- #1
M
Matjes
Bekanntes Mitglied
Themenersteller
- Dabei seit
- 22.08.2001
- Beiträge
- 2.308
- Reaktionspunkte
- 0
Hallo,
jetzt hat es mich auch mal erwischt.
Von Nirsoft habe ich Driverview benutzt. Dabei ist folgende Zeile aufgetaucht:
also ein Treiber ohne Treiberdatei, denn der angegebene Treiber existiert nicht.
Der Name spgk.sys variiert von Tag zu Tag: gestern hiess er noch spdj.sys oder SPTD.sys.
Also da hat sich was eingeschlichen.
Was kann ich tun, um wieder ein sauberes System zu bekommen - ausser komplett neu aufsetzen?
Gruß Matjes
GMER meldete gestern:
Avira AntiRootkit Tool:
Avira AntiVir Personal:
jetzt hat es mich auch mal erwischt.
Von Nirsoft habe ich Driverview benutzt. Dabei ist folgende Zeile aufgetaucht:
Code:
spgk.sys 0xb7ea6000 Unbekannt N/A N/A C:\WINDOWS\system32\drivers\spgk.sys
Der Name spgk.sys variiert von Tag zu Tag: gestern hiess er noch spdj.sys oder SPTD.sys.
Also da hat sich was eingeschlichen.
Was kann ich tun, um wieder ein sauberes System zu bekommen - ausser komplett neu aufsetzen?
Gruß Matjes
GMER meldete gestern:
Code:
GMER 1.0.15.15125 - [url]http://www.gmer.net[/url]
Rootkit scan 2009-10-07 18:31:21
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Matjes\LOKALE~1\Temp\pwtdqpog.sys
---- System - GMER 1.0.15 ----
SSDT spdj.sys ZwCreateKey [0xB7EA70E0]
SSDT spdj.sys ZwEnumerateKey [0xB7EC5DA4]
SSDT spdj.sys ZwEnumerateValueKey [0xB7EC6132]
SSDT spdj.sys ZwOpenKey [0xB7EA70C0]
SSDT spdj.sys ZwQueryKey [0xB7EC620A]
SSDT spdj.sys ZwQueryValueKey [0xB7EC608A]
SSDT spdj.sys ZwSetValueKey [0xB7EC629C]
INT 0x63 ? 89D04BF8
INT 0x83 ? 89DCFBF8
INT 0x83 ? 89DCFBF8
INT 0x83 ? 89D04BF8
INT 0x83 ? 89DCFBF8
---- Kernel code sections - GMER 1.0.15 ----
? spdj.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B7C6C8AC 5 Bytes JMP 89D041D8
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\SearchIndexer.exe[684] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EA8042] spdj.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EA813E] spdj.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EA80C0] spdj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EA8800] spdj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EA86D6] spdj.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7EB7E9C] spdj.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 89DCE1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{380901FF-20B9-48D6-A20E-569EEB7FD67D} 894101F8
Device \Driver\usbohci \Device\USBPDO-0 89D3C1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89D5E1F8
Device \Driver\dmio \Device\DmControl\DmConfig 89D5E1F8
Device \Driver\dmio \Device\DmControl\DmPnP 89D5E1F8
Device \Driver\dmio \Device\DmControl\DmInfo 89D5E1F8
Device \Driver\usbehci \Device\USBPDO-1 89D281F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89DD01F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89DD01F8
Device \Driver\Cdrom \Device\CdRom0 89CBE500
Device \Driver\Ftdisk \Device\HarddiskVolume3 89DD01F8
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-11 [B7DFAB40] atapi.sys[unknown section]
Device \Driver\atapi \Device\Ide\IdePort0 [B7DFAB40] atapi.sys[unknown section]
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-5 [B7DFAB40] atapi.sys[unknown section]
Device \Driver\atapi \Device\Ide\IdePort1 [B7DFAB40] atapi.sys[unknown section]
Device \Driver\atapi \Device\Ide\IdePort2 [B7DFAB40] atapi.sys[unknown section]
Device \Driver\atapi \Device\Ide\IdePort3 [B7DFAB40] atapi.sys[unknown section]
Device \Driver\atapi \Device\Ide\IdeDeviceP3T1L0-19 [B7DFAB40] atapi.sys[unknown section]
Device \Driver\Ftdisk \Device\HarddiskVolume4 89DD01F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{0BF5EBCA-41E6-4B2D-90A3-698965F6EA1E} 894101F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 894101F8
Device \Driver\NetBT \Device\NetbiosSmb 894101F8
Device \Driver\usbohci \Device\USBFDO-0 89D3C1F8
Device \Driver\usbehci \Device\USBFDO-1 89D281F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89408500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89408500
Device \Driver\Ftdisk \Device\FtControl 89DD01F8
Device \FileSystem\Cdfs \Cdfs 893AC1F8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x16 0x4D 0x1D 0xFF ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x16 0x4D 0x1D 0xFF ...
---- EOF - GMER 1.0.15 ----
Avira AntiRootkit Tool:
Code:
Avira AntiRootkit Tool (1.1.0.1)
========================================================================================================
- Scan started Mittwoch, 7. Oktober 2009 - 19:24:44
========================================================================================================
--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 29.29 GB
- Working disk free size : 18.63 GB (63 %)
--------------------------------------------------------------------------------------------------------
Results:
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677}_
Hidden value : HKEY_LOCAL_MACHINE\Software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677} -> fr
Hidden value : HKEY_LOCAL_MACHINE\Software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677} -> lr
--------------------------------------------------------------------------------------------------------
Files: 0/64326
Registry items: 3/483550
Processes: 0/36
Scan time: 00:01:32
--------------------------------------------------------------------------------------------------------
Active processes:
- mlhwlbef.exe (PID 2264) (Avira AntiRootkit Tool)
- System (PID 4)
- smss.exe (PID 452)
- csrss.exe (PID 852)
- winlogon.exe (PID 876)
- services.exe (PID 920)
- lsass.exe (PID 932)
- nvsvc32.exe (PID 1080)
- svchost.exe (PID 1132)
- svchost.exe (PID 1204)
- svchost.exe (PID 1244)
- svchost.exe (PID 1392)
- svchost.exe (PID 1448)
- spoolsv.exe (PID 1716)
- svchost.exe (PID 1784)
- jqs.exe (PID 1840)
- MDM.EXE (PID 1908)
- sqlservr.exe (PID 1984)
- explorer.exe (PID 244)
- sqlwriter.exe (PID 608)
- searchindexer.exe (PID 684)
- ClamTray.exe (PID 820)
- TeaTimer.exe (PID 1608)
- fdm.exe (PID 188)
- MailCheck.exe (PID 332)
- Proxomitron.exe (PID 344)
- Wifiusb.exe (PID 420)
- wmiprvse.exe (PID 832)
- alg.exe (PID 2304)
- sched.exe (PID 1896)
- avgnt.exe (PID 3984)
- avcenter.exe (PID 3020)
- avcenter.exe (PID 2628)
- avscan.exe (PID 2280)
- xplorer2_lite.exe (PID 616)
- avirarkd.exe (PID 3736)
========================================================================================================
- Scan finished Mittwoch, 7. Oktober 2009 - 19:26:16
========================================================================================================
Avira AntiVir Personal:
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 7. Oktober 2009 21:37
Es wird nach 1562564 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KOEXP2B
Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF : 7.1.4.253 1779200 Bytes 19.07.2009 21:08:01
ANTIVIR3.VDF : 7.1.5.19 139776 Bytes 23.07.2009 06:36:13
Engineversion : 8.2.0.228
AEVDF.DLL : 8.1.1.1 106868 Bytes 28.07.2009 12:17:15
AESCRIPT.DLL : 8.1.2.18 442746 Bytes 23.07.2009 08:59:39
AESCN.DLL : 8.1.2.4 127348 Bytes 23.07.2009 08:59:39
AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 08:59:39
AEPACK.DLL : 8.1.3.18 401783 Bytes 28.07.2009 12:17:14
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL : 8.1.0.143 1864055 Bytes 23.07.2009 08:59:39
AEHELP.DLL : 8.1.5.3 233846 Bytes 23.07.2009 08:59:39
AEGEN.DLL : 8.1.1.50 352629 Bytes 23.07.2009 08:59:39
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 23.07.2009 08:59:39
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Mittwoch, 7. Oktober 2009 21:37
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden->27857' Objekte überprüft,->0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess->avscan.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->avcenter.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->searchindexer.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->avgnt.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->sched.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->alg.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->wmiprvse.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->Wifiusb.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->Proxomitron.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->MailCheck.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->fdm.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->TeaTimer.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->ClamTray.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->sqlwriter.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->explorer.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->sqlservr.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->MDM.EXE' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->jqs.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->spoolsv.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->nvsvc32.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->lsass.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->services.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->winlogon.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->csrss.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->smss.exe' -->1' Modul(e) wurden durchsucht
Es wurden->31' Prozesse mit->31' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor->C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor->D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor->E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor->F:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht (->61' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in->C:\' <D1_1>
C:\WINDOWS\system32\drivers\SPTD.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in->D:\' <D0_1>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in->E:\' <D1_2>
Beginne mit der Suche in->F:\' <D0_2>
Ende des Suchlaufs: Mittwoch, 7. Oktober 2009 23:25
Benötigte Zeit: 1:48:49 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
8060 Verzeichnisse wurden überprüft
1107420 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
1107418 Dateien ohne Befall
22344 Archive wurden durchsucht
2 Warnungen
1 Hinweise
27857 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden