Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rootkit problem - Wie krieg ich de Dreck weg? (https://www.trojaner-board.de/82985-rootkit-problem-krieg-de-dreck-weg.html)

Someonelse 16.02.2010 20:41
Rootkit problem - Wie krieg ich de Dreck weg?
 
Hi everybody!

Ich habe ein fieses Rootkit nd däts gerne wegkriegen hier erstmal mein Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:28, on 16.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Google\Update\1.2.183.13\GoogleCrashHandler.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb128\SearchSettings.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Programme\Dealio Toolbar\DealioToolbarIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: 306313.lnk = C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nvscv.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9e0438fff1710) (gupdate1c9e0438fff1710) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 6381 bytes
Während dem Scan hat sich mein AVG über ein Rootkit beschwert "atapi.sys" irgendwo im windowsordner beschwert. IM log steht nix davon. hijack this beschwert sich auch über das ein oder andere. kann AVG alle rootkits finden? ich hab auch malwarebites antimalware, welche scans soll noch ich machen?

also vielen Dank für die Hilfe!

cosinus 16.02.2010 22:11
Hallo,

die atapi.sys ist eine Systemdatei, wenn die durchs das Rootkit ersetzt wurde, musst Du sie (manuell) mit einem Fremdsystem löschen und eine saubere Kopie zurückkopieren. In vielen Fällen hilft auch Combofix, aber das Tool setzen wir jetzt noch nicht ein, also los gehts:

Lad Dir diese saubere atapi.sys (von meinem WinXP-Rechner) am besten direkt herunter auf c:, danach müssen wir so ran:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad
7. kopiere die saubere atapi.sys nach system32/drivers (da wo die atapi.bad auch ist)
8. Starte den Rechner neu und boote Windows
9. Die in Linux umbenannte Datei atapi.bad bei Virustotal.com auswerten lassen und Ergebnislink posten
10. Probier einen neuen Durchlauf mit GMER und poste das Log
11. Mach auch noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Someonelse 16.02.2010 23:38
Krieg ich Parted Magic auch irgendwie auf USB? Vllt Mit unetbootin?
Na ja ich schau morgen weiter, googeln hilft vielleicht weiter

cosinus 17.02.2010 00:03
Ja, gibts auch für USB-Stick, kein Problem mit Linux ;)
Schau hier unter If you would like to use Parted Magic from USB, first download this file. => Downloads

Someonelse 17.02.2010 10:02
DAnke, ich probiers mal aus.

[edit] Eigentlich kann ich das ganze doch auch mit meinem Ubuntu Machen!?
Das tu ich jetzt einfach mal...

[edit2] Wieso hat atapi.sys schon 8 Downloads? Da haben wohl andere das gleiche Problem ;-)

Someonelse 17.02.2010 10:57
Also, ich hab Ubuntu an, atapi.szs ersetyt und atapi.bad hochgeladen. Hier ist der Link f[r die Auswertung von Virustotal: http://www.virustotal.com/analisis/c6977f783657da1be6576df4037712390475d593a8a7adceb18fdb62315e5bb1-1266400281
Sry, hab bisher das falsche Tastaturlayout benützt

Ich machjetzt wieder Windows an und mach die Virentests.

cosinus 17.02.2010 12:20
Klar natürlich, mit Ubuntu geht das natürlich auch. Man braucht im Grunde nur ein Notfall- bzw. Live-System, das schreibenden Zugriff auf die Windows-Partition gewährt. Das geht dann auch mit Knoppix oder was anderem, auch die Windows-Wiederherstellungskonsole, die ist aber umständlicher wegen der Kommandozeile und deswegen hab ich hier eine Anleitung für das komfortablerere PartedMagic mal geschrieben.

Und Du hast es richtig gemacht und die manipulierte atapi.sys außer Kraft gesetzt. :)
Es war wie ich vermutet hab das TDSS-Rootkit.

Someonelse 17.02.2010 13:11
Also GMEr läuft jetzt schon seit 2 Stunden, hat auch ne schön lange liste mit RegKeys und Windateien. Hier ist mal der Fund bisjetzt. Seitdem GMER dok&Einst. durchsucht hat, findet es nix mehr. Jetzt ist es grade bei C:/Programme/Gemeinsame Dateien/Adobe/Help
Sollten da irgendwelche private INfos drinne stehen, bitte sofortrausmachen, ich seh keine mehr. ICh lass den Scan weiterlaufen, bis C: ganz gescannt wurde, sonst bin ich den ganzen Tag beschäftigt. Auf D: sollte eigentlich nix sein. Malwarebytes muss ich doch erst runteladen und lass es danach laufen.

Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-17 13:02:00
Windows 5.1.2600 Service Pack 3
Running: 2sow37jo.exe; Driver: C:\DOKUME~1\*******\LOKALE~1\Temp\pwlyrpob.sys


---- System - GMER 1.0.15 ----

SSDT            spbs.sys                                                                                                            ZwCreateKey [0xF84150E0]
SSDT            spbs.sys                                                                                                            ZwEnumerateKey [0xF8433CA4]
SSDT            spbs.sys                                                                                                            ZwEnumerateValueKey [0xF8434032]
SSDT            spbs.sys                                                                                                            ZwOpenKey [0xF84150C0]
SSDT            spbs.sys                                                                                                            ZwQueryKey [0xF843410A]
SSDT            spbs.sys                                                                                                            ZwQueryValueKey [0xF8433F8A]
SSDT            spbs.sys                                                                                                            ZwSetValueKey [0xF843419C]

INT 0x35        ?                                                                                                                    82320F00
INT 0x3B        ?                                                                                                                    82320F00
INT 0x3B        ?                                                                                                                    82320F00
INT 0x3E        ?                                                                                                                    823DDBF8
INT 0x3F        ?                                                                                                                    823DDBF8

---- Kernel code sections - GMER 1.0.15 ----

.text          ntoskrnl.exe!_abnormal_termination + 169                                                                            804E27C5 3 Bytes  [3C, 43, F8] {CMP AL, 0x43; CLC }
?              spbs.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !
.text          USBPORT.SYS!DllUnload                                                                                                F7E558AC 5 Bytes  JMP 823204E0
.text          aln89xqi.SYS                                                                                                        F7D57386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text          aln89xqi.SYS                                                                                                        F7D573AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text          aln89xqi.SYS                                                                                                        F7D573C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text          aln89xqi.SYS                                                                                                        F7D573C9 1 Byte  [30]
.text          aln89xqi.SYS                                                                                                        F7D573C9 11 Bytes  [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text          ...                                                                                                                 
.text          C:\WINDOWS\system32\DRIVERS\ithsgt.sys                                                                              section is writeable [0xF423A300, 0x21770, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\SearchIndexer.exe[2916] kernel32.dll!WriteFile                                                  7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                  823732D8
IAT            pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                                [F8446C4C] spbs.sys
IAT            pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                    [F8446CA0] spbs.sys
IAT            atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F8416042] spbs.sys
IAT            atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F841613E] spbs.sys
IAT            atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [F84160C0] spbs.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [F8416800] spbs.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [F84166D6] spbs.sys
IAT            \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                823205E0
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlInitUnicodeString]                                        8800001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!swprintf]                                                    001CB286
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeSetEvent]                                                  C61AEB00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoCreateSymbolicLink]                                        001C8186
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoGetConfigurationInformation]                                86C61200
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoDeleteSymbolicLink]                                        00001C83
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmFreeMappingAddress]                                        8E868801
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoFreeErrorLogEntry]                                          8800001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoDisconnectInterrupt]                                        001CAA86
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmUnmapIoSpace]                                              80968B00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ObReferenceObjectByPointer]                                  8900001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IofCompleteRequest]                                          001C9C96
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlCompareUnicodeString]                                      C6168B00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IofCallDriver]                                                001CB986
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmAllocateMappingAddress]                                    428A0A00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry]                                      BA86880C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoConnectInterrupt]                                          8B00001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoDetachDevice]                                              24A48DFA
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeWaitForSingleObject]                                        00000000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInitializeEvent]                                            4B8BDF8B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeCancelTimer]                                                8D3F0304
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString]                                CB033043
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlInitAnsiString]                                            0673C13B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest]                                C13B0003
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoQueueWorkItem]                                              8366FA72
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmMapIoSpace]                                                75000E7B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations]                                  0B7D80E3
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoReportDetectedDevice]                                      307B8D00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoReportResourceForDetection]                                00AA840F
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize]                                  83660000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!NlsMbCodePageTag]                                            6A000E7A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoRequestPowerIrp]                                            C6647400
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue]                                    001CBB86
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection]                            4F8B0200
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!sprintf]                                                      968D5140
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache]                                00001C90
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ObfDereferenceObject]                                        2266E852
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference]                                478B0000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoInvalidateDeviceState]                                      50016A40
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwClose]                                                      1CAC8E8D
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ObReferenceObjectByHandle]                                    E8510000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwCreateDirectoryObject]                                      00002254
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest]                                6A18538B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoStartNextPowerIrp]                                          868D5200
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoCreateDevice]                                              00001C98
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlCopyUnicodeString]                                        2242E850
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension]                              4B8B0000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlQueryRegistryValues]                                      51016A18
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwOpenKey]                                                    1CB4968D
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlFreeUnicodeString]                                        E8520000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoStartTimer]                                                00002230
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInitializeTimer]                                            8A05478A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoInitializeTimer]                                            001CBB8E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInitializeDpc]                                              30C48300
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInitializeSpinLock]                                        1CBD8688
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoInitializeIrp]                                              80E90000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwCreateKey]                                                  C6000000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString]                              001CBB86
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString]                                    438B0100
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwSetValueKey]                                                8E8D5018
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInsertQueueDpc]                                            00001C90
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel]                                2202E851
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoStartPacket]                                                538B0000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel]                              52016A18
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest]                                1CAC868D
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoFreeMdl]                                                    E8500000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmUnlockPages]                                                000021F0
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoWriteErrorLogEntry]                                        8A05478A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue]                                    001CBB8E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping]                          18C48300
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmUnmapReservedMapping]                                      1CBD8688
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeSynchronizeExecution]                                      43EB0000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoStartNextPacket]                                            320C538A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeBugCheckEx]                                                88F93BC0
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeRemoveDeviceQueue]                                          001CBB96
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeSetTimer]                                                  F6317300
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!_allmul]                                                      74070647
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmProbeAndLockPages]                                          75C0841A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!_except_handler3]                                            05578A0B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoSetPowerState]                                              968801B0
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey]                                      00001CBD
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlWriteRegistryValue]                                        57B60F66
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlDeleteRegistryValue]                                      533B6604
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!_aulldiv]                                                    03087408
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!strstr]                                                      72F93B3F
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!_strupr]                                                      8A09EBDA
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeQuerySystemTime]                                            86880547
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoWMIRegistrationControl]                                    00001CBD
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeTickCount]                                                  88084B8A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                  001CBE8E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoDeleteDevice]                                              40578B00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ExAllocatePoolWithTag]                                        8D52006A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateWorkItem]                                          001CC086
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateIrp]                                                81E85000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateMdl]                                                8B000021
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool]                                    001CB88E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmLockPagableDataSection]                                    BC968B00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoGetDriverObjectExtension]                                  8900001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmUnlockPagableImageSection]                                  001CC48E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ExFreePoolWithTag]                                            C8968900
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoFreeIrp]                                                    8B00001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoFreeWorkItem]                                              016A4047
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!InitSafeBootMode]                                            CCC68150
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlCompareMemory]                                            5600001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoCallDriver]                                                002157E8
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!memmove]                                                      18C48300
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmHighestUserAddress]                                        5D5B5E5F
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KfAcquireSpinLock]                                                18C4830E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!READ_PORT_UCHAR]                                                  1C8D9E88
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KeGetCurrentIrql]                                                  9E880000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KfRaiseIrql]                                                      00001CA9
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KfLowerIrql]                                                      0E798366
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!HalGetInterruptVector]                                            74AAB000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!HalTranslateBusAddress]                                            8186C636
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KeStallExecutionProcessor]                                        1A00001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KfReleaseSpinLock]                                                1C8386C6
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          C6020000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!READ_PORT_USHORT]                                                  001C8E86
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          86C60200
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  00001CAA
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[WMILIB.SYS!WmiSystemControl]                                              8800001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[WMILIB.SYS!WmiCompleteRequest]                                            001CB19E
IAT            \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                  [F8425E9C] spbs.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              823DC1F8

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\NetBT \Device\NetBT_Tcpip_{92EE32A3-A687-4D96-8059-DBC371567993}                                            820461F8
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                    82288500
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            823711F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                              823711F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                823711F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                823711F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    82288500
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                    82288500
Device          \Driver\usbehci \Device\USBPDO-3                                                                                    823241F8

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\PCI_PNP1536 \Device\00000056                                                                                spbs.sys
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                              823DE1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                              823DE1F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                        8225E1F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                        8225E1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                                                                        [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                                                                        sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                  [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                  sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                                                                          [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\Cdrom \Device\CdRom2                                                                                        8225E1F8
Device          \Driver\sptd \Device\3801792688                                                                                      spbs.sys
Device          \Driver\NetBT \Device\NetBT_Tcpip_{128E2EAD-5371-430F-A8BC-44067AF51979}                                            820461F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              820461F8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                    820461F8

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                            avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                          avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    82288500
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    82288500
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    820441F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                    82288500
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          820441F8
Device          \Driver\usbehci \Device\USBFDO-3                                                                                    823241F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                    823DE1F8
Device          \Driver\aln89xqi \Device\Scsi\aln89xqi1                                                                              8223C500
Device          \Driver\aln89xqi \Device\Scsi\aln89xqi1                                                                              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\aln89xqi \Device\Scsi\aln89xqi1Port2Path0Target0Lun0                                                        8223C500
Device          \Driver\aln89xqi \Device\Scsi\aln89xqi1Port2Path0Target0Lun0                                                        sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\Fastfat \Fat                                                                                            81FE0500
Device          \FileSystem\Fastfat \Fat                                                                                            F282A297

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                              81FEE500

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  2
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                  D:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0xBF 0x05 0x3D 0xA9 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                      0xB2 0xAD 0x3D 0x7F ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0xCF 0x2C 0xDE 0x1D ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0x3C 0x64 0x4E 0x07 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0xF6 0x8D 0xAF 0xE1 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x2E 0xFA 0xED 0xA4 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x3C 0x64 0x4E 0x07 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0xF6 0x8D 0xAF 0xE1 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xC9 0x58 0x5A 0x16 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      D:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      1
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0xBF 0x05 0x3D 0xA9 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0xB2 0xAD 0x3D 0x7F ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0xCF 0x2C 0xDE 0x1D ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x3C 0x64 0x4E 0x07 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0xF6 0x8D 0xAF 0xE1 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x2E 0xFA 0xED 0xA4 ...

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\MSS0A033.log    131072 bytes

cosinus 17.02.2010 17:15
Zitat:
---- System - GMER 1.0.15 ----

SSDT spbs.sys
Diese spbs.sys macht mir Sorgen. Wenn Malwarebytes durch ist, schau mal danach bitte wieder mit PartedMagic nach, ob Du diese Datei findest. Wenn ja, wird sie wohl wieder in system32/drivers sein. Wenn Du sie hast, benenn sie in spbs.bad um und werte sie wieder bei Virustotal aus.

Someonelse 17.02.2010 17:46
Thx (jetzt ist gerade GMER durch) ich brauch ncoh nen ersatz von spbs, ich schau mal ob ich bei google was sicheres find. [edit] Gibt nix bei Google, brauch ich den Treiber zum Booten oder ist er unnötig oder was? Ich benenn es jetzt einfach mal um, wenn nich kann ichs ja immer noch rückgängig machen bzw. ins internet mit ubuntu

Danach benutz ich mal dieses tool: http://www.trojaner-board.de/82358-t...entfernen.html

Oder ist es nicht nötig, wenn wir uns schon manuell drum kümmern?

hier das komplette Logfile, es nur ein eintrag hinzugekommen
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-17 17:41:27
Windows 5.1.2600 Service Pack 3
Running: 2sow37jo.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pwlyrpob.sys


---- System - GMER 1.0.15 ----

SSDT            spbs.sys                                                                                                            ZwCreateKey [0xF84150E0]
SSDT            spbs.sys                                                                                                            ZwEnumerateKey [0xF8433CA4]
SSDT            spbs.sys                                                                                                            ZwEnumerateValueKey [0xF8434032]
SSDT            spbs.sys                                                                                                            ZwOpenKey [0xF84150C0]
SSDT            spbs.sys                                                                                                            ZwQueryKey [0xF843410A]
SSDT            spbs.sys                                                                                                            ZwQueryValueKey [0xF8433F8A]
SSDT            spbs.sys                                                                                                            ZwSetValueKey [0xF843419C]

INT 0x35        ?                                                                                                                    82320F00
INT 0x3B        ?                                                                                                                    82320F00
INT 0x3B        ?                                                                                                                    82320F00
INT 0x3E        ?                                                                                                                    823DDBF8
INT 0x3F        ?                                                                                                                    823DDBF8

---- Kernel code sections - GMER 1.0.15 ----

.text          ntoskrnl.exe!_abnormal_termination + 169                                                                            804E27C5 3 Bytes  [3C, 43, F8] {CMP AL, 0x43; CLC }
?              spbs.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !
.text          USBPORT.SYS!DllUnload                                                                                                F7E558AC 5 Bytes  JMP 823204E0
.text          aln89xqi.SYS                                                                                                        F7D57386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text          aln89xqi.SYS                                                                                                        F7D573AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text          aln89xqi.SYS                                                                                                        F7D573C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text          aln89xqi.SYS                                                                                                        F7D573C9 1 Byte  [30]
.text          aln89xqi.SYS                                                                                                        F7D573C9 11 Bytes  [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text          ...                                                                                                                 
.text          C:\WINDOWS\system32\DRIVERS\ithsgt.sys                                                                              section is writeable [0xF423A300, 0x21770, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\SearchIndexer.exe[2916] kernel32.dll!WriteFile                                                  7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                  823732D8
IAT            pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                                [F8446C4C] spbs.sys
IAT            pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                    [F8446CA0] spbs.sys
IAT            atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F8416042] spbs.sys
IAT            atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F841613E] spbs.sys
IAT            atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [F84160C0] spbs.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [F8416800] spbs.sys
IAT            atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [F84166D6] spbs.sys
IAT            \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                823205E0
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlInitUnicodeString]                                        8800001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!swprintf]                                                    001CB286
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeSetEvent]                                                  C61AEB00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoCreateSymbolicLink]                                        001C8186
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoGetConfigurationInformation]                                86C61200
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoDeleteSymbolicLink]                                        00001C83
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmFreeMappingAddress]                                        8E868801
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoFreeErrorLogEntry]                                          8800001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoDisconnectInterrupt]                                        001CAA86
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmUnmapIoSpace]                                              80968B00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ObReferenceObjectByPointer]                                  8900001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IofCompleteRequest]                                          001C9C96
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlCompareUnicodeString]                                      C6168B00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IofCallDriver]                                                001CB986
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmAllocateMappingAddress]                                    428A0A00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry]                                      BA86880C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoConnectInterrupt]                                          8B00001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoDetachDevice]                                              24A48DFA
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeWaitForSingleObject]                                        00000000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInitializeEvent]                                            4B8BDF8B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeCancelTimer]                                                8D3F0304
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString]                                CB033043
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlInitAnsiString]                                            0673C13B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest]                                C13B0003
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoQueueWorkItem]                                              8366FA72
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmMapIoSpace]                                                75000E7B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations]                                  0B7D80E3
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoReportDetectedDevice]                                      307B8D00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoReportResourceForDetection]                                00AA840F
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize]                                  83660000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!NlsMbCodePageTag]                                            6A000E7A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoRequestPowerIrp]                                            C6647400
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue]                                    001CBB86
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection]                            4F8B0200
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!sprintf]                                                      968D5140
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache]                                00001C90
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ObfDereferenceObject]                                        2266E852
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference]                                478B0000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoInvalidateDeviceState]                                      50016A40
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwClose]                                                      1CAC8E8D
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ObReferenceObjectByHandle]                                    E8510000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwCreateDirectoryObject]                                      00002254
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest]                                6A18538B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoStartNextPowerIrp]                                          868D5200
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoCreateDevice]                                              00001C98
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlCopyUnicodeString]                                        2242E850
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension]                              4B8B0000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlQueryRegistryValues]                                      51016A18
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwOpenKey]                                                    1CB4968D
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlFreeUnicodeString]                                        E8520000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoStartTimer]                                                00002230
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInitializeTimer]                                            8A05478A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoInitializeTimer]                                            001CBB8E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInitializeDpc]                                              30C48300
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInitializeSpinLock]                                        1CBD8688
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoInitializeIrp]                                              80E90000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwCreateKey]                                                  C6000000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString]                              001CBB86
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString]                                    438B0100
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ZwSetValueKey]                                                8E8D5018
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeInsertQueueDpc]                                            00001C90
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel]                                2202E851
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoStartPacket]                                                538B0000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel]                              52016A18
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest]                                1CAC868D
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoFreeMdl]                                                    E8500000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmUnlockPages]                                                000021F0
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoWriteErrorLogEntry]                                        8A05478A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue]                                    001CBB8E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping]                          18C48300
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmUnmapReservedMapping]                                      1CBD8688
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeSynchronizeExecution]                                      43EB0000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoStartNextPacket]                                            320C538A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeBugCheckEx]                                                88F93BC0
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeRemoveDeviceQueue]                                          001CBB96
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeSetTimer]                                                  F6317300
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!_allmul]                                                      74070647
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmProbeAndLockPages]                                          75C0841A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!_except_handler3]                                            05578A0B
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoSetPowerState]                                              968801B0
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey]                                      00001CBD
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlWriteRegistryValue]                                        57B60F66
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlDeleteRegistryValue]                                      533B6604
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!_aulldiv]                                                    03087408
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!strstr]                                                      72F93B3F
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!_strupr]                                                      8A09EBDA
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeQuerySystemTime]                                            86880547
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoWMIRegistrationControl]                                    00001CBD
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!KeTickCount]                                                  88084B8A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                  001CBE8E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoDeleteDevice]                                              40578B00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ExAllocatePoolWithTag]                                        8D52006A
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateWorkItem]                                          001CC086
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateIrp]                                                81E85000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoAllocateMdl]                                                8B000021
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool]                                    001CB88E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmLockPagableDataSection]                                    BC968B00
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoGetDriverObjectExtension]                                  8900001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmUnlockPagableImageSection]                                  001CC48E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!ExFreePoolWithTag]                                            C8968900
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoFreeIrp]                                                    8B00001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!IoFreeWorkItem]                                              016A4047
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!InitSafeBootMode]                                            CCC68150
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!RtlCompareMemory]                                            5600001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!PoCallDriver]                                                002157E8
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!memmove]                                                      18C48300
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[ntoskrnl.exe!MmHighestUserAddress]                                        5D5B5E5F
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KfAcquireSpinLock]                                                18C4830E
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!READ_PORT_UCHAR]                                                  1C8D9E88
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KeGetCurrentIrql]                                                  9E880000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KfRaiseIrql]                                                      00001CA9
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KfLowerIrql]                                                      0E798366
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!HalGetInterruptVector]                                            74AAB000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!HalTranslateBusAddress]                                            8186C636
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KeStallExecutionProcessor]                                        1A00001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!KfReleaseSpinLock]                                                1C8386C6
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          C6020000
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!READ_PORT_USHORT]                                                  001C8E86
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                          86C60200
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                  00001CAA
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[WMILIB.SYS!WmiSystemControl]                                              8800001C
IAT            \SystemRoot\System32\Drivers\aln89xqi.SYS[WMILIB.SYS!WmiCompleteRequest]                                            001CB19E
IAT            \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                  [F8425E9C] spbs.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              823DC1F8

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\NetBT \Device\NetBT_Tcpip_{92EE32A3-A687-4D96-8059-DBC371567993}                                            820461F8
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                    82288500
Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            823711F8
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                              823711F8
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                823711F8
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                823711F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    82288500
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                    82288500
Device          \Driver\usbehci \Device\USBPDO-3                                                                                    823241F8

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\PCI_PNP1536 \Device\00000056                                                                                spbs.sys
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                              823DE1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                              823DE1F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                        8225E1F8
Device          \Driver\Cdrom \Device\CdRom1                                                                                        8225E1F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                                                                        [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                                                                        sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                  [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                  sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                                                                          [F8368B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\Cdrom \Device\CdRom2                                                                                        8225E1F8
Device          \Driver\sptd \Device\3801792688                                                                                      spbs.sys
Device          \Driver\NetBT \Device\NetBT_Tcpip_{128E2EAD-5371-430F-A8BC-44067AF51979}                                            820461F8
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              820461F8
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                    820461F8

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                            avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                          avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    82288500
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    82288500
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    820441F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                    82288500
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          820441F8
Device          \Driver\usbehci \Device\USBFDO-3                                                                                    823241F8
Device          \Driver\Ftdisk \Device\FtControl                                                                                    823DE1F8
Device          \Driver\aln89xqi \Device\Scsi\aln89xqi1                                                                              8223C500
Device          \Driver\aln89xqi \Device\Scsi\aln89xqi1                                                                              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\aln89xqi \Device\Scsi\aln89xqi1Port2Path0Target0Lun0                                                        8223C500
Device          \Driver\aln89xqi \Device\Scsi\aln89xqi1Port2Path0Target0Lun0                                                        sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\Fastfat \Fat                                                                                            81FE0500
Device          \FileSystem\Fastfat \Fat                                                                                            F282A297

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                              81FEE500

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  2
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                  D:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0xBF 0x05 0x3D 0xA9 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                      0xB2 0xAD 0x3D 0x7F ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0xCF 0x2C 0xDE 0x1D ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                   
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0x3C 0x64 0x4E 0x07 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                           
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0xF6 0x8D 0xAF 0xE1 ...
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x2E 0xFA 0xED 0xA4 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x3C 0x64 0x4E 0x07 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0xF6 0x8D 0xAF 0xE1 ...
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xC9 0x58 0x5A 0x16 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                      D:\Programme\DAEMON Tools Lite\
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                      1
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0xBF 0x05 0x3D 0xA9 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                          0xB2 0xAD 0x3D 0x7F ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0xCF 0x2C 0xDE 0x1D ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0x3C 0x64 0x4E 0x07 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0xF6 0x8D 0xAF 0xE1 ...
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg            HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x2E 0xFA 0xED 0xA4 ...

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Search\Data\Applications\Windows\MSS0A033.log    131072 bytes
File            C:\WINDOWS\Temp\85eb7a3c-96d4-4a2e-be26-d77d50b74ed0.tmp                                                            (size mismatch) 1530880/0 bytes executable

---- EOF - GMER 1.0.15 ----

cosinus 17.02.2010 17:50
Das TDSS-Rootkit dürfte weg (da wir die atapi.sys unter Linux zurückkopiert hatten) - mach nochmal das bitte mit der spbs.sys. Die Datei musst Du nicht ersetzen, nur unter Ubuntu umbenennen in spbs.bad

Someonelse 17.02.2010 18:34
Hmm, da ist kein spbs
Die suchfkt. von ubuntu findet sie au net... ich such mal weiter

Someonelse 17.02.2010 18:47
Also hab mal n paar andere dateien, die erwähnt werden mit virustotal gescannt
usbport.sys kein ergebnis Virustotal. MD5: 791912e524cc2cc6f50b5f2b52d1eb71
ithsgt.sys trojan.generic Virustotal. MD5: b7a5fadf67136fda7e8f25303565b674 W32/Vundo.FTH Trojan.Win32.Generic.51F4B2C3
laut esafe ist die atapi.sys von dir auch infiziert Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit
pci.sys kein fund Virustotal. MD5: 387e8dedc343aa2d1efbc30580273acd

[edit] bei nem Typ in einem tschechischen Forum ist spds.sys in system32/drivers/. bei mir nicht was nun?
http://www.pc-help.cz/viewtopic.php?...45976&p=317295
[edit2] Ich kehr mal ins Windows zurück und warte auf meinem stuhl kauernd auf eine Antwort




Oder ich lass mal malwarebytes laufen....

cosinus 17.02.2010 19:11
usbport.sys und pci.sys: Diese Dateien sind legitim.

ithsgt.sys: Könnte zu einem Spiel gehören, ich seh da auch zB den Kopierschutztreiber von Starforce bei Dir im GMER-Log, wird fast immer von Spielen mit installiert...
Hast Du vllt Fahrenheit installiert? :confused:

atapi.sys: Die Datei ist sauber, dieselbe Datei (lt. Prüfsumme!) ist auch auf meinem Rechner, Du hast sie ja auch von mir und nach system32\drivers unter Linux hinkopiert ;)

Zur spbs.sys: Ich vermute, die gehört auch zum Kopierschutztreiber, ich werd mal intern nachfragen, ob das jmd. bestätigen oder andere sachdienliche Hinweise geben kann ;)

Someonelse 17.02.2010 19:18
Gut geraten mit Fahrenheit :daumenhoc

Auf deutsch: Irgendein Spiel hat mir den Scheiß verursacht!?
dann lösch ich mal ithsgt Fahrenheit hab ich durchgezockt und der Kopierschutz bringt mir daher au nix

[edit] BTW: Hab noch ein Atari Spiel, nämlich Crashday

[edit2]Malwarebytes läuft jetzt seit fünf Minuten, sollte es was finden, sollte ich das dann auf jeden fall löschen oder lieber nicht, wenns es ne sytem datei sein könnte?

[edit3] Das ist die Auswertung von drvsetup.exe im fahrenheit ordner http://www.virustotal.com/de/analisi...b11-1266432073 was nun?


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:10 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131