|
Trojan.Win32.Cosmu.jnu/Trojan/Win32.Cosmu.gen Befall !!! Kann ihn nicht entfernen !!! Hallo, mein Problem ist das ich einen Trojaner auf meinem Rechner habe, denk ich zumindest mal, und den nicht weg bekomme. Habe verschiedene Anti-Virus, Anti-Spyware Software ausprobiert (Spybot, Spyware Doctor, A-Squared), ein paar haben ihn gefunden und ich habe ihn mittels dieser Software auch entfernen lassen aber die Datei in der dieser Trojaner sitz (Sorry, ich kenn mich net aus) ist immer noch da und sobald ich sie lösche ist sie auch schon wieder da. Diese Datei die ich meine hat den Pfad: C:\WINDOWS\system32\audio\audio.exe , sie sieht aus wie die ICQ-Blume. Ich hoffe mir kann irgendjemand weiterhelfen, ich bin am verzweifeln !!! MfG Thomas Virustotal.com - Auswertung Virustotal. MD5: 37b9e7c33153629427eca1130cd8e8d9 Trojan.Win32.Cosmu!IK Trojan/Win32.Cosmu.gen Generic16.SMC HiJackthis Log File-Upload.net - hijackthis.rar |
Hi Deinstalliere bitte zunächst a-squared (oder schalte dessen guard aus) - zwei Aktivscanner zur gleichen Zeit sind für ein System nur schwer verdaulich. Danach: Anleitung: Malwarebytes Schließe beim Scan bitte alles an dein PC an (USB-Sticks, ext. Festplatten usw.) |
Hi, so ich hab alles getan was in der Anleitung stand und habe auch alles angeschlossen. Also ich weiß es net genau aber in C:\WINDOWS\system32\audio\audio.exe die Datei die ich net löschen konnte is jetz weg, bedeutet das das er jetz weg is? Vielen Dank für die Hilfe :dankeschoen: Hier die Ergebnisse: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3552 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 13.01.2010 06:53:18 mbam-log-2010-01-13 (06-53-18).txt Scan-Methode: Vollständiger Scan (C:\|F:\|H:\|) Durchsuchte Objekte: 219340 Laufzeit: 1 hour(s), 20 minute(s), 44 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 8 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{c5760yl5-4n08-h34v-ybvy-vtx3mu18jelg} (Generic.Bot.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2ba1c226-ec1b-4471-a65f-d0688ac6ee3a} (Adware.SmartShopper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\audio\audio.exe (Generic.Bot.H) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot. |
|
So, hab alles getan. Is das Poroblem jetz damit auch behoben oder hab ich wirklich ein ernsteres Problem auf meinem PC ? Hier die Ergebnisse GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-13 15:46:37 Windows 5.1.2600 Service Pack 3 Running: f1gvzoe9.exe; Driver: C:\DOKUME~1\Privat\LOKALE~1\Temp\uwloquog.sys ---- System - GMER 1.0.15 ---- SSDT F7A90B1E ZwCreateKey SSDT F7A90B14 ZwCreateThread SSDT F7A90B23 ZwDeleteKey SSDT F7A90B2D ZwDeleteValueKey SSDT spsy.sys ZwEnumerateKey [0xF738CDA4] SSDT spsy.sys ZwEnumerateValueKey [0xF738D132] SSDT F7A90B32 ZwLoadKey SSDT spsy.sys ZwOpenKey [0xF73740C0] SSDT F7A90B00 ZwOpenProcess SSDT F7A90B05 ZwOpenThread SSDT spsy.sys ZwQueryKey [0xF738D20A] SSDT spsy.sys ZwQueryValueKey [0xF738D08A] SSDT F7A90B3C ZwReplaceKey SSDT F7A90B37 ZwRestoreKey SSDT F7A90B28 ZwSetValueKey SSDT F7A90B0F ZwTerminateProcess INT 0x62 ? 84B2DBF8 INT 0x63 ? 8464FF00 INT 0x73 ? 8464FF00 INT 0x82 ? 84B2DBF8 INT 0x83 ? 8464FF00 ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!_abnormal_termination + 169 804E27C5 3 Bytes [CD, 38, F7] ? spsy.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload F71738AC 5 Bytes JMP 8464F4E0 .text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF6766360, 0x24BB1D, 0xE8000020] .text a23i6zgy.SYS F6719386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...] .text a23i6zgy.SYS F67193AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...] .text a23i6zgy.SYS F67193C4 3 Bytes [00, 80, 02] .text a23i6zgy.SYS F67193C9 1 Byte [30] .text a23i6zgy.SYS F67193C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL} .text ... ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 84AC25E0 IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F739FDDC] spsy.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F739FE30] spsy.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7375042] spsy.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F737513E] spsy.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73750C0] spsy.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7375800] spsy.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73756D6] spsy.sys IAT \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8464F5E0 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlInitUnicodeString] 8800001C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!swprintf] 001CBA86 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeSetEvent] C61AEB00 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 001C8986 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 86C61200 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 00001C8B IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmFreeMappingAddress] 96868801 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 8800001C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 001CB286 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmUnmapIoSpace] 88968B00 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 8900001C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IofCompleteRequest] 001CA496 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlCompareUnicodeString] C6168B00 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IofCallDriver] 001CC186 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmAllocateMappingAddress] 428A0A00 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] C286880C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoConnectInterrupt] 8B00001C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoDetachDevice] 24A48DFA IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeWaitForSingleObject] 00000000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInitializeEvent] 4B8BDF8B IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeCancelTimer] 8D3F0304 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] CB033043 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlInitAnsiString] 0673C13B IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] C13B0003 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoQueueWorkItem] 8366FA72 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmMapIoSpace] 75000E7B IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 0B7D80E3 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoReportDetectedDevice] 307B8D00 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoReportResourceForDetection] 00AA840F IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 83660000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!NlsMbCodePageTag] 6A000E7A IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoRequestPowerIrp] C6647400 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] 001CC386 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] 4F8B0200 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!sprintf] 968D5140 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 00001C98 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ObfDereferenceObject] 22F6E852 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 478B0000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 50016A40 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwClose] 1CB48E8D IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] E8510000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] 000022E4 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] 6A18538B IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoStartNextPowerIrp] 868D5200 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoCreateDevice] 00001CA0 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 22D2E850 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 4B8B0000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 51016A18 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwOpenKey] 1CBC968D IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlFreeUnicodeString] E8520000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoStartTimer] 000022C0 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInitializeTimer] 8A05478A IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoInitializeTimer] 001CC38E IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInitializeDpc] 30C48300 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInitializeSpinLock] 1CC58688 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoInitializeIrp] 80E90000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwCreateKey] C6000000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 001CC386 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 438B0100 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ZwSetValueKey] 8E8D5018 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeInsertQueueDpc] 00001C98 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 2292E851 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoStartPacket] 538B0000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 52016A18 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 1CB4868D IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoFreeMdl] E8500000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmUnlockPages] 00002280 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 8A05478A IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 001CC38E IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 18C48300 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 1CC58688 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeSynchronizeExecution] 43EB0000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoStartNextPacket] 320C538A IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeBugCheckEx] 88F93BC0 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 001CC396 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeSetTimer] F6317300 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!_allmul] 74070647 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmProbeAndLockPages] 75C0841A IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!_except_handler3] 05578A0B IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoSetPowerState] 968801B0 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 00001CC5 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 57B60F66 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlDeleteRegistryValue] 533B6604 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!_aulldiv] 03087408 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!strstr] 72F93B3F IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!_strupr] 8A09EBDA IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeQuerySystemTime] 86880547 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 00001CC5 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!KeTickCount] 88084B8A IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] 001CC68E IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoDeleteDevice] 40578B00 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 8D52006A IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateWorkItem] 001CC886 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateIrp] 11E85000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoAllocateMdl] 8B000022 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CC08E IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmLockPagableDataSection] C4968B00 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8900001C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CCC8E IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!ExFreePoolWithTag] D0968900 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoFreeIrp] 8B00001C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!IoFreeWorkItem] 016A4047 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!InitSafeBootMode] D4C68150 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!RtlCompareMemory] 5600001C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!PoCallDriver] 0021E7E8 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!memmove] 18C48300 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[ntoskrnl.exe!MmHighestUserAddress] 5D5B5E5F IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KeGetCurrentIrql] 9E880000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KfRaiseIrql] 00001CB1 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KfLowerIrql] 0E798366 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!HalGetInterruptVector] 74AAB000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!HalTranslateBusAddress] 8986C636 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!READ_PORT_USHORT] 001C9686 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2 IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[WMILIB.SYS!WmiSystemControl] 8800001C IAT \SystemRoot\System32\Drivers\a23i6zgy.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7384B90] spsy.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 84ABE1F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{12C171E2-6D8B-432F-9234-0678CCFA08E5} 84700500 Device \Driver\usbohci \Device\USBPDO-0 845EE500 Device \Driver\PCI_PNP1478 \Device\00000051 spsy.sys Device \Driver\usbohci \Device\USBPDO-1 845EE500 Device \Driver\usbehci \Device\USBPDO-2 845E3500 Device \Driver\Ftdisk \Device\HarddiskVolume1 84AC01F8 Device \Driver\Cdrom \Device\CdRom0 845BB500 Device \Driver\Ftdisk \Device\HarddiskVolume2 84AC01F8 Device \Driver\Ftdisk \Device\HarddiskVolume3 84AC01F8 Device \Driver\Cdrom \Device\CdRom1 845BB500 Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort0 [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdePort1 [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [F72EDB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX} Device \Driver\Cdrom \Device\CdRom2 845BB500 Device \Driver\NetBT \Device\NetBt_Wins_Export 84700500 Device \Driver\NetBT \Device\NetbiosSmb 84700500 Device \Driver\NetBT \Device\NetBT_Tcpip_{1EB74E66-18B0-4E02-A9E9-C565AAC29ADE} 84700500 Device \Driver\sptd \Device\3737945228 spsy.sys Device \Driver\usbohci \Device\USBFDO-0 845EE500 Device \Driver\usbohci \Device\USBFDO-1 845EE500 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 845A1500 Device \Driver\usbehci \Device\USBFDO-2 845E3500 Device \FileSystem\MRxSmb \Device\LanmanRedirector 845A1500 Device \Driver\Ftdisk \Device\FtControl 84AC01F8 Device \Driver\a23i6zgy \Device\Scsi\a23i6zgy1 845C3500 Device \Driver\a23i6zgy \Device\Scsi\a23i6zgy1Port2Path0Target0Lun0 845C3500 Device \FileSystem\Fastfat \Fat 84603500 Device \FileSystem\Fastfat \Fat B763B297 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs 845AF500 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7C 0x5C 0x96 0xD1 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x44 0x5B 0x16 0x3B ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xEE 0x64 0x72 0x66 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA1 0x0F 0x12 0xF0 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x59 0xA1 0x46 0x49 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x15 0xEB 0xB9 0x9F ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x43 0xD7 0x48 0xBA ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x81 0x32 0xB1 0xBB ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7C 0x5C 0x96 0xD1 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x44 0x5B 0x16 0x3B ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xEE 0x64 0x72 0x66 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA1 0x0F 0x12 0xF0 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x59 0xA1 0x46 0x49 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x15 0xEB 0xB9 0x9F ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x43 0xD7 0x48 0xBA ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x81 0x32 0xB1 0xBB ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA1 0x0F 0x12 0xF0 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x59 0xA1 0x46 0x49 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x15 0xEB 0xB9 0x9F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x43 0xD7 0x48 0xBA ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x81 0x32 0xB1 0xBB ... ---- EOF - GMER 1.0.15 ---- |
Hum, gmer-log sieht sauber aus, aber wir werden noch bisschen was machen müssen, um einigermaßen sicher zu gehen. Mach bitte einen Scan mit Avira, benutze die agressive Einstellungen. |
Ich danke dir wirklich sehr für deine Hilfe :applaus: So, hier der Report von AntiVir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 13. Januar 2010 17:33 Es wird nach 1524286 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Privat Computername : PRIVAT-ZFW728II Versionsinformationen: BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 21.11.2009 14:04:25 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:04:25 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:04:25 VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 14:04:25 VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 14:04:25 VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 14:04:25 VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 14:04:25 VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 14:04:25 VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 14:04:25 VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 14:04:25 VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 14:04:25 VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 14:04:25 VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 14:04:25 VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 14:04:25 VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 13:49:22 VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 13:38:24 VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 13:32:11 VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 13:29:18 VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 13:28:23 VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 13:29:32 VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 13:23:08 VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 13:22:29 VBASE021.VDF : 7.10.2.131 201216 Bytes 07.01.2010 14:43:53 VBASE022.VDF : 7.10.2.158 192000 Bytes 11.01.2010 14:38:05 VBASE023.VDF : 7.10.2.159 2048 Bytes 11.01.2010 14:38:06 VBASE024.VDF : 7.10.2.160 2048 Bytes 11.01.2010 14:38:06 VBASE025.VDF : 7.10.2.161 2048 Bytes 11.01.2010 14:38:06 VBASE026.VDF : 7.10.2.162 2048 Bytes 11.01.2010 14:38:06 VBASE027.VDF : 7.10.2.163 2048 Bytes 11.01.2010 14:38:06 VBASE028.VDF : 7.10.2.164 2048 Bytes 11.01.2010 14:38:07 VBASE029.VDF : 7.10.2.165 2048 Bytes 11.01.2010 14:38:07 VBASE030.VDF : 7.10.2.166 2048 Bytes 11.01.2010 14:38:07 VBASE031.VDF : 7.10.2.174 126976 Bytes 12.01.2010 14:38:02 Engineversion : 8.2.1.134 AEVDF.DLL : 8.1.1.2 106867 Bytes 01.11.2009 20:10:09 AESCRIPT.DLL : 8.1.3.7 594296 Bytes 05.01.2010 14:49:57 AESCN.DLL : 8.1.3.0 127348 Bytes 11.12.2009 13:32:28 AESBX.DLL : 8.1.1.1 246132 Bytes 21.11.2009 14:04:25 AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 13:38:55 AEPACK.DLL : 8.2.0.4 422263 Bytes 05.01.2010 14:49:51 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39 AEHEUR.DLL : 8.1.0.194 2228599 Bytes 09.01.2010 14:42:37 AEHELP.DLL : 8.1.9.0 237943 Bytes 17.12.2009 13:28:34 AEGEN.DLL : 8.1.1.83 369014 Bytes 05.01.2010 14:49:15 AEEMU.DLL : 8.1.1.0 393587 Bytes 01.11.2009 20:07:10 AECORE.DLL : 8.1.9.1 180598 Bytes 11.12.2009 13:32:27 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 01.11.2009 20:10:12 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 21.11.2009 14:04:24 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, F:, H:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Mittwoch, 13. Januar 2010 17:33 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '44745' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdncoms.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdnserv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lxdnmsdmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dispdrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '30' Prozesse mit '30' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'H:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '52' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'F:\' <Allgemein> Beginne mit der Suche in 'H:\' Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden! Systemfehler [3]: Das System kann den angegebenen Pfad nicht finden. Ende des Suchlaufs: Mittwoch, 13. Januar 2010 18:32 Benötigte Zeit: 58:58 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 8642 Verzeichnisse wurden überprüft 270859 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 270857 Dateien ohne Befall 1630 Archive wurden durchsucht 2 Warnungen 1 Hinweise 44745 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
:) Sieht auch gut aus. Aber weil ich paranoid bin ;) : Rootkitscan mit RootRepeal - Lade den Scanner hier herunter: RootRepeal - RootRepeal - Rootkit Detector - scrolle runter und downloade RootRepeal.zip. - Trenne deinen Computer vom Internet - Deaktiviere dein Firewall und Antivirenprogramm - Entpacke die Datei auf Deinen Desktop. - Doppelklicke die RootRepeal.exe, um den Scanner zu starten. - Klicke auf den Reiter Report und dann auf den Button Scan. - Mache einen Haken bei den folgenden Elementen und klicke Ok. Drivers Files Processes SSDT Stealth Objects Hidden Services . - Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. - Wähle C:\ und klicke wieder Ok. - Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. - Bitte wärend des Scans nicht am Computer arbeiten! - Wenn der Suchlauf beendet ist, klicke auf Save Report. - Speichere das Logfile als RootRepeal.txt auf dem Desktop. - Kopiere den Inhalt hier in den Thread. - Aktiviere Antivirenprogramm wieder. |
So, hier die Auswertung :D ROOTREPEAL (c) AD, 2007-2009 ================================================== Scan Start Time: 2010/01/13 19:21 Program Version: Version 1.3.5.0 Windows Version: Windows XP SP3 ================================================== Drivers ------------------- Name: adfs.SYS Image Path: C:\WINDOWS\System32\Drivers\adfs.SYS Address: 0xB8F36000 Size: 69248 File Visible: No Signed: - Status: - Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xF51FE000 Size: 98304 File Visible: No Signed: - Status: - Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xF79CF000 Size: 8192 File Visible: No Signed: - Status: - Name: PCI_PNP8236 Image Path: \Driver\PCI_PNP8236 Address: 0x00000000 Size: 0 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xB8EA6000 Size: 49152 File Visible: No Signed: - Status: - Name: spij.sys Image Path: spij.sys Address: 0xF7373000 Size: 995328 File Visible: No Signed: - Status: - Name: sptd Image Path: \Driver\sptd Address: 0x00000000 Size: 0 File Visible: No Signed: - Status: - SSDT ------------------- #: 041 Function Name: NtCreateKey Status: Hooked by "<unknown>" at address 0xf7bc9756 #: 053 Function Name: NtCreateThread Status: Hooked by "<unknown>" at address 0xf7bc974c #: 063 Function Name: NtDeleteKey Status: Hooked by "<unknown>" at address 0xf7bc975b #: 065 Function Name: NtDeleteValueKey Status: Hooked by "<unknown>" at address 0xf7bc9765 #: 071 Function Name: NtEnumerateKey Status: Hooked by "spij.sys" at address 0xf738cda4 #: 073 Function Name: NtEnumerateValueKey Status: Hooked by "spij.sys" at address 0xf738d132 #: 098 Function Name: NtLoadKey Status: Hooked by "<unknown>" at address 0xf7bc976a #: 119 Function Name: NtOpenKey Status: Hooked by "spij.sys" at address 0xf73740c0 #: 122 Function Name: NtOpenProcess Status: Hooked by "<unknown>" at address 0xf7bc9738 #: 128 Function Name: NtOpenThread Status: Hooked by "<unknown>" at address 0xf7bc973d #: 160 Function Name: NtQueryKey Status: Hooked by "spij.sys" at address 0xf738d20a #: 177 Function Name: NtQueryValueKey Status: Hooked by "spij.sys" at address 0xf738d08a #: 193 Function Name: NtReplaceKey Status: Hooked by "<unknown>" at address 0xf7bc9774 #: 204 Function Name: NtRestoreKey Status: Hooked by "<unknown>" at address 0xf7bc976f #: 247 Function Name: NtSetValueKey Status: Hooked by "<unknown>" at address 0xf7bc9760 #: 257 Function Name: NtTerminateProcess Status: Hooked by "<unknown>" at address 0xf7bc9747 Stealth Objects ------------------- Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP] Process: System Address: 0x84abe1f8 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP] Process: System Address: 0x84736500 Size: 121 Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE] Process: System Address: 0x84739500 Size: 121 Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE] Process: System Address: 0x84739500 Size: 121 Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x84739500 Size: 121 Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x84739500 Size: 121 Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER] Process: System Address: 0x84739500 Size: 121 Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL] Process: System Address: 0x84739500 Size: 121 Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP] Process: System Address: 0x84739500 Size: 121 Object: Hidden Code [Driver: usbohci, IRP_MJ_CREATE] Process: System Address: 0x84939500 Size: 121 Object: Hidden Code [Driver: usbohci, IRP_MJ_CLOSE] Process: System Address: 0x84939500 Size: 121 Object: Hidden Code [Driver: usbohci, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x84939500 Size: 121 Object: Hidden Code [Driver: usbohci, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x84939500 Size: 121 Object: Hidden Code [Driver: usbohci, IRP_MJ_POWER] Process: System Address: 0x84939500 Size: 121 Object: Hidden Code [Driver: usbohci, IRP_MJ_SYSTEM_CONTROL] Process: System Address: 0x84939500 Size: 121 Object: Hidden Code [Driver: usbohci, IRP_MJ_PNP] Process: System Address: 0x84939500 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP] Process: System Address: 0x84ac01f8 Size: 121 Object: Hidden Code [Driver: MA, IRP_MJ_CREATE] Process: System Address: 0x8472a500 Size: 121 Object: Hidden Code [Driver: MA, IRP_MJ_CLOSE] Process: System Address: 0x8472a500 Size: 121 Object: Hidden Code [Driver: MA, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x8472a500 Size: 121 Object: Hidden Code [Driver: MA, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x8472a500 Size: 121 Object: Hidden Code [Driver: MA, IRP_MJ_POWER] Process: System Address: 0x8472a500 Size: 121 Object: Hidden Code [Driver: MA, IRP_MJ_SYSTEM_CONTROL] Process: System Address: 0x8472a500 Size: 121 Object: Hidden Code [Driver: MA, IRP_MJ_PNP] Process: System Address: 0x8472a500 Size: 121 Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE] Process: System Address: 0x846ac500 Size: 121 Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE] Process: System Address: 0x846ac500 Size: 121 Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x846ac500 Size: 121 Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x846ac500 Size: 121 Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP] Process: System Address: 0x846ac500 Size: 121 Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP] Process: System Address: 0x846ac500 Size: 121 Object: Hidden Code [Driver: Sparrow, IRP_MJ_CREATE] Process: System Address: 0x84abf1f8 Size: 121 Object: Hidden Code [Driver: Sparrow, IRP_MJ_CLOSE] Process: System Address: 0x84abf1f8 Size: 121 Object: Hidden Code [Driver: Sparrow, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x84abf1f8 Size: 121 Object: Hidden Code [Driver: Sparrow, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x84abf1f8 Size: 121 Object: Hidden Code [Driver: Sparrow, IRP_MJ_POWER] Process: System Address: 0x84abf1f8 Size: 121 Object: Hidden Code [Driver: Sparrow, IRP_MJ_SYSTEM_CONTROL] Process: System Address: 0x84abf1f8 Size: 121 Object: Hidden Code [Driver: Sparrow, IRP_MJ_PNP] Process: System Address: 0x84abf1f8 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP] Process: System Address: 0x845bb500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_CREATE] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_CLOSE] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_READ] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_QUERY_INFORMATION] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_SET_INFORMATION] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_QUERY_VOLUME_INFORMATION] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_DIRECTORY_CONTROL] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_FILE_SYSTEM_CONTROL] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_SHUTDOWN] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_LOCK_CONTROL] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_CLEANUP] Process: System Address: 0x84695500 Size: 121 Object: Hidden Code [Driver: CdfsЅఅ瑎獆搐, IRP_MJ_PNP] Process: System Address: 0x84695500 Size: 121 ==EOF== |
Stelle zunächst sicher, dass alle Dateien im Explorer angezeigt werden. Suche dann bitte im Ordner Code: C:\WINDOWS\System32\Drivers |
Dort befindet sich keine Datei mit dem Namen. In dieser befindet sich wohl ein Virus? Was soll ich nun machen? |
Hm, das ist jetzt die Frage. Die Datei adsf.sys gehört normalerweise zu einem Programm namens "Adobe Drive". Benutzt du so ein Programm? |
Ja ich hatte es gestern noch drauf, aber ich habs deinstalliert weil ich es net mehr brauche. Also ich hatte Adobe Photoshop drauf und dazu gehörten noch paar andere Programme und ich meine dieses Adobe Drive war da auch dabei. |
Dann ist es in Ordnung :) Wir machen jetzt noch zwei Scans zur Absicherung, dann sollten wir durch sein. Wie geht es dem Rechner? Jetzt bitte einmal Anleitung: Dr.Web-CureIt |
Sorry, hat ein wenig gedauert, hatte Probleme mit meinem Internet. Ich hab die Log Datei mal Hochgeladen, weil die sehr groß ist. Hier der Link zur Log Datei http://www.file-upload.net/download-2167887/DrWeb.txt.html Und dazu kam noch diese Meldung: Das Betriebssystem Windows verwendet die HOSTS-Datei, um textuelle Hostnamen in IP-Adressen umzuwandeln. Modifizierungen der HOSTS-Datei sind eventuell auf Malware zurückzuführen. Möchten Sie die Default-HOSTS-Datei wiederherstellen? Ich habe die Datei nicht wiederhergestellt sondern stattdessen in die Quarantäne verschoben und von da aus gelöscht, denk ich zumindest das es sowas wie eine Quarantäne war in diesem Programm. Da ich aber ein paar Probleme hatte, habe ich die Systemwiederherstellung von Windows so zurückgestellt das die Probleme weg waren (1-2 Tage) und ich vermute mal das diese Datei dann auch wieder da ist, oder? |
:balla: Nu ja, wenn man die hosts Datei löscht, sind Probleme mit dem Internet zu erwarten... Zitat:
Bitte nochmal Malwarebytes nach Anleitung. Update nicht vergessen. Außerdem: Stelle zunächst sicher, dass alle Dateien im Explorer angezeigt werden. Wechsle danach in den Ordner Code: C:\WINDOWS\SYSTEM32\DRIVERS\ETC |
Hab schon wieder probleme mit dem Internet. Jede Seite auf die ich will geht net...Zeigt immer an "Netzwerkzeitüberschreitung" Mal selten öffnet es eine Seite aber sobald ich was mache gehts wieder net mit derselben Meldung. Ob Mozilla oder Internet Explorer. Muss das über einen Rechner von nem Kumpel hochladen, kann also bissl dauern. Falls du mir bei diesem Problem auch helfen kannst wäre das toll :Boogie: MfG Thomas |
Du kannst die hosts Datei auch direkt editieren (öffne sie mit dem Editor, wie ich das beschrieben habe). Und das soll drin stehen: Code: # Copyright (c) 1993-1999 Microsoft Corp. |
Okay, das mach ich dann gleich mal wenn ich zuhause bin. Nur falls das nicht funktionieren sollte und mein Internet immer noch nicht geht, hättest du da noch eine Idee? MfG Thomas |
Falls es nicht fruchtet, kannst du es mit diesem Programm versuchen. Vergiss nicht, "Reg-Backup" durchzuführen. Versuch's aber bitte zuerst mit der hosts Datei. |
So, hab die Host Datei wieder so hergestellt wie du geschrieben hast, geht aber trotzdem net. Malwarebytes hat nix gefunden, ich hab GMER nochmal durchlaufen lassen. Ich hab mal die Internet Explorer Diagnose, Fritz Box Diagnose und das GMER Log File zusammen gepackt. Hier der Link http://www.file-upload.net/download-2172366/Log-Dateien.rar.html Wenn ich wieder zuhause bin probier ich gleich das Programm aus. Was meinst du mit "Reg Backup" ? MfG Thomas |
Zitat:
|
Also eigentlich nachdem ich das Dr. Web ausgeführt hatte, das hat ja dann die Meldung mit der hosts datei gebracht und dann gings irgendwann net mehr. Aber die Hosts Datei ist jetz wieder so wie sie sein soll. |
Argh, stop, Moment. Führe das Programm erstmal nicht aus, bitte erst einen frischen Hijackthis und noch eine fritz.box diagnose. |
Okay mach ich dann zuhause...kanns morgen reinstellen. Ohne dich wäre ich aufgeschmissen, danke dir sehr :daumenhoc MfG Thomas |
Und noch was: Trage das noch zusätlich in die hosts Datei ein Code: 85.13.143.91 www.trojaner-board.de |
Also das mit dem Eintrag in die Host Datei hat nicht funktioniert, muss weiter hin und her rennen :D Hier der Link zu den Log Files http://www.file-upload.net/download-2175659/Log-und-Diagnose.rar.html |
*seufz* Zu früh gefreut... Folgendes fehlt mir noch ein, was du versuchen kannst: 1. Start -> Ausführen -> cmd In dem Fenstser eintippen Code: ipconfig /all > c:\ipinfo.txt2. Reparieren der Netzwerkverbindung: Start -> Systemsteuerung -> Rechtsklick auf die Lan-Verbindung (du hast da übrigens zwei? Wie kommt's?) -> Reparieren |
Okay, ich werd das mal probieren :D Ja also ich hab das auch schon gelesen das ich 2 habe aber ich weiß net warum, ich hab nur das Internet ... ??? :lach: |
Hm, deaktivier mal eine von den beiden probehalber. Vielleicht hat Windows eine zweite angelegt, als die hosts nicht erreichbar war, und die beißen sich jetzt... oder so was in der Art... versuchs einfach :D |
Deaktivieren kann ich die auch dort, oder ??? :D Start -> Systemsteuerung -> Rechtsklick auf die Lan-Verbindung |
Jepp, genau :D |
Also ich hab zwar keine Ahnung davon aber ich finde das irgendwie kurios. Und zwar ist die LAN-Verbindung 1 meine Fritz Box und die LAN-Verbindung 2 ist NVIDIA nForce MCP Networking Controller (ich denk mal Grafikkarte). Wenn ich LAN 2 deaktiviere, also NVIDIA, dann hab ich keine verbindung zur Fritzbox. Einfach weg. Wenn ich aber die LAN 1, also meine Fritzbox deaktiviere hat das keine auswirkungen. Sind die nicht vertauscht? Ich verstehs nicht. Nun also reparieren hat nicht funktioniert, es kommt die Meldung: "Die Verbindung konnte nicht repariert werden" usw. Hier der Inhalt der ipinfo.txt Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : privat-zfw728ii Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert. . . . . . . : Ja WINS-Proxy aktiviert. . . . . . . : Nein Ethernetadapter LAN-Verbindung 2: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : NVIDIA nForce MCP Networking Controller Physikalische Adresse . . . . . . : 00-0C-76-4B-33-D9 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.178.23 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.178.1 DHCP-Server . . . . . . . . . . . : 192.168.178.1 DNS-Server. . . . . . . . . . . . : 192.168.178.1 Lease erhalten. . . . . . . . . . : Montag, 18. Januar 2010 05:13:24 Lease läuft ab. . . . . . . . . . : Donnerstag, 28. Januar 2010 05:13:24 Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : AVM FRITZ!web DSL PPP Physikalische Adresse . . . . . . : 00-04-0E-FF-FF-FF DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.122.254 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server. . . . . . . . . . . . : 192.168.122.252 192.168.122.253 |
Zitat:
Ok, nach ausgiebigen googeln habe ich einen ähnlichen "Fall" gefunden mit folgendem Kochrezept: Deinstalliere die Fritzbox Software (bei einem Router-Betrieb braucht man die nicht) -> Neustart Versuche die Fritzbox anzupingen (ich schätze mal, das geht schon jetzt, aber gut) Start -> Ausführen -> cmd ping 192.168.178.1 Falls das geht (wenns nicht geht, kommt da sowas wie "Zeitüberschreitung blablabla") prüfe noch folgendes: Systemsteuerung -> Internetoptionen - >Verbindungen -> keine Verbindung wählen weiter unter LAN -> kein Feld aktiviert Falls es dann immer noch nicht geht, dann erstmal :headbang: und danach einen frischen Code: ipconfig /all > c:\ipinfo.txt |
Okay, ich probiers mal aus ... Meine Fritz Box hat keine Antenne also ist sie kein Router oder ??? Ach dieser blöde Rechner macht mich alle :lach: |
Zitat:
|
Also ich hab die Fritz Box Software deinstalliert, danach hab ich alles gemacht was du geschrieben hast. Anpingen hat geklappt, zumindest kam nix mit Zeitüberschreitung und so. Aber ins Internet komm ich trotzdem net. Soll ich die Fritz Box wieder installiern oder so lassen? Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : privat-zfw728ii Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein Ethernetadapter LAN-Verbindung 2: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : NVIDIA nForce MCP Networking Controller Physikalische Adresse . . . . . . : 00-0C-76-4B-33-D9 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.178.23 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.178.1 DHCP-Server . . . . . . . . . . . : 192.168.178.1 DNS-Server. . . . . . . . . . . . : 192.168.178.1 Lease erhalten. . . . . . . . . . : Donnerstag, 21. Januar 2010 03:48:22 Lease läuft ab. . . . . . . . . . : Sonntag, 31. Januar 2010 03:48:22 |
Zitat:
Sehen wir mal nach, ob DNS-Einstellungen stimmen: Start -> Ausführen -> cmd Code: nslookup trojaner-board.de > c:\dns.txtAußerdem lade dir bitte SystemScan, speichere es auf dem Desktop -> Mit Doppelklick ausführen Häkchen beim Disclaimer -> Proceed Alle Häkchen setzen (Recent files, days old 60) -> Scan Now Es wird eine Datei report.txt erstellt, diese bitte als Anhang posten. |
Okay, ich werd das dann wieder zuhause machen :D Morgen stell ich dann alles rein. MfG Thomas |
So hab alles gemacht. Hier der Link zur Report.txt http://www.file-upload.net/download-2189707/Report.txt.zip.html Hier die DNS.txt Server: fritz.box Address: 192.168.178.1 Name: trojaner-board.de Address: 85.13.143.91 Also die Verbindung zum Internet steht, denn ich konnte ja auch Updates für Antivir runterladen aber Internet Explorer und Mozilla lassen mich auf keine Seite. Jedesmal "Zeitüberschreitung" und Verbindungsprobleme und sowas. Ich versteh das net :crazy: |
Zitat:
Bei diesem Stand der Dinge ist eine Bereinigung praktisch aussichtslos. Es ist auf jeden Fall eine Bereinigung nach einer Kompromitierung zu empfehlen (Neuaufsetzen des Systems). Nimm den verseuchten Rechner vom Netz und ändere alle deine Passwörter von einem sauberen System aus. :( Sorry, ich denke, das ist jetzt die beste Lösung. |
Was, echt jetz??? Ich geh kaputt.... NEIN!!! Naja, ich hab heut Nacht mal Antivir laufen lassen und das hat einen TR/Spy 376832.63 gefunden, um genau zu sein 2 und einer war in dieser SystemScan.exe die ich geladen hab zuletzt, weißte welche? :D Nuja, mein Rechner fühlt sich auch langsamer an und Malwarebytes und Antivir bringen mir dauernt Fehlmeldungen weil irgendwelche Dateien fehlen und Windows sagt dauernt das mein Virtueller Speicher voll ist und größer gemacht werden muss bzw. eine Auslagerungs Datei ... HILFE was is nur los ... :balla: Das Problem zwecks Neuaufsetzen is das ich keine CD habe, im Handbuch steht das ich beim Hochfahren F2 drücken soll und dann in das Menü reinkomme zum Neuaufsetzen aber die F2 Tasten Funktion geht nicht und wenn das der Fall ist soll ich eine CD einlegen, "Treiber & Utilitys", und kann so diese Funktion freischalten, so eine CD hab ich aber net :killpc: Das beste is ich geh mal zum Computerladen-Fachmann, oder? Achherjemine, ne ne ne :D |
Zitat:
Zitat:
Zitat:
|
So, hab meinen Rechner jetz zum Fachmann in den Laden gebracht :applaus: Ich danke dir nochmal für deine ganze Hilfe :singsing: MfG Thomas |
:) Dann bleibt mir noch eine letzte Amtshandlung: vergiss nicht, alle Paswörter (E-Mail, Ebay, etc.) von einem sauberen System aus zu ändern, falls noch nicht geschehen. Gruß, Kos |
Schade das niemand das log von Hijackthis kontrolliert hat :heulen: |
@ Argus: Wieso ??? |
Im Log von HJ stehen zwei Eintraege C:\DOKUME~1\Privat\LOKALE~1\Temp\nsf1F.tmp\runme.exe O4 - HKCU\..\Run: [Display Driver] C:\DOKUME~1\Privat\LOKALE~1\Temp\dispdrv.exe Die hatte man bei VirusTotal ueberpruefen muessen Zusammen mit diesen Eintrag deutet das auf ein Rootkit Zitat:
|
Achso? Naja, ich hab davon ja keine Ahnung, jetz is mein rechner beim Fachmann...Virus entfernen und Neuaufsetzen und so weiter :D |
Zitat:
Und übrigens: für "Manöverkritik" gibt es hier extra ein internes Forum, falls du das vergessen haben solltest. :zzwhip: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board