhid.sys, MD5=18247836959BA67E3511B62846B9C2E0, Size=15872
C:\Windows\system32\drivers\ks.sys, MD5=47CB1CBB1D80517D7909D0860128E860, Size=148992
C:\Windows\system32\drivers\ksecdd.sys, MD5=4E718FA5861A91DDFF6696F1C1AC4E5B, Size=439552
C:\Windows\system32\drivers\lltdio.sys, MD5=D1C5883087A0C3F1344D9D55A44901F6, Size=47104
C:\Windows\system32\drivers\lsi_fc.sys, MD5=A2262FB9F28935E862B4DB46438C80D2, Size=65640
C:\Windows\system32\drivers\lsi_sas.sys, MD5=30D73327D390F72A62F32C103DAF1D6D, Size=65640
C:\Windows\system32\drivers\lsi_scsi.sys, MD5=E1E36FEFD45849A95F1AB81DE0159FE3, Size=65640
C:\Windows\system32\drivers\luafv.sys, MD5=8F5C7426567798E62A3B3614965D62CC, Size=84480
C:\Windows\system32\drivers\mbam.sys, MD5=C2B26AF5DA2E31FD3221D2B21FAE6249, Size=19160
C:\Windows\system32\drivers\mbamswissarmy.sys, MD5=00C4A0992D4EA5520AC12DB4FD11C3E3, Size=38224
C:\Windows\system32\drivers\mcd.sys, MD5=B271EC02E71271A2DA28B3B7BC4E4F15, Size=18944
C:\Windows\system32\drivers\mdmxsdk.sys, MD5=0CEA2D0D3FA284B85ED5B68365114F76, Size=12672
C:\Windows\system32\drivers\megasas.sys, MD5=D153B14FC6598EAE8422A2037553ADCE, Size=28776
C:\Windows\system32\drivers\modem.sys, MD5=E13B5EA0F51BA5B1512EC671393D09BA, Size=31744
C:\Windows\system32\drivers\monitor.sys, MD5=0A9BB33B56E294F686ABB7C1E4E2D8A8, Size=41984
C:\Windows\system32\drivers\mouclass.sys, MD5=5BF6A1326A335C5298477754A506D263, Size=34360
C:\Windows\system32\drivers\mouhid.sys, MD5=93B8D4869E12CFBE663915502900876F, Size=15872
C:\Windows\system32\drivers\mountmgr.sys, MD5=BDAFC88AA6B92F7842416EA6A48E1600, Size=57400
C:\Windows\system32\drivers\mpio.sys, MD5=583A41F26278D9E0EA548163D6139397, Size=78952
C:\Windows\system32\drivers\mpsdrv.sys, MD5=22241FEBA9B2DEFA669C8CB0A8DD7D2E, Size=64000
C:\Windows\system32\drivers\Mraid35x.sys, MD5=4FBBB70D30FD20EC51F80061703B001E, Size=33384
C:\Windows\system32\drivers\mrxdav.sys, MD5=6857C38920A99FCB208A6D90D9D7244B, Size=113664
C:\Windows\system32\drivers\mrxsmb.sys, MD5=AB2CFFCF3F6692B4C5315319D331B7FF, Size=105984
C:\Windows\system32\drivers\mrxsmb10.sys, MD5=DD25088DEDD0C20630A5BA6BD0E95827, Size=212992
C:\Windows\system32\drivers\mrxsmb20.sys, MD5=63FA0C824DE4AA5EEEE68558793024FC, Size=78848
C:\Windows\system32\drivers\msahci.sys, MD5=742AED7939E734C36B7E8D6228CE26B7, Size=23144
C:\Windows\system32\drivers\msdsm.sys, MD5=3FC82A2AE4CC149165A94699183D3028, Size=80488
C:\Windows\system32\drivers\msfs.sys, MD5=A9927F4A46B816C92F461ACB90CF8515, Size=22528
C:\Windows\system32\drivers\msisadrv.sys, MD5=0F400E306F385C56317357D6DEA56F62, Size=16440
C:\Windows\system32\drivers\msiscsi.sys, MD5=696F45DB9CBFED743905F322CD237C36, Size=179456
C:\Windows\system32\drivers\mskssrv.sys, MD5=D8C63D34D9C9E56C059E24EC7185CC07, Size=8192
C:\Windows\system32\drivers\mspclock.sys, MD5=1D373C90D62DDB641D50E55B9E78D65E, Size=5888
C:\Windows\system32\drivers\mspqm.sys, MD5=B572DA05BF4E098D4BBA3A4734FB505B, Size=5504
C:\Windows\system32\drivers\msrpc.sys, MD5=239CE1D1F967F50652399F6C61BD14E7, Size=161536
C:\Windows\system32\drivers\mssmbios.sys, MD5=E384487CB84BE41D09711C30CA79646C, Size=31288
C:\Windows\system32\drivers\mstee.sys, MD5=7199C1EEC1E4993CAF96B8C0A26BD58A, Size=6016
C:\Windows\system32\drivers\mup.sys, MD5=09BEB48858397A68DDAF0A44A9CD9D99, Size=47872
C:\Windows\system32\drivers\ndis.sys, MD5=1DF2F64765595BADE574FE99AB884185, Size=527616
C:\Windows\system32\drivers\ndistapi.sys, MD5=0E186E90404980569FB449BA7519AE61, Size=20992
C:\Windows\system32\drivers\ndisuio.sys, MD5=D6973AA34C4D5D76C0430B181C3CD389, Size=16896
C:\Windows\system32\drivers\ndiswan.sys, MD5=A177A64228987DC2D7EA4F1D21F64F63, Size=121344
C:\Windows\system32\drivers\ndproxy.sys, MD5=71DAB552B41936358F3B541AE5997FB3, Size=49664
C:\Windows\system32\drivers\netbios.sys, MD5=BCD093A5A6777CF626434568DC7DBA78, Size=35840
C:\Windows\system32\drivers\netbt.sys, MD5=779C390B6B131260CAD2BB45E7188AF5, Size=185856
C:\Windows\system32\drivers\netio.sys, MD5=08C7CF3866B8EB48F459537AAB72E76E, Size=222976
C:\Windows\system32\drivers\NETw3v32.sys, MD5=ACC6170D80C69E50145B370023B64ED3, Size=1786880
C:\Windows\system32\drivers\nfrd960.sys, MD5=2E7FB731D4790A1BC6270ACCEFACB36E, Size=45160
C:\Windows\system32\drivers\npfs.sys, MD5=6C8E95FCE00DB7FDB5576BD2FA8A6248, Size=35328
C:\Windows\system32\drivers\nsiproxy.sys, MD5=609773E344A97410CE4EBF74A8914FCF, Size=16384
C:\Windows\system32\drivers\ntfs.sys, MD5=FBF563117851C987BB62622ED56DE999, Size=1082112
C:\Windows\system32\drivers\ntrigdigi.sys, MD5=E875C093AEC0C978A90F30C9E0DFBB72, Size=20608
C:\Windows\system32\drivers\null.sys, MD5=C5DBBCDA07D780BDA9B685DF333BB41E, Size=4608
C:\Windows\system32\drivers\nvlddmkm.sys, MD5=B4B983D2B0BD436298EA2F8CE63E20CF, Size=4451392
C:\Windows\system32\drivers\nvraid.sys, MD5=E69E946F80C1C31C53003BFBF50CBB7C, Size=88680
C:\Windows\system32\drivers\nvstor.sys, MD5=9E0BA19A28C498A6D323D065DB76DFFC, Size=40040
C:\Windows\system32\drivers\NV_AGP.SYS, MD5=07C186427EB8FCC3D8D7927187F260F7, Size=106600
C:\Windows\system32\drivers\nwifi.sys, MD5=622DEFB95B56A17207708D7C1B4A4BC7, Size=148480
C:\Windows\system32\drivers\nwlnkflt.sys, MD5=B305F3FAD35083837EF46A0BBCE2FC57, Size=12416
C:\Windows\system32\drivers\nwlnkfwd.sys, MD5=C99B3415198D1AAB7227F2C88FD664B9, Size=32512
C:\Windows\system32\drivers\nwlnkipx.sys, MD5=79EA3FCDA7067977625B3363A2657C80, Size=88448
C:\Windows\system32\drivers\nwlnknb.sys, MD5=56D34A67C05E94E16377C60609741FF8, Size=63232
C:\Windows\system32\drivers\nwlnkspx.sys, MD5=C0BB7D1615E1ACBDC99757F6CEAF8CF0, Size=55936
C:\Windows\system32\drivers\ohci1394.sys, MD5=B38961239F115AFE1DCD1805ADEDA1D2, Size=62080
C:\Windows\system32\drivers\pacer.sys, MD5=9B5C9BE2F4E699444A35038DC6D122C4, Size=72192
C:\Windows\system32\drivers\parport.sys, MD5=0FA9B5055484649D63C303FE404E5F4D, Size=79360
C:\Windows\system32\drivers\partmgr.sys, MD5=F92C00F7ACE7795D54A7D2618D95F368, Size=54016
C:\Windows\system32\drivers\parvdm.sys, MD5=4F9A6A8A31413180D0FCB279AD5D8112, Size=8704
C:\Windows\system32\drivers\pci.sys, MD5=956E2D65392EF9A86890F8C28107DF12, Size=149248
C:\Windows\system32\drivers\pciide.sys, MD5=C3C38C2B620F41FF731BF2E40B2C6DC6, Size=14080
C:\Windows\system32\drivers\pciidex.sys, MD5=2ED343D4552BFFE8877BBEEAC0CF26FC, Size=43264
C:\Windows\system32\drivers\pcmcia.sys, MD5=7F4F790E77EE35CB7ABF5CDD7FE4C815, Size=177408
C:\Windows\system32\drivers\PEAuth.sys, MD5=6349F6ED9C623B44B52EA3C63C831A92, Size=878080
C:\Windows\system32\drivers\portcls.sys, MD5=5B24E600CC0A356B17543E4C808676A0, Size=167936
C:\Windows\system32\drivers\processr.sys, MD5=0E3CEF5D28B40CF273281D620C50700A, Size=38400
C:\Windows\system32\drivers\PxHelp20.sys, MD5=D86B4A68565E444D76457F14172C875A, Size=43528
C:\Windows\system32\drivers\ql2300.sys, MD5=CCDAC889326317792480C0A67156A1EC, Size=900712
C:\Windows\system32\drivers\ql40xx.sys, MD5=81A7E5C076E59995D54BC1ED3A16E60B, Size=106088
C:\Windows\system32\drivers\qwavedrv.sys, MD5=9F5E0E1926014D17486901C88ECA2DB7, Size=31232
C:\Windows\system32\drivers\rasacd.sys, MD5=147D7F9C556D259924351FEB0DE606C3, Size=11776
C:\Windows\system32\drivers\rasl2tp.sys, MD5=A214ADBAF4CB47DD2728859EF31F26B0, Size=76288
C:\Windows\system32\drivers\raspppoe.sys, MD5=3E9D9B048107B40D87B97DF2E48E0744, Size=41472
C:\Windows\system32\drivers\raspptp.sys, MD5=ECFFFAEC0C1ECD8DBC77F39070EA1DB1, Size=62976
C:\Windows\system32\drivers\rassstp.sys, MD5=0061D53160D54A50F5AD09F7C2807248, Size=69120
C:\Windows\system32\drivers\rdbss.sys, MD5=7B7FA63EA64A0B9EEF7450F240F13C2C, Size=225280
C:\Windows\system32\drivers\RDPCDD.sys, MD5=89E59BE9A564262A3FB6C4F4F1CD9899, Size=6144
C:\Windows\system32\drivers\rdpdr.sys, MD5=E8BD98D46F2ED77132BA927FCCB47D8B, Size=242688
C:\Windows\system32\drivers\RDPENCDD.sys, MD5=9D91FE5286F748862ECFFA05F8A0710C, Size=6144
C:\Windows\system32\drivers\rdpwd.sys, MD5=6C2FC0750DD252745A24B86CBFA30123, Size=180736
C:\Windows\system32\drivers\rmcast.sys, MD5=BED3CDE66FC61F52BEF358F04CEF3A5A, Size=113664
C:\Windows\system32\drivers\RNDISMP.sys, MD5=6643AEBBD0DF2D6BC770784095CDF733, Size=33280
C:\Windows\system32\drivers\rootmdm.sys, MD5=75E8A6BFA7374ABA833AE92BF41AE4E6, Size=8192
C:\Windows\system32\drivers\rspndr.sys, MD5=9C508F4074A39E8B4B31D27198146FAD, Size=60416

C:\Windows\system32\drivers\sbp2port.sys, MD5=3CE8F073A557E172B330109436984E30, Size=76392
C:\Windows\system32\drivers\scsiport.sys, MD5=6F5CA34AE885645ACF8A20D564DB976C, Size=142904
C:\Windows\system32\drivers\secdrv.sys, MD5=90A3935D05B494A5A39D37E71F09A677, Size=20480
C:\Windows\system32\drivers\SeratoUsb.sys, MD5=FB2D6FF234F5D8D6A1477FB4DC5DAF82, Size=29696
C:\Windows\system32\drivers\serenum.sys, MD5=68E44E331D46F0FB38F0863A84CD1A31, Size=17920
C:\Windows\system32\drivers\serial.sys, MD5=C70D69A918B178D3C3B06339B40C2E1B, Size=83456
C:\Windows\system32\drivers\sermouse.sys, MD5=8AF3D28A879BF75DB53A0EE7A4289624, Size=19968
C:\Windows\system32\drivers\sffdisk.sys, MD5=103B79418DA647736EE95645F305F68A, Size=13312
C:\Windows\system32\drivers\sffp_mmc.sys, MD5=8FD08A310645FE872EEEC6E08C6BF3EE, Size=12800
C:\Windows\system32\drivers\sffp_sd.sys, MD5=9CFA05FCFCB7124E69CFC812B72F9614, Size=12800
C:\Windows\system32\drivers\sfloppy.sys, MD5=46ED8E91793B2E6F848015445A0AC188, Size=13312
C:\Windows\system32\drivers\SISAGP.SYS, MD5=D2A595D6EEBEEAF4334F8E50EFBC9931, Size=53352
C:\Windows\system32\drivers\sisraid2.sys, MD5=CEDD6F4E7D84E9F98B34B3FE988373AA, Size=38504
C:\Windows\system32\drivers\sisraid4.sys, MD5=DF843C528C4F69D12CE41CE462E973A7, Size=71784
C:\Windows\system32\drivers\smb.sys, MD5=031E6BCD53C9B2B9ACE111EAFEC347B6, Size=66560
C:\Windows\system32\drivers\smclib.sys, MD5=A7D7EA1771D2ED6F39A8063E79B6C3E8, Size=17408
C:\Windows\system32\drivers\SonyNC.sys, MD5=DB31D8989B3450569C29780E7FA98C48, Size=27520
C:\Windows\system32\drivers\spldr.sys, MD5=7AEBDEEF071FE28B0EEF2CDD69102BFF, Size=21048
C:\Windows\system32\drivers\spsys.sys, MD5=BA2FE4FF7FDEACE918103764EBF9F8EA, Size=684032
C:\Windows\system32\drivers\sptd.sys, MD5=, Size=717296
C:\Windows\system32\drivers\srv.sys, MD5=B3493B4B671113651F488352182A8222, Size=288768
C:\Windows\system32\drivers\srv2.sys, MD5=E01281F93EFF7BF43C4BBC90B5E58D05, Size=144896
C:\Windows\system32\drivers\srvnet.sys, MD5=2FD10F0A77CB535D89DDAAEDF04A0434, Size=98816
C:\Windows\system32\drivers\ssmdrv.sys, MD5=5EC550B8952882EE856B862CF648522D, Size=28520
C:\Windows\system32\drivers\Storport.sys, MD5=E33153796C29C8809524716CFCE71C6E, Size=121720
C:\Windows\system32\drivers\stream.sys, MD5=0372148D85FFF71485B6DDEC41B4750C, Size=52992
C:\Windows\system32\drivers\swenum.sys, MD5=7BA58ECF0C0A9A69D44B3DCA62BECF56, Size=15288
C:\Windows\system32\drivers\symc8xx.sys, MD5=192AA3AC01DF071B541094F251DEED10, Size=35944
C:\Windows\system32\drivers\sym_hi.sys, MD5=8C8EB8C76736EBAF3B13B633B2E64125, Size=31848
C:\Windows\system32\drivers\sym_u3.sys, MD5=8072AF52B5FD103BBBA387A1E49F62CB, Size=34920
C:\Windows\system32\drivers\synasUSB.sys, MD5=BB277D40458B4BDDDDA51F02A1E77F99, Size=16896
C:\Windows\system32\drivers\tap0901.sys, MD5=FC73B46C3C76C9F1F7EC82749C0C48F3, Size=25088
C:\Windows\system32\drivers\tape.sys, MD5=1239FD18895040D97B7CDBC19BC2075E, Size=24576
C:\Windows\system32\drivers\tapvpn.sys, MD5=27A2C318CD28CFB3EB2200FD96AF1E58, Size=27136
C:\Windows\system32\drivers\tcpip.sys, MD5=4316B5F7EF3603C720B2C71E44137583, Size=893816
C:\Windows\system32\drivers\tcpipreg.sys, MD5=C53FC701BBB0FA8BDC019699862C6840, Size=30208
C:\Windows\system32\drivers\tdi.sys, MD5=77937EFF009AC696B90E09F671F9D0A4, Size=20992
C:\Windows\system32\drivers\tdpipe.sys, MD5=5DCF5E267BE67A1AE926F2DF77FBCC56, Size=17920
C:\Windows\system32\drivers\tdtcp.sys, MD5=389C63E32B3CEFED425B61ED92D3F021, Size=29184
C:\Windows\system32\drivers\tdx.sys, MD5=FD13BCF7295AD3F5A9B5AC3E23BEB9F4, Size=72192
C:\Windows\system32\drivers\termdd.sys, MD5=E7DF4D45CDA1B0CED40CE041BB7966DF, Size=52088
C:\Windows\system32\drivers\ti21sony.sys, MD5=7C7445B4C2BD46C56ABB3499DA52B75C, Size=227328
C:\Windows\system32\drivers\Toshidpt.sys, MD5=E362D54FD394999C4178936396664E57, Size=3712
C:\Windows\system32\drivers\tosporte.sys, MD5=8D624D3BD1F2D78BD1C01A2D4E954B4E, Size=41600
C:\Windows\system32\drivers\tosrfbd.sys, MD5=B758FDA2E4389DC41688E4B8CEE832A0, Size=113792
C:\Windows\system32\drivers\tosrfbnp.sys, MD5=90C8525BC578AAFFE87C2D0ED4379E9E, Size=36480
C:\Windows\system32\drivers\tosrfcom.sys, MD5=5BA1CA3B3CDDB1DDC67DF473F05D1EC2, Size=64896
C:\Windows\system32\drivers\TosRfhid.sys, MD5=28099A4E52148319AFA685D93A2244D0, Size=73600
C:\Windows\system32\drivers\tosrfnds.sys, MD5=C52FD27B9ADF3A1F22CB90E6BCF9B0CB, Size=18612
C:\Windows\system32\drivers\TosRfSnd.sys, MD5=1FF09B64D1E0C82EE81026718D8D47C2, Size=53504
C:\Windows\system32\drivers\tosrfusb.sys, MD5=20CC46C5D3326122E1A0A8C9DAD00E0D, Size=40960
C:\Windows\system32\drivers\tssecsrv.sys, MD5=DCF0F056A2E4F52287264F5AB29CF206, Size=23552
C:\Windows\system32\drivers\TUNMP.SYS, MD5=CAECC0120AC49E3D2F758B9169872D38, Size=15360
C:\Windows\system32\drivers\tunnel.sys, MD5=119B8184E106BAEDC83FCE5DDF3950DA, Size=23040
C:\Windows\system32\drivers\UAGP35.SYS, MD5=C3ADE15414120033A36C0F293D4A4121, Size=56936
C:\Windows\system32\drivers\udfs.sys, MD5=182F55576575EE610105154131244DB6, Size=226816
C:\Windows\system32\drivers\ULIAGPKX.SYS, MD5=75E6890EBFCE0841D3291B02E7A8BDB0, Size=58472
C:\Windows\system32\drivers\uliahci.sys, MD5=3CD4EA35A6221B85DCC25DAA46313F8D, Size=235112
C:\Windows\system32\drivers\ulsata.sys, MD5=8514D0E5CD0534467C5FC61BE94A569F, Size=98408
C:\Windows\system32\drivers\ulsata2.sys, MD5=38C3C6E62B157A6BC46594FADA45C62B, Size=115816
C:\Windows\system32\drivers\umbus.sys, MD5=32CFF9F809AE9AED85464492BF3E32D2, Size=34816
C:\Windows\system32\drivers\umpass.sys, MD5=88BD96A1BAEED33EE8BDF9499C07A841, Size=7680
C:\Windows\system32\drivers\usb8023.sys, MD5=B00254E33F4540B8E05204D226806C12, Size=15872
C:\Windows\system32\drivers\USBCAMD.sys, MD5=BF85EAAB7B889E4B621111E0372CB147, Size=25728
C:\Windows\system32\drivers\USBCAMD2.sys, MD5=B0B0C4970BD60E6E2B0FD33B2960490D, Size=25728
C:\Windows\system32\drivers\usbccgp.sys, MD5=CAF811AE4C147FFCD5B51750C7F09142, Size=73216
C:\Windows\system32\drivers\usbcir.sys, MD5=E9476E6C486E76BC4898074768FB7131, Size=68608
C:\Windows\system32\drivers\usbd.sys, MD5=790FDAC6D0C762DF9047C3C625A6FF6C, Size=5888
C:\Windows\system32\drivers\usbehci.sys, MD5=183965353586BE89B1A877D65EFD6D77, Size=39936
C:\Windows\system32\drivers\usbhub.sys, MD5=CA367388AFD433190584A5C428F9380A, Size=196096
C:\Windows\system32\drivers\usbohci.sys, MD5=38DBC7DD6CC5A72011F187425384388B, Size=19456
C:\Windows\system32\drivers\usbport.sys, MD5=B23ADE48844EBD0E9EEB4F6C204083F1, Size=226816
C:\Windows\system32\drivers\usbprint.sys, MD5=E75C4B5269091D15A2E7DC0B6D35F2F5, Size=18944
C:\Windows\system32\drivers\usbscan.sys, MD5=A508C9BD8724980512136B039BBA65E9, Size=35328
C:\Windows\system32\drivers\USBSTOR.SYS, MD5=66B7C8776E9CC3695FFBC73CB79CD100, Size=65536
C:\Windows\system32\drivers\usbuhci.sys, MD5=814D653EFC4D48BE3B04A307ECEFF56F, Size=23552
C:\Windows\system32\drivers\vga.sys, MD5=2E93AC0A1D8C79D019DB6C51F036636C, Size=25088
C:\Windows\system32\drivers\vgapnp.sys, MD5=7D92BE0028ECDEDEC74617009084B5EF, Size=26112
C:\Windows\system32\drivers\VIAAGP.SYS, MD5=045D9961E591CF0674A920B6BA3BA5CB, Size=54376
C:\Windows\system32\drivers\viac7.sys, MD5=56A4DE5F02F2E88182B0981119B4DD98, Size=39424
C:\Windows\system32\drivers\viaide.sys, MD5=FD2E3175FCADA350C7AB4521DCA187EC, Size=17512
C:\Windows\system32\drivers\videoprt.sys, MD5=C048D2C33D27441A0CDCAAE2651EB03D, Size=110080
C:\Windows\system32\drivers\volmgr.sys, MD5=69503668AC66C77C6CD7AF86FBDF8C43, Size=52792
C:\Windows\system32\drivers\volmgrx.sys, MD5=B71FA2319E453E6A5EE1E2E25BDF5ED8, Size=292216
C:\Windows\system32\drivers\volsnap.sys, MD5=D8B4A53DD2769F226B3EB374374987C9, Size=227896
C:\Windows\system32\drivers\vsmraid.sys, MD5=D984439746D42B30FC65A4C3546C6829, Size=112232
C:\Windows\system32\drivers\wacompen.sys, MD5=48DFEE8F1AF7C8235D4E626F0C4FE031, Size=20608
C:\Windows\system32\drivers\wanarp.sys, MD5=55201897378CCA7AF8B5EFD874374A26, Size=62464
C:\Windows\system32\drivers\watchdog.sys, MD5=6C8B7DF75ECF4A7DD668BEC58E268329, Size=32768
C:\Windows\system32\drivers\wd.sys, MD5=AFC5AD65B991C1E205CF25CFDBF7A6F4, Size=19560
C:\Windows\system32\drivers\Wdf01000.sys, MD5=B6F0A7AD6D4BD325FBCD8BAC96CD8D96, Size=503864
C:\Windows\system32\drivers\WdfLdr.sys, MD5=B4FC6DD9167B058E6DBE6CB14ACFA2CB, Size=35896
C:\Windows\system32\drivers\wmiacpi.sys, MD5=701A9F884A294327E9141D73746EE279, Size=11264
C:\Windows\system32\drivers\wmilib.sys, MD5=C546864EED786304762D030FEBF6B411, Size=17976
C:\Windows\system32\drivers\WpdUsb.sys, MD5=0CEC23084B51B8288099EB710224E955, Size=39936
C:\Windows\system32\drivers\ws2ifsl.sys, MD5=E3A3CB253C0EC2494D4A61F5E43A389C, Size=15872
C:\Windows\system32\drivers\WUDFPf.sys, MD5=13B5F255E90624A5BA0441D39CFB6BE2, Size=51200
C:\Windows\system32\drivers\WUDFRd.sys, MD5=AC13CB789D93412106B0FB6C7EB2BCB6, Size=83328
C:\Windows\system32\drivers\XAudio.sys, MD5=5A7FF9A18FF6D7E0527FE3ABF9204EF8, Size=8192
C:\Windows\system32\drivers\yk60x86.sys, MD5=7D1F3B131D503EF43EE594B5A2B9B427, Size=194048

Hast du Deamon Tools installiert wenn ja dann deinstalliere es bitte.

Füre danach abermals das Skript aus und poste das Ergebnis.

Als Crosscheck:

GMER - Rootkit Detection

Lade Gmer von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
Doppelklicke die zufälligerDateiname.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Vielen Dank übrigens, dass du so gut mitmachst! Das hilft dir und vielen anderen Leuten mit dem gleichen Problem! :daumenhoc

Hallo!

Habe daemon tools deinstalliert und mit ccleaner soweit möglich aufgeräumt.
die sptd.sys (um die geht es doch wohl?) ist aber im neuen log immernoch vorhanden..

C:\Windows\system32\drivers\1394bus.sys, MD5=0349BE02F329F4F48F1D48097FD65974, Size=53376
C:\Windows\system32\drivers\acpi.sys, MD5=95AC68CEA5D7FC9848015A4FC79236D1, Size=265080
C:\Windows\system32\drivers\adp94xx.sys, MD5=2EDC5BBAC6C651ECE337BDE8ED97C9FB, Size=420968
C:\Windows\system32\drivers\adpahci.sys, MD5=B84088CA3CDCA97DA44A984C6CE1CCAD, Size=297576
C:\Windows\system32\drivers\adpu160m.sys, MD5=7880C67BCCC27C86FD05AA2AFB5EA469, Size=98408
C:\Windows\system32\drivers\adpu320.sys, MD5=9AE713F8E30EFC2ABCCD84904333DF4D, Size=147048
C:\Windows\system32\drivers\afd.sys, MD5=0F03B1CAEA027884DF089A987A1AC1BD, Size=273920
C:\Windows\system32\drivers\AGP440.sys, MD5=EF23439CDD587F64C2C1B8825CEAD7D8, Size=53864
C:\Windows\system32\drivers\aliide.sys, MD5=90395B64600EBB4552E26E178C94B2E4, Size=14952
C:\Windows\system32\drivers\AMDAGP.SYS, MD5=2B13E304C9DFDFA5EB582F6A149FA2C7, Size=54888
C:\Windows\system32\drivers\amdide.sys, MD5=0577DF1D323FE75A739C787893D300EA, Size=15464
C:\Windows\system32\drivers\amdk7.sys, MD5=DC487885BCEF9F28EECE6FAC0E5DDFC5, Size=38912
C:\Windows\system32\drivers\amdk8.sys, MD5=0CA0071DA4315B00FC1328CA86B425DA, Size=40960
C:\Windows\system32\drivers\Apfiltr.sys, MD5=7C2F57BCE81FA74933F0E1C84A97C9DB, Size=140800
C:\Windows\system32\drivers\arc.sys, MD5=5F673180268BB1FDB69C99B6619FE379, Size=67688
C:\Windows\system32\drivers\arcsas.sys, MD5=957F7540B5E7F602E44648C7DE5A1C05, Size=67688
C:\Windows\system32\drivers\ASPI32.SYS, MD5=E54E27976E2C5A6465D44C10B1D87AC0, Size=84832
C:\Windows\system32\drivers\asyncmac.sys, MD5=53B202ABEE6455406254444303E87BE1, Size=17408
C:\Windows\system32\drivers\atapi(54).sys, MD5=E8EEDE1127EE0F4800C35C465E648D7C, Size=19712
C:\Windows\system32\drivers\atapi.sys, MD5=E8EEDE1127EE0F4800C35C465E648D7C, Size=19712
C:\Windows\system32\drivers\ataport.sys, MD5=0A2D1F5D47D5A1472C25A959067CDBF4, Size=107896
C:\Windows\system32\drivers\avgntflt.sys, MD5=841A3576B4CA653B48960FA77C50B844, Size=55656
C:\Windows\system32\drivers\avipbb.sys, MD5=6D52060B59E7D79CD2A044B6ADD1F1EF, Size=96104
C:\Windows\system32\drivers\battc.sys, MD5=2B8A5A8879238C3BA9A89A8E3AC4E45D, Size=28216
C:\Windows\system32\drivers\bdasup.sys, MD5=9F5F8F2318DFA3974A6F6A5602733929, Size=12288
C:\Windows\system32\drivers\beep.sys, MD5=67E506B75BD5326A3EC7B70BD014DFB6, Size=6144
C:\Windows\system32\drivers\bowser.sys, MD5=74B442B2BE1260B7588C136177CEAC66, Size=69632
C:\Windows\system32\drivers\BrFiltLo.sys, MD5=9F9ACC7F7CCDE8A15C282D3F88B43309, Size=13568
C:\Windows\system32\drivers\BrFiltUp.sys, MD5=56801AD62213A41F6497F96DEE83755A, Size=5248
C:\Windows\system32\drivers\bridge.sys, MD5=42CD94F18DDF8353CDF594237419B136, Size=93696
C:\Windows\system32\drivers\BrSerId.sys, MD5=B304E75CFF293029EDDF094246747113, Size=71808
C:\Windows\system32\drivers\BrSerWdm.sys, MD5=203F0B1E73ADADBBB7B7B1FABD901F6B, Size=62336
C:\Windows\system32\drivers\BrUsbMdm.sys, MD5=BD456606156BA17E60A04E18016AE54B, Size=12160
C:\Windows\system32\drivers\BrUsbSer.sys, MD5=AF72ED54503F717A43268B3CC5FAEC2E, Size=11904
C:\Windows\system32\drivers\bthmodem.sys, MD5=AD07C1EC6665B8B35741AB91200C6B68, Size=39936
C:\Windows\system32\drivers\cdfs.sys, MD5=7ADD03E75BEB9E6DD102C3081D29840A, Size=70144
C:\Windows\system32\drivers\cdr4_xp.sys, MD5=BF79E659C506674C0497CC9C61F1A165, Size=2432
C:\Windows\system32\drivers\cdralw2k.sys, MD5=2C41CD49D82D5FD85C72D57B6CA25471, Size=2560
C:\Windows\system32\drivers\cdrom.sys, MD5=6656ECEAD5DD22DA08FD2A7D896A629E, Size=67072
C:\Windows\system32\drivers\circlass.sys, MD5=DA8E0AFC7BAA226C538EF53AC2F90897, Size=35328
C:\Windows\system32\drivers\Classpnp.sys, MD5=65B46D5DEC35307D523515E1A08722C2, Size=125304
C:\Windows\system32\drivers\CmBatt.sys, MD5=99AFC3795B58CC478FBBBCDC658FCB56, Size=14208
C:\Windows\system32\drivers\cmdide.sys, MD5=45201046C776FFDAF3FC8A0029C581C8, Size=16488
C:\Windows\system32\drivers\compbatt.sys, MD5=6AFEF0B60FA25DE07C0968983EE4F60A, Size=20792
C:\Windows\system32\drivers\crashdmp.sys, MD5=98B5C24E0CF000E49BD4395DDEB86602, Size=34680
C:\Windows\system32\drivers\crcdisk.sys, MD5=2A213AE086BBEC5E937553C7D9A2B22C, Size=22632
C:\Windows\system32\drivers\crusoe.sys, MD5=22A7F883508176489F559EE745B5BF5D, Size=38912
C:\Windows\system32\drivers\CVirtA.sys, MD5=B5ECADF7708960F1818C7FA015F4C239, Size=5275
C:\Windows\system32\drivers\CVPNDRVA.sys, MD5=D46B2E0EEAF349F2085F8B164E462156, Size=306811
C:\Windows\system32\drivers\dfsc.sys, MD5=E9C5BA26C98F5F4C54B33B6A94A725A5, Size=75264
C:\Windows\system32\drivers\disk.sys, MD5=061D52CC439668C0AC82E911BA8F300F, Size=53112
C:\Windows\system32\drivers\Diskdump.sys, MD5=0183496303B4F8A5878D99A667F33170, Size=19968
C:\Windows\system32\drivers\djsvs.sys, MD5=AE1FDF7BF7BB6C6A70F67699D880592A, Size=71272
C:\Windows\system32\drivers\DMICall.sys, MD5=F206E28ED74C491FD5D7C0A1119CE37F, Size=10216
C:\Windows\system32\drivers\dne2000.sys, MD5=694616F813FB627A32C9E32DEC133078, Size=131856
C:\Windows\system32\drivers\drmk.sys, MD5=7BE5A3C671A2CB56E94403BFC2020A0D, Size=130048
C:\Windows\system32\drivers\drmkaud.sys, MD5=97FEF831AB90BEE128C9AF390E243F80, Size=5632
C:\Windows\system32\drivers\Dumpata.sys, MD5=9FE741636B099E9C809EF8DFE4B7E5C5, Size=27000
C:\Windows\system32\drivers\dxapi.sys, MD5=EAAAFEF04FBB45665C9576E525D45A12, Size=13312
C:\Windows\system32\drivers\dxg.sys, MD5=6D16255C9EB5683F83A472E1679ED2E4, Size=76288
C:\Windows\system32\drivers\dxgkrnl.sys, MD5=7A5C267F7E277EF1ECB9475BF6E4103F, Size=625664
C:\Windows\system32\drivers\E1G60I32.sys, MD5=F88FB26547FD2CE6D0A5AF2985892C48, Size=117760
C:\Windows\system32\drivers\ecache.sys, MD5=90924BD47F358541093CD9754396BF70, Size=140664
C:\Windows\system32\drivers\elxstor.sys, MD5=E8F3F21A71720C84BCF423B80028359F, Size=316520
C:\Windows\system32\drivers\exfat.sys, MD5=AC786F02DF6C1030C97F57B8B9BF8CAF, Size=136704
C:\Windows\system32\drivers\fastfat.sys, MD5=40B6E983DEBEA0DBF2B51248297CC306, Size=142848
C:\Windows\system32\drivers\fdc.sys, MD5=63BDADA84951B9C03E641800E176898A, Size=25088
C:\Windows\system32\drivers\fileinfo.sys, MD5=A8C0139A884861E3AAE9CFE73B208A9F, Size=58936
C:\Windows\system32\drivers\filetrace.sys, MD5=0AE429A696AECBC5970E3CF2C62635AE, Size=27648
C:\Windows\system32\drivers\flpydisk.sys, MD5=6603957EFF5EC62D25075EA8AC27DE68, Size=20480
C:\Windows\system32\drivers\fltMgr.sys, MD5=2FED8535E02F750FD0C77E5CFEB65AB8, Size=189816
C:\Windows\system32\drivers\fs_rec.sys, MD5=65EA8B77B5851854F0C55C43FA51A198, Size=12800
C:\Windows\system32\drivers\FWPKCLNT.SYS, MD5=D64C15EBFCF9B34D691A59E9640604E6, Size=99192
C:\Windows\system32\drivers\GAGP30KX.SYS, MD5=4E1CD0A45C50A8882616CAE5BF82F3C5, Size=58984
C:\Windows\system32\drivers\hdaudbus.sys, MD5=4D15DD7B938A51DD29EFF75E2DEB92B5, Size=561152
C:\Windows\system32\drivers\HdAudio.sys, MD5=D447852756CAFAE09FA30F3743819CAE, Size=236544
C:\Windows\system32\drivers\hidbth.sys, MD5=1338520E78D90154ED6BE8F84DE5FCEB, Size=29184
C:\Windows\system32\drivers\hidclass.sys, MD5=33E6878B0607CA35D6CEACC4AD467B3B, Size=39424
C:\Windows\system32\drivers\hidir.sys, MD5=FF3160C3A2445128C5A6D9B076DA519E, Size=21504
C:\Windows\system32\drivers\hidparse.sys, MD5=175444D3A01CA45D0E1C5DC5F48DF7CD, Size=25472
C:\Windows\system32\drivers\hidusb.sys, MD5=3FBE92946E9F37C619E5E4DF2809F79C, Size=12800
C:\Windows\system32\drivers\HpCISSs.sys, MD5=DF353B401001246853763C4B7AAA6F50, Size=37480
C:\Windows\system32\drivers\HSXHWAZL.sys, MD5=31F949D452201F2F0AF0C88D7DB512CD, Size=206848
C:\Windows\system32\drivers\HSX_CNXT.sys, MD5=6D2350BB6E77E800FC4BE4E5B7A2E89A, Size=659968
C:\Windows\system32\drivers\HSX_DPV.sys, MD5=53229DCF431D76434816CD29251168A0, Size=986624
C:\Windows\system32\drivers\http.sys, MD5=CC4EB3578097ACB8E7D23EC696596E8B, Size=401408
C:\Windows\system32\drivers\i2omgmt.sys, MD5=8420BF9AD8AE0B4A96F30BD7C8FB9ADF, Size=16488
C:\Windows\system32\drivers\i2omp.sys, MD5=324C2152FF2C61ABAE92D09F3CCA4D63, Size=27752
C:\Windows\system32\drivers\i8042prt.sys, MD5=22D56C8184586B7A1F6FA60BE5F5A2BD, Size=54784
C:\Windows\system32\drivers\iaStorV.sys, MD5=C957BF4B5D80B46C5017BF0101E6C906, Size=232040
C:\Windows\system32\drivers\igdkmd32.sys, MD5=E5490AEA3B791C454E9933BF749CA3D8, Size=2307584
C:\Windows\system32\drivers\iirsp.sys, MD5=2D077BF86E843F901D8DB709C95B49A5, Size=41576
C:\Windows\system32\drivers\intelide.sys, MD5=97469037714070E45194ED318D636401, Size=14952
C:\Windows\system32\drivers\intelppm.sys, MD5=224191001E78C89DFA78924C3EA595FF, Size=41472
C:\Windows\system32\drivers\ipfltdrv.sys, MD5=62C265C38769B864CB25B4BCF62DF6C3, Size=47616
C:\Windows\system32\drivers\IPMIDrv.sys, MD5=40F34F8ABA2A015D780E4B09138B6C17, Size=65536
C:\Windows\system32\drivers\ipnat.sys, MD5=8793643A67B42CEC66490B2A0CF92D68, Size=100864
C:\Windows\system32\drivers\irda.sys, MD5=E50A95179211B12946F7E035D60AF560, Size=95744
C:\Windows\system32\drivers\irenum.sys, MD5=109C0DFB82C3632FBD11949B73AEEAC9, Size=13312
C:\Windows\system32\drivers\isapnp.sys, MD5=350FCA7E73CF65BCEF43FAE1E4E91293, Size=47208
C:\Windows\system32\drivers\iteatapi.sys, MD5=BCED60D16156E428F8DF8CF27B0DF150, Size=35944
C:\Windows\system32\drivers\iteraid.sys, MD5=06FA654504A498C30ADCA8BEC4E87E7E, Size=35944
C:\Windows\system32\drivers\kbdclass.sys, MD5=37605E0A8CF00CBBA538E753E4344C6E, Size=35384
C:\Windows\system32\drivers\kbdhid.sys, MD5=18247836959BA67E3511B62846B9C2E0, Size=15872
C:\Windows\system32\drivers\ks.sys, MD5=47CB1CBB1D80517D7909D0860128E860, Size=148992
C:\Windows\system32\drivers\ksecdd.sys, MD5=4E718FA5861A91DDFF6696F1C1AC4E5B, Size=439552
C:\Windows\system32\drivers\lltdio.sys, MD5=D1C5883087A0C3F1344D9D55A44901F6, Size=47104
C:\Windows\system32\drivers\lsi_fc.sys, MD5=A2262FB9F28935E862B4DB46438C80D2, Size=65640
C:\Windows\system32\drivers\lsi_sas.sys, MD5=30D73327D390F72A62F32C103DAF1D6D, Size=65640
C:\Windows\system32\drivers\lsi_scsi.sys, MD5=E1E36FEFD45849A95F1AB81DE0159FE3, Size=65640
C:\Windows\system32\drivers\luafv.sys, MD5=8F5C7426567798E62A3B3614965D62CC, Size=84480
C:\Windows\system32\drivers\mbam.sys, MD5=C2B26AF5DA2E31FD3221D2B21FAE6249, Size=19160
C:\Windows\system32\drivers\mbamswissarmy.sys, MD5=00C4A0992D4EA5520AC12DB4FD11C3E3, Size=38224
C:\Windows\system32\drivers\mcd.sys, MD5=B271EC02E71271A2DA28B3B7BC4E4F15, Size=18944
C:\Windows\system32\drivers\mdmxsdk.sys, MD5=0CEA2D0D3FA284B85ED5B68365114F76, Size=12672
C:\Windows\system32\drivers\megasas.sys, MD5=D153B14FC6598EAE8422A2037553ADCE, Size=28776
C:\Windows\system32\drivers\modem.sys, MD5=E13B5EA0F51BA5B1512EC671393D09BA, Size=31744
C:\Windows\system32\drivers\monitor.sys, MD5=0A9BB33B56E294F686ABB7C1E4E2D8A8, Size=41984
C:\Windows\system32\drivers\mouclass.sys, MD5=5BF6A1326A335C5298477754A506D263, Size=34360
C:\Windows\system32\drivers\mouhid.sys, MD5=93B8D4869E12CFBE663915502900876F, Size=15872
C:\Windows\system32\drivers\mountmgr.sys, MD5=BDAFC88AA6B92F7842416EA6A48E1600, Size=57400
C:\Windows\system32\drivers\mpio.sys, MD5=583A41F26278D9E0EA548163D6139397, Size=78952
C:\Windows\system32\drivers\mpsdrv.sys, MD5=22241FEBA9B2DEFA669C8CB0A8DD7D2E, Size=64000
C:\Windows\system32\drivers\Mraid35x.sys, MD5=4FBBB70D30FD20EC51F80061703B001E, Size=33384
C:\Windows\system32\drivers\mrxdav.sys, MD5=6857C38920A99FCB208A6D90D9D7244B, Size=113664
C:\Windows\system32\drivers\mrxsmb.sys, MD5=AB2CFFCF3F6692B4C5315319D331B7FF, Size=105984
C:\Windows\system32\drivers\mrxsmb10.sys, MD5=DD25088DEDD0C20630A5BA6BD0E95827, Size=212992
C:\Windows\system32\drivers\mrxsmb20.sys, MD5=63FA0C824DE4AA5EEEE68558793024FC, Size=78848
C:\Windows\system32\drivers\msahci.sys, MD5=742AED7939E734C36B7E8D6228CE26B7, Size=23144
C:\Windows\system32\drivers\msdsm.sys, MD5=3FC82A2AE4CC149165A94699183D3028, Size=80488
C:\Windows\system32\drivers\msfs.sys, MD5=A9927F4A46B816C92F461ACB90CF8515, Size=22528
C:\Windows\system32\drivers\msisadrv.sys, MD5=0F400E306F385C56317357D6DEA56F62, Size=16440
C:\Windows\system32\drivers\msiscsi.sys, MD5=696F45DB9CBFED743905F322CD237C36, Size=179456
C:\Windows\system32\drivers\mskssrv.sys, MD5=D8C63D34D9C9E56C059E24EC7185CC07, Size=8192
C:\Windows\system32\drivers\mspclock.sys, MD5=1D373C90D62DDB641D50E55B9E78D65E, Size=5888
C:\Windows\system32\drivers\mspqm.sys, MD5=B572DA05BF4E098D4BBA3A4734FB505B, Size=5504
C:\Windows\system32\drivers\msrpc.sys, MD5=239CE1D1F967F50652399F6C61BD14E7, Size=161536
C:\Windows\system32\drivers\mssmbios.sys, MD5=E384487CB84BE41D09711C30CA79646C, Size=31288
C:\Windows\system32\drivers\mstee.sys, MD5=7199C1EEC1E4993CAF96B8C0A26BD58A, Size=6016
C:\Windows\system32\drivers\mup.sys, MD5=09BEB48858397A68DDAF0A44A9CD9D99, Size=47872
C:\Windows\system32\drivers\ndis.sys, MD5=1DF2F64765595BADE574FE99AB884185, Size=527616
C:\Windows\system32\drivers\ndistapi.sys, MD5=0E186E90404980569FB449BA7519AE61, Size=20992
C:\Windows\system32\drivers\ndisuio.sys, MD5=D6973AA34C4D5D76C0430B181C3CD389, Size=16896
C:\Windows\system32\drivers\ndiswan.sys, MD5=A177A64228987DC2D7EA4F1D21F64F63, Size=121344
C:\Windows\system32\drivers\ndproxy.sys, MD5=71DAB552B41936358F3B541AE5997FB3, Size=49664
C:\Windows\system32\drivers\netbios.sys, MD5=BCD093A5A6777CF626434568DC7DBA78, Size=35840
C:\Windows\system32\drivers\netbt.sys, MD5=779C390B6B131260CAD2BB45E7188AF5, Size=185856
C:\Windows\system32\drivers\netio.sys, MD5=08C7CF3866B8EB48F459537AAB72E76E, Size=222976
C:\Windows\system32\drivers\NETw3v32.sys, MD5=ACC6170D80C69E50145B370023B64ED3, Size=1786880
C:\Windows\system32\drivers\nfrd960.sys, MD5=2E7FB731D4790A1BC6270ACCEFACB36E, Size=45160
C:\Windows\system32\drivers\npfs.sys, MD5=6C8E95FCE00DB7FDB5576BD2FA8A6248, Size=35328
C:\Windows\system32\drivers\nsiproxy.sys, MD5=609773E344A97410CE4EBF74A8914FCF, Size=16384
C:\Windows\system32\drivers\ntfs.sys, MD5=FBF563117851C987BB62622ED56DE999, Size=1082112
C:\Windows\system32\drivers\ntrigdigi.sys, MD5=E875C093AEC0C978A90F30C9E0DFBB72, Size=20608
C:\Windows\system32\drivers\null.sys, MD5=C5DBBCDA07D780BDA9B685DF333BB41E, Size=4608
C:\Windows\system32\drivers\nvlddmkm.sys, MD5=B4B983D2B0BD436298EA2F8CE63E20CF, Size=4451392
C:\Windows\system32\drivers\nvraid.sys, MD5=E69E946F80C1C31C53003BFBF50CBB7C, Size=88680
C:\Windows\system32\drivers\nvstor.sys, MD5=9E0BA19A28C498A6D323D065DB76DFFC, Size=40040
C:\Windows\system32\drivers\NV_AGP.SYS, MD5=07C186427EB8FCC3D8D7927187F260F7, Size=106600
C:\Windows\system32\drivers\nwifi.sys, MD5=622DEFB95B56A17207708D7C1B4A4BC7, Size=148480
C:\Windows\system32\drivers\nwlnkflt.sys, MD5=B305F3FAD35083837EF46A0BBCE2FC57, Size=12416
C:\Windows\system32\drivers\nwlnkfwd.sys, MD5=C99B3415198D1AAB7227F2C88FD664B9, Size=32512
C:\Windows\system32\drivers\nwlnkipx.sys, MD5=79EA3FCDA7067977625B3363A2657C80, Size=88448
C:\Windows\system32\drivers\nwlnknb.sys, MD5=56D34A67C05E94E16377C60609741FF8, Size=63232
C:\Windows\system32\drivers\nwlnkspx.sys, MD5=C0BB7D1615E1ACBDC99757F6CEAF8CF0, Size=55936
C:\Windows\system32\drivers\ohci1394.sys, MD5=B38961239F115AFE1DCD1805ADEDA1D2, Size=62080
C:\Windows\system32\drivers\pacer.sys, MD5=9B5C9BE2F4E699444A35038DC6D122C4, Size=72192
C:\Windows\system32\drivers\parport.sys, MD5=0FA9B5055484649D63C303FE404E5F4D, Size=79360
C:\Windows\system32\drivers\partmgr.sys, MD5=F92C00F7ACE7795D54A7D2618D95F368, Size=54016
C:\Windows\system32\drivers\parvdm.sys, MD5=4F9A6A8A31413180D0FCB279AD5D8112, Size=8704
C:\Windows\system32\drivers\pci.sys, MD5=956E2D65392EF9A86890F8C28107DF12, Size=149248
C:\Windows\system32\drivers\pciide.sys, MD5=C3C38C2B620F41FF731BF2E40B2C6DC6, Size=14080
C:\Windows\system32\drivers\pciidex.sys, MD5=2ED343D4552BFFE8877BBEEAC0CF26FC, Size=43264
C:\Windows\system32\drivers\pcmcia.sys, MD5=7F4F790E77EE35CB7ABF5CDD7FE4C815, Size=177408
C:\Windows\system32\drivers\PEAuth.sys, MD5=6349F6ED9C623B44B52EA3C63C831A92, Size=878080
C:\Windows\system32\drivers\portcls.sys, MD5=5B24E600CC0A356B17543E4C808676A0, Size=167936
C:\Windows\system32\drivers\processr.sys, MD5=0E3CEF5D28B40CF273281D620C50700A, Size=38400
C:\Windows\system32\drivers\PxHelp20.sys, MD5=D86B4A68565E444D76457F14172C875A, Size=43528
C:\Windows\system32\drivers\ql2300.sys, MD5=CCDAC889326317792480C0A67156A1EC, Size=900712
C:\Windows\system32\drivers\ql40xx.sys, MD5=81A7E5C076E59995D54BC1ED3A16E60B, Size=106088
C:\Windows\system32\drivers\qwavedrv.sys, MD5=9F5E0E1926014D17486901C88ECA2DB7, Size=31232
C:\Windows\system32\drivers\rasacd.sys, MD5=147D7F9C556D259924351FEB0DE606C3, Size=11776
C:\Windows\system32\drivers\rasl2tp.sys, MD5=A214ADBAF4CB47DD2728859EF31F26B0, Size=76288
C:\Windows\system32\drivers\raspppoe.sys, MD5=3E9D9B048107B40D87B97DF2E48E0744, Size=41472
C:\Windows\system32\drivers\raspptp.sys, MD5=ECFFFAEC0C1ECD8DBC77F39070EA1DB1, Size=62976
C:\Windows\system32\drivers\rassstp.sys, MD5=0061D53160D54A50F5AD09F7C2807248, Size=69120
C:\Windows\system32\drivers\rdbss.sys, MD5=7B7FA63EA64A0B9EEF7450F240F13C2C, Size=225280
C:\Windows\system32\drivers\RDPCDD.sys, MD5=89E59BE9A564262A3FB6C4F4F1CD9899, Size=6144
C:\Windows\system32\drivers\rdpdr.sys, MD5=E8BD98D46F2ED77132BA927FCCB47D8B, Size=242688
C:\Windows\system32\drivers\RDPENCDD.sys, MD5=9D91FE5286F748862ECFFA05F8A0710C, Size=6144
C:\Windows\system32\drivers\rdpwd.sys, MD5=6C2FC0750DD252745A24B86CBFA30123, Size=180736
C:\Windows\system32\drivers\rmcast.sys, MD5=BED3CDE66FC61F52BEF358F04CEF3A5A, Size=113664
C:\Windows\system32\drivers\RNDISMP.sys, MD5=6643AEBBD0DF2D6BC770784095CDF733, Size=33280
C:\Windows\system32\drivers\rootmdm.sys, MD5=75E8A6BFA7374ABA833AE92BF41AE4E6, Size=8192
C:\Windows\system32\drivers\rspndr.sys, MD5=9C508F4074A39E8B4B31D27198146FAD, Size=60416

hier nun die log-file vom GMAT rootkit detector:

dass die atapi.sys oft der übeltäter bei diesem trojaner ist, habe ich schon in anderen threads (und auch foren) gelesen.

GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-25 01:41:03
Windows 6.0.6002 Service Pack 2, v.113
Running: 9zjxdcgl.exe; Driver: C:\Users\Harg\AppData\Local\Temp\pxldypog.sys

---- System - GMER 1.0.15 ----

SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwAssignProcessToJobObject [0x8E17ECEC]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwCreateFile [0x8E17F3E8]
SSDT AB602DBC ZwCreateThread
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwDeleteFile [0x8E17F534]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwDeleteKey [0x8E182BCE]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwDeleteValueKey [0x8E182C00]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwOpenFile [0x8E17F498]
SSDT AB602DA8 ZwOpenProcess
SSDT AB602DAD ZwOpenThread
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwProtectVirtualMemory [0x8E17F144]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwQueryValueKey [0x8E182CD4]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwRenameKey [0x8E182C3E]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwReplaceKey [0x8E182C70]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwRestoreKey [0x8E182CA2]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwSetContextThread [0x8E17EC9A]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwSetInformationFile [0x8E17F594]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwSetValueKey [0x8E182B6E]
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwSuspendThread [0x8E17EC3E]
SSDT AB602DB7 ZwTerminateProcess
SSDT \??\C:\Program Files\Trusteer\Rapport\bin\RapportPG.sys ZwTerminateThread [0x8E17EBE2]

INT 0x51 ? 8685DBF8
INT 0x52 ? 8685DBF8
INT 0x62 ? 84BFEBF8
INT 0x71 \??\C:\Program Files\Trusteer\Rapport\bin\RapportKELL.sys 8E1D4800
INT 0x72 ? 84BFEBF8
INT 0x82 ? 84BFEBF8
INT 0xA2 ? 8685DBF8
INT 0xB2 ? 8685DBF8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 243 820BB254 4 Bytes [EC, EC, 17, 8E]
.text ntkrnlpa.exe!KeSetEvent + 28B 820BB29C 4 Bytes CALL 0299CA94
.text ntkrnlpa.exe!KeSetEvent + 2D3 820BB2E4 4 Bytes [BC, 2D, 60, AB]
.text ntkrnlpa.exe!KeSetEvent + 383 820BB394 8 Bytes [34, F5, 17, 8E, CE, 2B, 18, ...]
.text ntkrnlpa.exe!KeSetEvent + 393 820BB3A4 4 Bytes [00, 2C, 18, 8E]
.text ...
? System32\Drivers\spyt.sys Das System kann den angegebenen Pfad nicht finden. !
.rsrc C:\Windows\system32\drivers\atapi.sys entry point in ".rsrc" section [0x826B3000]
PAGE ataport.SYS!DllUnload 826C6B2E 5 Bytes JMP 84BFE1D8
.text USBPORT.SYS!DllUnload 82F766F4 5 Bytes JMP 8685D1D8

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2412] ntdll.dll!KiUserApcDispatcher 77C95DD8 5 Bytes JMP 00410E50 C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe (RapportMgmtService/Trusteer Ltd.)
.text C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2412] USER32.dll!PostQuitMessage + 81F 76A6F802 6 Bytes JMP 716E001E
.text C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2412] WS2_32.dll!getaddrinfo 77D9418A 5 Bytes JMP 71640022
.text C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2412] WS2_32.dll!gethostbyname 77DA62D4 5 Bytes JMP 71670022
.text C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[2904] ntdll.dll!KiUserApcDispatcher 77C95DD8 5 Bytes JMP 004376E0 C:\Program Files\Trusteer\Rapport\bin\RapportService.exe (RapportService/Trusteer Ltd.)
.text C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[2904] WS2_32.dll!getaddrinfo 77D9418A 5 Bytes JMP 71670022
.text C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[2904] WS2_32.dll!gethostbyname 77DA62D4 5 Bytes JMP 716E0022

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8069B048] \SystemRoot\System32\Drivers\spyt.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8599B1F8
Device \Driver\volmgr \Device\VolMgrControl 859981F8
Device \Driver\usbuhci \Device\USBPDO-0 869BE1F8
Device \Driver\netbt \Device\NetBT_Tcpip_{284764F4-391A-4B3C-8AE7-C8B9A8560FC9} 87835500
Device \Driver\usbuhci \Device\USBPDO-1 869BE1F8
Device \Driver\usbuhci \Device\USBPDO-2 869BE1F8
Device \Driver\usbuhci \Device\USBPDO-3 869BE1F8
Device \Driver\usbehci \Device\USBPDO-4 869DA1F8
Device \Driver\volmgr \Device\HarddiskVolume1 859981F8
Device \Driver\volmgr \Device\HarddiskVolume2 859981F8
Device \Driver\cdrom \Device\CdRom0 869E61F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 [826AF9B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3 [826AF9B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\atapi \Device\Ide\IdePort0 [826AF9B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\atapi \Device\Ide\IdePort1 [826AF9B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\atapi \Device\Ide\IdePort2 [826AF9B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\atapi \Device\Ide\IdePort3 [826AF9B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\volmgr \Device\HarddiskVolume3 859981F8
Device \Driver\netbt \Device\NetBt_Wins_Export 87835500
Device \Driver\Smb \Device\NetbiosSmb 878521F8
Device \Driver\netbt \Device\NetBT_Tcpip_{3184AB5F-D3B8-46E3-9613-862104EA99D1} 87835500
Device \Driver\iScsiPrt \Device\RaidPort0 86DC11F8
Device \Driver\netbt \Device\NetBT_Tcpip_{A43774A8-58AF-4DDE-A162-1C82595DDF55} 87835500
Device \Driver\usbuhci \Device\USBFDO-0 869BE1F8
Device \Driver\usbuhci \Device\USBFDO-1 869BE1F8
Device \Driver\usbuhci \Device\USBFDO-2 869BE1F8
Device \Driver\usbuhci \Device\USBFDO-3 869BE1F8
Device \Driver\usbehci \Device\USBFDO-4 869DA1F8
Device \FileSystem\cdfs \Cdfs 86FC71F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x22 0xF6 0x7C 0xF3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x22 0xF6 0x7C 0xF3 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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

---- Files - GMER 1.0.15 ----

File C:\Windows\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

So, habe nun auch den dritte punkt abgehakt:

scheinbar gibts bei mir keinen MBR rootkit...?!

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

habe deswegen auch nicht den letzten schritt unternommen.

was nun?

P.S.: Wenn ich anderen Leuten behilflich sein kann, indem ich das beste versuche meinen computer wieder in ordnung zu bringen, dann tu ich das doch gerne :)

Alles genau richtig gemacht. Super.

Versuche mal bitte AVZ doch noch zum Laufen zu bekommen:

Und zwar öffnest du AVZ und wählst unter File -> System Analysis -> Start Ich hoffe der läuft dann durch.
Speichere das log (avz_sysinfo.html) an einem Ort wo du es wiederfindest... ;)

Hallo!

der system scan hat funktioniert.

Das protokoll (die html + die xml) liegen als zip im anhang!

grüße,

Harg

Sehr gut! Vielen Dank. Ich gucke mir das an.

Kannst du mal bitte mit AVZ nach folgender Datei suchen:

Zitat:

atapi(54).sys

Ganz unten in der Anleitung zu AVZ wird besschrieben wie.
Kopiere alles ab was gefunden wurde und poste es.

Suche außerdem noch nach:

Zitat:

atapi.sys

hier die beiden ergebnisse als screenshot:

Dankeschön.

Also wenn du möchtest dann killen wir den Schlingel jetzt. So langsam ist das Kanninchen sicher müde oder?

PS: Sag mal weisst du noch wo das Ding herkam? Hast du in letzter Zeit irgendwelche Cracks, Keygens oder andere gecrackte Software installiert? Wir bräuchten den Dropper, also die Installations Datei des Ganzen. Das wäre nochmal sehr hilfreich.

hätte nichts dagegen :aufsmaul:

Gut, drucke dir diesen Post aus!

Verschiebe alle AVZ Funde (atapi.sys und atapi(54).sys) in die Quarantäne!
Danach löscht du den atapi(54).sys Fund.
Danach löscht du alle atapi.sys Funde bis auf die C:\Windows\system32\drivers\atapi.sys. Die muss unbedingt dort bleiben wo sie ist!
Alles andere kannst du löschen.

Danach legst du deine Windows CD ins Laufwerk ein.

Starte den Computer neu. Er sollte nun von der CD booten.

Starte die Wiederherstellungskonsole (Windows reparieren).
Dort startest du die EIngabeaufforderung und gibst folgende Befehl ein:

Zitat:

ren C:\windows\system32\drivers\atapi.sys atapi.bad

Mit Enter bestätigen.

Zitat:

copy X:\i386\atapi.sys C:\windows\systrem32\drivers\atapi.sys

Mit Enter bestätigen.

Starte den Computer neu und nimm die CD aus dem Laufwerk sodass er wieder ganz normal Windows startet.

Führe erneut die Suche nach der atapi.sys und nach der atapi(54).sys durch.

oh, das ist jetzt aber ein kleines problem für mich:

bin momentan im ausland (auch noch für die nächste zeit) und habe natürlich meine windows cd daheim gelassen.

gibt es ne weitere möglichkeit? kann ich ne boot-cdisk inkl. der atapi.sys erstellen?

Hmpf. Das wird etwas schwer. Aber auch da könntest du Kanninchen spielen. :)

Das Problem ist, dass wir bei der atapi.sys von der Windows CD wenigstens sicher sein könnten, dass die 100%tig sauber ist,

Wenn ich eine aus dem DriverStore nehme dann muss das nicht unbedingt so sein. Wahrscheinlich schon aber halt nicht sicher.

Aber wir versuchen das mal.

Verschiebe alle Funde atapi.sys wie auch atapi(54).sys in die Quarantäne. Lösche aber nichts!

Führe danach folgendes Skript mit AVZ aus:

Code:

begin

CreateQurantineArchive('C:\quarantine.zip');

end.

Lade die C:\quarantine.zip auf unseren uploadchannel hoch.

ist passiert

ich konnte aber keine gepackte datei hochladen.. deswegen habe ich die datei-endung verändert. also nochmals die txt in zip umbennen und entpacken.

danke!!

Das hat nicht geklappt. Das Rootkit sperrt den Zugriff sodass wir die Dateien nicht in die Quarantäne bekommen.

Wir brauchen aber eine saubere Kopie der atapi.sys.

Versuchen wir es anders:
Start -> ausführen ->

Zitat:

cmd /c copy C:\windows\system32\drivers\atapi.sys C:\atapi.sys ohne

Klappt das? Also ist dann hinterher eine C:\atapi.sys vorhanden?

hmm... also dein code funktioniert nicht.

aber (in der trojaner-board emailbenachrichtigung) hast du ja erst was von rechtsklick geschrieben. so manuell hats funktioniert. da is nun eine c:\atapi.sys

soll ich die hochladen?

Jo, hatte ich nochmal editiert sry.

Aber wenn die atapi.sys nun da ist dann ist gut.

Lade dir mal hoch.

Mit dir kann man echt arbeiten.

Lade dir die Recovery Konsole.

http://www.drvista.de/vista-toolbox/...cd-32-bit.html

Und brenne sie auf eine CD.

Dann bootest du von der Cd.

Starte die Wiederherstellungskonsole (Windows reparieren).
Dort startest du die EIngabeaufforderung und gibst folgende Befehl ein:

Zitat:

ren C:\windows\system32\drivers\atapi.sys atapi.bad

Mit Enter bestätigen.

Zitat:

copy C:\atapi.sys C:\windows\systrem32\drivers\atapi.sys

Mit Enter bestätigen.

Starte den Computer neu und nimm die CD aus dem Laufwerk sodass er wieder ganz normal Windows startet.

Poste zwei AVZ logs wie in der Anleitung beschrieben wird.

okay,

werd ich machen. leider wird das jetzt ein paar stunden dauern, da ich erst noch nen rohling besorgen muss :)

aber schonmal vielen dank!

ich melde mich bald möglichst mit hoffentlich guten nachrichten/logfiles.

=) ok. Ich muss eigentlich eh schon lange weg.... ^^ ;)

Hallo!

hab das nun endlich geschafft mit dem brennen.

habe alles ausgeführt... nur leider hängt sich avz immernoch auf. vielleicht ist das auch einfach ein bug.

können wir nicht mit einem anderen programm scannen ob ich das ding losgeworden bin?

Ich sagte nicht, dass du das Ding los bist. ;) Erstens haben wir erstmal nur die atapi wiederhergestellt, nicht aber die Infektion bereinigt.
Zweitens kann es durchaus sein, dass das mit dem Herstellen der atapi.sys nicht geklappt hat. Ohne Windows CD ist das reichlich schwer.

Wir überprüfen das jetzt:

Führe mit AVZ das Standard Skript Nummer 6. Delete all AVZ drivers aus.

Danach lösche den kompletten AVZ Ordner und alles was damit zu tun hatte von deinem PC. Räume mit dem cCleaner auf und starte neu.

Mache dann bitte einen gmer scan und poste wie beim letzten Mal das log.

GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-26 18:27:06
Windows 6.0.6002 Service Pack 2, v.113
Running: 9zjxdcgl.exe; Driver: C:\Users\Harg\AppData\Local\Temp\pxldypog.sys

---- System - GMER 1.0.15 ----

INT 0x51 ? 8644DBF8
INT 0x52 ? 8644DBF8
INT 0x62 ? 847FEBF8
INT 0x71 \??\C:\Program Files\Trusteer\Rapport\bin\RapportKELL.sys 8DDCE800
INT 0x72 ? 847FEBF8
INT 0x82 ? 847FEBF8
INT 0xA2 ? 8644DBF8
INT 0xB2 ? 8644DBF8

---- Kernel code sections - GMER 1.0.15 ----

? System32\Drivers\spnh.sys Das System kann den angegebenen Pfad nicht finden. !
.text USBPORT.SYS!DllUnload 8937C6F4 5 Bytes JMP 8644D1D8

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] ntdll.dll!KiUserApcDispatcher 77B65DD8 5 Bytes JMP 00410E50 C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe (RapportMgmtService/Trusteer Ltd.)
.text C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] USER32.dll!PostQuitMessage + 81F 767AF802 6 Bytes JMP 00441400 C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe (RapportMgmtService/Trusteer Ltd.)
.text C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] WS2_32.dll!getaddrinfo 77C3418A 5 Bytes JMP 71640022
.text C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] WS2_32.dll!gethostbyname 77C462D4 5 Bytes JMP 71670022
.text C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] ntdll.dll!KiUserApcDispatcher 77B65DD8 5 Bytes JMP 004376E0 C:\Program Files\Trusteer\Rapport\bin\RapportService.exe (RapportService/Trusteer Ltd.)
.text C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] WS2_32.dll!getaddrinfo 77C3418A 5 Bytes JMP 71670022
.text C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] WS2_32.dll!gethostbyname 77C462D4 5 Bytes JMP 716E0022

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8068B6D2] \SystemRoot\System32\Drivers\spnh.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8068B040] \SystemRoot\System32\Drivers\spnh.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8068B7FC] \SystemRoot\System32\Drivers\spnh.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8068B0BE] \SystemRoot\System32\Drivers\spnh.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8068B13C] \SystemRoot\System32\Drivers\spnh.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8069B048] \SystemRoot\System32\Drivers\spnh.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 001496DC
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 00149562
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 001495C7
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\ole32.dll [USER32.dll!GetClipboardData] 001499A1
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\ole32.dll [USER32.dll!TranslateMessage] 00149C4B
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\WS2_32.dll [ntdll.dll!NtQueryDirectoryFile] 001496DC
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\shell32.dll [USER32.dll!GetClipboardData] 001499A1
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\shell32.dll [USER32.dll!TranslateMessage] 00149C4B
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\shell32.dll [USER32.dll!EndDialog] 001491E3
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\shell32.dll [ntdll.dll!NtQueryDirectoryFile] 001496DC
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 00149C4B
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!EndDialog] 001491E3
IAT C:\Windows\system32\Dwm.exe[1624] @ C:\Windows\system32\wininet.dll [USER32.dll!EndDialog] 001491E3
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtQueryDirectoryFile] 019896DC
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\kernel32.dll [ntdll.dll!LdrGetProcedureAddress] 01989562
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\kernel32.dll [ntdll.dll!LdrLoadDll] 019895C7
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\SHELL32.dll [USER32.dll!GetClipboardData] 019899A1
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\SHELL32.dll [USER32.dll!TranslateMessage] 01989C4B
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\SHELL32.dll [USER32.dll!EndDialog] 019891E3
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\SHELL32.dll [ntdll.dll!NtQueryDirectoryFile] 019896DC
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!TranslateMessage] 01989C4B
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\SHLWAPI.dll [USER32.dll!EndDialog] 019891E3
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\ole32.dll [USER32.dll!GetClipboardData] 019899A1
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\ole32.dll [USER32.dll!TranslateMessage] 01989C4B
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\WS2_32.dll [ntdll.dll!NtQueryDirectoryFile] 019896DC
IAT C:\Windows\system32\taskeng.exe[1820] @ C:\Windows\system32\wininet.dll [USER32.dll!EndDialog] 019891E3
IAT C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] @ C:\Windows\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportMgmtService.exe[2344] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] @ C:\Windows\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] @ C:\Windows\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] 716B0000
IAT C:\Program Files\Trusteer\Rapport\bin\RapportService.exe[3208] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] 716B0000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8559B1F8
Device \Driver\volmgr \Device\VolMgrControl 855981F8
Device \Driver\usbuhci \Device\USBPDO-0 8655E500
Device \Driver\netbt \Device\NetBT_Tcpip_{284764F4-391A-4B3C-8AE7-C8B9A8560FC9} 873BD500
Device \Driver\usbuhci \Device\USBPDO-1 8655E500
Device \Driver\usbuhci \Device\USBPDO-2 8655E500
Device \Driver\usbuhci \Device\USBPDO-3 8655E500
Device \Driver\usbehci \Device\USBPDO-4 8655C500
Device \Driver\volmgr \Device\HarddiskVolume1 855981F8
Device \Driver\volmgr \Device\HarddiskVolume2 855981F8
Device \Driver\cdrom \Device\CdRom0 865841F8
Device \Driver\volmgr \Device\HarddiskVolume3 855981F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8559A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3 8559A1F8
Device \Driver\atapi \Device\Ide\IdePort0 8559A1F8
Device \Driver\atapi \Device\Ide\IdePort1 8559A1F8
Device \Driver\atapi \Device\Ide\IdePort2 8559A1F8
Device \Driver\atapi \Device\Ide\IdePort3 8559A1F8
Device \Driver\netbt \Device\NetBt_Wins_Export 873BD500
Device \Driver\Smb \Device\NetbiosSmb 873EC1F8
Device \Driver\netbt \Device\NetBT_Tcpip_{3184AB5F-D3B8-46E3-9613-862104EA99D1} 873BD500
Device \Driver\iScsiPrt \Device\RaidPort0 866101F8
Device \Driver\netbt \Device\NetBT_Tcpip_{A43774A8-58AF-4DDE-A162-1C82595DDF55} 873BD500
Device \Driver\usbuhci \Device\USBFDO-0 8655E500
Device \Driver\usbuhci \Device\USBFDO-1 8655E500
Device \Driver\usbuhci \Device\USBFDO-2 8655E500
Device \Driver\usbuhci \Device\USBFDO-3 8655E500
Device \Driver\usbehci \Device\USBFDO-4 8655C500
Device \FileSystem\cdfs \Cdfs 87DEF1F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x22 0xF6 0x7C 0xF3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x22 0xF6 0x7C 0xF3 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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

---- EOF - GMER 1.0.15 ----

Das sieht ja schonmal ganz gut aus.

Hast du AVZ komplett runter?

Bitte deinstalliere Deamon Tools über die Systemsteuerung. (Falls installiert).
Während der Deinstallation musst du den Rechner neustarten.

Danach downloade dir das Tool hier: http://www.duplexsecure.com/download...t-v162-x86.exe
Starte es durch einen Doppelklick. Im anschließenden Dialog wirst du den "Uninstall" Button finden. Betätige diesen um SPTD zu deinstallieren.
Starten den Rechner danach neu.

Räume mit dem cCleaner auf (Punkte 1&2).

Danach guckst du bitte in die AVZ Anleitung. Habe die nochmal überarbeitet und eine andere Version zum Download angegeben. Hat sich einiges geändert also bitte nochmal genau abarbeiten und die logs posten.

Hey :)

Habe leider fast den selben Trojaner...

Habe schon einiges erklärt bekommen usw, aber nichts hat geholfen...

3 Tage lang war er plötzlich weg (zumindest hat Kaspersky keine Meldung gebracht) und heute ist er wieder da.

Er sitzt: C:\WINDOWS\system32\tdlclk.ddl

trojanisches Programm Packed.Win32.TDSS.z

Da ihr ja scheinbar auch den anderen PC hinbekommen habt fände ich es wirklich super, wenn ihr mir auch helfen könntet :)

MfG Marcel69