Treiber spgk.sys, der keiner ist

Matjes · 08.10.2009

Hallo,

jetzt hat es mich auch mal erwischt.

Von Nirsoft habe ich Driverview benutzt. Dabei ist folgende Zeile aufgetaucht:

Code:

spgk.sys 0xb7ea6000	 Unbekannt N/A N/A C:\WINDOWS\system32\drivers\spgk.sys

also ein Treiber ohne Treiberdatei, denn der angegebene Treiber existiert nicht.

Der Name spgk.sys variiert von Tag zu Tag: gestern hiess er noch spdj.sys oder SPTD.sys.

Also da hat sich was eingeschlichen.

Was kann ich tun, um wieder ein sauberes System zu bekommen - ausser komplett neu aufsetzen?

Gruß Matjes

GMER meldete gestern:

Code:

GMER 1.0.15.15125 - [url]http://www.gmer.net[/url]
Rootkit scan 2009-10-07 18:31:21
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Matjes\LOKALE~1\Temp\pwtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT   spdj.sys                                               ZwCreateKey [0xB7EA70E0]
SSDT   spdj.sys                                               ZwEnumerateKey [0xB7EC5DA4]
SSDT   spdj.sys                                               ZwEnumerateValueKey [0xB7EC6132]
SSDT   spdj.sys                                               ZwOpenKey [0xB7EA70C0]
SSDT   spdj.sys                                               ZwQueryKey [0xB7EC620A]
SSDT   spdj.sys                                               ZwQueryValueKey [0xB7EC608A]
SSDT   spdj.sys                                               ZwSetValueKey [0xB7EC629C]

INT 0x63 ?                                                   89D04BF8
INT 0x83 ?                                                   89DCFBF8
INT 0x83 ?                                                   89DCFBF8
INT 0x83 ?                                                   89D04BF8
INT 0x83 ?                                                   89DCFBF8

---- Kernel code sections - GMER 1.0.15 ----

?     spdj.sys                                               Das System kann die angegebene Datei nicht finden. !
.text   USBPORT.SYS!DllUnload                                         B7C6C8AC 5 Bytes JMP 89D041D8 

---- User code sections - GMER 1.0.15 ----

.text   C:\WINDOWS\system32\SearchIndexer.exe[684] kernel32.dll!WriteFile                   7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT    atapi.sys[HAL.dll!READ_PORT_UCHAR]                                  [B7EA8042] spdj.sys
IAT    atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                              [B7EA813E] spdj.sys
IAT    atapi.sys[HAL.dll!READ_PORT_USHORT]                                  [B7EA80C0] spdj.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                              [B7EA8800] spdj.sys
IAT    atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                  [B7EA86D6] spdj.sys
IAT    \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                  [B7EB7E9C] spdj.sys

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                                        89DCE1F8
Device  \Driver\NetBT \Device\NetBT_Tcpip_{380901FF-20B9-48D6-A20E-569EEB7FD67D}               894101F8
Device  \Driver\usbohci \Device\USBPDO-0                                   89D3C1F8
Device  \Driver\dmio \Device\DmControl\DmIoDaemon                               89D5E1F8
Device  \Driver\dmio \Device\DmControl\DmConfig                                89D5E1F8
Device  \Driver\dmio \Device\DmControl\DmPnP                                 89D5E1F8
Device  \Driver\dmio \Device\DmControl\DmInfo                                 89D5E1F8
Device  \Driver\usbehci \Device\USBPDO-1                                   89D281F8
Device  \Driver\Ftdisk \Device\HarddiskVolume1                                89DD01F8
Device  \Driver\Ftdisk \Device\HarddiskVolume2                                89DD01F8
Device  \Driver\Cdrom \Device\CdRom0                                     89CBE500
Device  \Driver\Ftdisk \Device\HarddiskVolume3                                89DD01F8
Device  \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-11                             [B7DFAB40] atapi.sys[unknown section]
Device  \Driver\atapi \Device\Ide\IdePort0                                  [B7DFAB40] atapi.sys[unknown section]
Device  \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-5                              [B7DFAB40] atapi.sys[unknown section]
Device  \Driver\atapi \Device\Ide\IdePort1                                  [B7DFAB40] atapi.sys[unknown section]
Device  \Driver\atapi \Device\Ide\IdePort2                                  [B7DFAB40] atapi.sys[unknown section]
Device  \Driver\atapi \Device\Ide\IdePort3                                  [B7DFAB40] atapi.sys[unknown section]
Device  \Driver\atapi \Device\Ide\IdeDeviceP3T1L0-19                             [B7DFAB40] atapi.sys[unknown section]
Device  \Driver\Ftdisk \Device\HarddiskVolume4                                89DD01F8
Device  \Driver\NetBT \Device\NetBT_Tcpip_{0BF5EBCA-41E6-4B2D-90A3-698965F6EA1E}               894101F8
Device  \Driver\NetBT \Device\NetBt_Wins_Export                                894101F8
Device  \Driver\NetBT \Device\NetbiosSmb                                   894101F8
Device  \Driver\usbohci \Device\USBFDO-0                                   89D3C1F8
Device  \Driver\usbehci \Device\USBFDO-1                                   89D281F8
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                           89408500
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                              89408500
Device  \Driver\Ftdisk \Device\FtControl                                   89DD01F8
Device  \FileSystem\Cdfs \Cdfs                                        893AC1F8

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                          771343423
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                          285507792
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                          1
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC           
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0          0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12        0x16 0x4D 0x1D 0xFF ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) 
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0            0
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12          0x16 0x4D 0x1D 0xFF ...

---- EOF - GMER 1.0.15 ----

Avira AntiRootkit Tool:

Code:

Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
 - Scan started Mittwoch, 7. Oktober 2009 - 19:24:44
========================================================================================================

--------------------------------------------------------------------------------------------------------
  Configuration:
--------------------------------------------------------------------------------------------------------
 - [X] Scan files
 - [X] Scan registry
 - [X] Scan processes
 - [ ] Fast scan
 - Working disk total size : 29.29 GB
 - Working disk free size : 18.63 GB (63 %)
--------------------------------------------------------------------------------------------------------

Results:
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677}_
Hidden value : HKEY_LOCAL_MACHINE\Software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677} -> fr
Hidden value : HKEY_LOCAL_MACHINE\Software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677} -> lr

--------------------------------------------------------------------------------------------------------
Files: 0/64326
Registry items: 3/483550
Processes: 0/36
Scan time: 00:01:32
--------------------------------------------------------------------------------------------------------
Active processes:
 - mlhwlbef.exe   (PID 2264) (Avira AntiRootkit Tool)
 - System      (PID 4)
 - smss.exe     (PID 452)
 - csrss.exe    (PID 852)
 - winlogon.exe   (PID 876)
 - services.exe   (PID 920)
 - lsass.exe    (PID 932)
 - nvsvc32.exe   (PID 1080)
 - svchost.exe   (PID 1132)
 - svchost.exe   (PID 1204)
 - svchost.exe   (PID 1244)
 - svchost.exe   (PID 1392)
 - svchost.exe   (PID 1448)
 - spoolsv.exe   (PID 1716)
 - svchost.exe   (PID 1784)
 - jqs.exe     (PID 1840)
 - MDM.EXE     (PID 1908)
 - sqlservr.exe   (PID 1984)
 - explorer.exe   (PID 244)
 - sqlwriter.exe  (PID 608)
 - searchindexer.exe (PID 684)
 - ClamTray.exe   (PID 820)
 - TeaTimer.exe   (PID 1608)
 - fdm.exe     (PID 188)
 - MailCheck.exe  (PID 332)
 - Proxomitron.exe (PID 344)
 - Wifiusb.exe   (PID 420)
 - wmiprvse.exe   (PID 832)
 - alg.exe     (PID 2304)
 - sched.exe    (PID 1896)
 - avgnt.exe    (PID 3984)
 - avcenter.exe   (PID 3020)
 - avcenter.exe   (PID 2628)
 - avscan.exe    (PID 2280)
 - xplorer2_lite.exe (PID 616)
 - avirarkd.exe   (PID 3736)
========================================================================================================
 - Scan finished Mittwoch, 7. Oktober 2009 - 19:26:16
========================================================================================================

Avira AntiVir Personal:

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 7. Oktober 2009 21:37

Es wird nach 1562564 Virenstämmen gesucht.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform   : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus   : Normal gebootet
Benutzername  : SYSTEM
Computername  : KOEXP2B

Versionsinformationen:
BUILD.DAT   : 9.0.0.407   17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE   : 9.0.3.7   466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL   : 9.0.3.0    49409 Bytes 13.02.2009 11:04:10
LUKE.DLL    : 9.0.3.2   209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL  : 9.0.2.0    13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF  : 7.1.0.0  15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.4.132  5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF  : 7.1.4.253  1779200 Bytes 19.07.2009 21:08:01
ANTIVIR3.VDF  : 7.1.5.19   139776 Bytes 23.07.2009 06:36:13
Engineversion : 8.2.0.228
AEVDF.DLL   : 8.1.1.1   106868 Bytes 28.07.2009 12:17:15
AESCRIPT.DLL  : 8.1.2.18   442746 Bytes 23.07.2009 08:59:39
AESCN.DLL   : 8.1.2.4   127348 Bytes 23.07.2009 08:59:39
AERDL.DLL   : 8.1.2.4   430452 Bytes 23.07.2009 08:59:39
AEPACK.DLL   : 8.1.3.18   401783 Bytes 28.07.2009 12:17:14
AEOFFICE.DLL  : 8.1.0.38   196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL   : 8.1.0.143  1864055 Bytes 23.07.2009 08:59:39
AEHELP.DLL   : 8.1.5.3   233846 Bytes 23.07.2009 08:59:39
AEGEN.DLL   : 8.1.1.50   352629 Bytes 23.07.2009 08:59:39
AEEMU.DLL   : 8.1.0.9   393588 Bytes 09.10.2008 13:32:40
AECORE.DLL   : 8.1.7.6   184694 Bytes 23.07.2009 08:59:39
AEBB.DLL    : 8.1.0.3    53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL  : 9.0.0.3    18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL   : 9.0.0.1    43777 Bytes 03.12.2008 10:39:55
AVREP.DLL   : 8.0.0.3   155905 Bytes 20.01.2009 13:34:28
AVREG.DLL   : 9.0.0.0    36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL   : 9.0.0.3   292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL  : 9.0.0.7   167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL  : 3.6.1.0   326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL  : 9.2.0.25   28417 Bytes 02.02.2009 07:21:28
NETNT.DLL   : 9.0.0.0    11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL  : 9.0.0.25  2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL   : 9.0.37.0   87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 7. Oktober 2009 21:37

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden->27857' Objekte überprüft,->0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess->avscan.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->avcenter.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->searchindexer.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->avgnt.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->sched.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->alg.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->wmiprvse.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->Wifiusb.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->Proxomitron.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->MailCheck.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->fdm.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->TeaTimer.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->ClamTray.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->sqlwriter.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->explorer.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->sqlservr.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->MDM.EXE' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->jqs.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->spoolsv.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->nvsvc32.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->lsass.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->services.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->winlogon.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->csrss.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->smss.exe' -->1' Modul(e) wurden durchsucht
Es wurden->31' Prozesse mit->31' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
  [INFO]   Es wurde kein Virus gefunden!
Masterbootsektor HD1
  [INFO]   Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor->C:\'
  [INFO]   Es wurde kein Virus gefunden!
Bootsektor->D:\'
  [INFO]   Es wurde kein Virus gefunden!
Bootsektor->E:\'
  [INFO]   Es wurde kein Virus gefunden!
Bootsektor->F:\'
  [INFO]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht (->61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in->C:\' &lt;D1_1>
C:\WINDOWS\system32\drivers\SPTD.sys
  [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in->D:\' &lt;D0_1>
D:\pagefile.sys
  [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  [HINWEIS]  Bei dieser Datei handelt es sich um eine Windows Systemdatei.
  [HINWEIS]  Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in->E:\' &lt;D1_2>
Beginne mit der Suche in->F:\' &lt;D0_2>


Ende des Suchlaufs: Mittwoch, 7. Oktober 2009 23:25
Benötigte Zeit: 1:48:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  8060 Verzeichnisse wurden überprüft
 1107420 Dateien wurden geprüft
   0 Viren bzw. unerwünschte Programme wurden gefunden
   0 Dateien wurden als verdächtig eingestuft
   0 Dateien wurden gelöscht
   0 Viren bzw. unerwünschte Programme wurden repariert
   0 Dateien wurden in die Quarantäne verschoben
   0 Dateien wurden umbenannt
   2 Dateien konnten nicht durchsucht werden
 1107418 Dateien ohne Befall
 22344 Archive wurden durchsucht
   2 Warnungen
   1 Hinweise
 27857 Objekte wurden beim Rootkitscan durchsucht
   0 Versteckte Objekte wurden gefunden

schrauber · 08.10.2009

hi,

bitte deinstalliere alles was mit alcohol oder deamon tools zu tun hat, hie rinfos dazu:

http://www.wintotal-forum.de/index.php/topic,69232.0.html

Matjes · 08.10.2009

Hallo,

kein Alcohol und kein Deamon tool. Ich hatte mal MagicDisc (CD-Emulator) installiert.

Noch eine Besonderheit:
in der Registry ist unter HKEY_LOCAL_MACHINE\SOFTWARE\Xanthic ein Schlüssel, den ich nicht einsehen/bearbeiten kann.
Meldung: ... kann nicht geöffnet werden.

Gruß Matjes

schrauber · 08.10.2009

http://www.wintotal-forum.de/index.php/topic,156209.msg784117.html#msg784117

in diesem und dem folgenden post steht beschrieben wie du sptd.sys entfernen kannst, folge den anweisungen und poste ein frisches gmer und avira logfile

kieler · 08.10.2009

Evtl mal versuchen, regedit als Admin auszuführen - oder Rechtsklick auf den Schlüssel/Berechtigungen......
Vorher vorsichtshalber per Export sichern........

Matjes · 08.10.2009

Hallo,

nun sieht es schon anders aus

Was muß ich jetzt noch tun ?

Gruß Matjes

Gmer:

Code:

GMER 1.0.15.15125 - [url]http://www.gmer.net[/url]
Rootkit scan 2009-10-08 19:43:00
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\Matjes\LOKALE~1\Temp\pwtdqpog.sys


---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\SearchIndexer.exe[784] kernel32.dll!WriteFile                        7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3364] USER32.dll!DialogBoxParamW                   7E3747AB 5 Bytes JMP 411951FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3364] USER32.dll!CreateWindowExW                   7E37D0A3 5 Bytes JMP 4126D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3364] USER32.dll!DialogBoxIndirectParamW               7E382072 5 Bytes JMP 41363C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3364] USER32.dll!MessageBoxIndirectA                 7E38A082 5 Bytes JMP 41363B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3364] USER32.dll!DialogBoxParamA                   7E38B144 5 Bytes JMP 41363BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3364] USER32.dll!MessageBoxExW                    7E3A0838 5 Bytes JMP 41363A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3364] USER32.dll!MessageBoxExA                    7E3A085C 5 Bytes JMP 41363A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3364] USER32.dll!DialogBoxIndirectParamA               7E3A6D7D 5 Bytes JMP 41363C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3364] USER32.dll!MessageBoxIndirectW                 7E3B64D5 5 Bytes JMP 41363AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!DialogBoxParamW                   7E3747AB 5 Bytes JMP 411951FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!SetWindowsHookExW                  7E37820F 5 Bytes JMP 41269521 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!CallNextHookEx                   7E37B3C6 5 Bytes JMP 4125CB69 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!CreateWindowExW                   7E37D0A3 5 Bytes JMP 4126D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!UnhookWindowsHookEx                 7E37D5F3 5 Bytes JMP 411D43F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!DialogBoxIndirectParamW               7E382072 5 Bytes JMP 41363C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!MessageBoxIndirectA                 7E38A082 5 Bytes JMP 41363B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!DialogBoxParamA                   7E38B144 5 Bytes JMP 41363BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!MessageBoxExW                    7E3A0838 5 Bytes JMP 41363A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!MessageBoxExA                    7E3A085C 5 Bytes JMP 41363A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!DialogBoxIndirectParamA               7E3A6D7D 5 Bytes JMP 41363C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] USER32.dll!MessageBoxIndirectW                 7E3B64D5 5 Bytes JMP 41363AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] ole32.dll!CoCreateInstance                   774D057E 5 Bytes JMP 4126D408 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3428] ole32.dll!OleLoadFromStream                  774F9C85 5 Bytes JMP 41363F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT  C:\Programme\Internet Explorer\iexplore.exe[3428] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                 
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0               0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12              0x16 0x4D 0x1D 0xFF ...
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)       
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                 0
Reg  HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                0x16 0x4D 0x1D 0xFF ...

---- EOF - GMER 1.0.15 ----

Avira AntiRootkit Tool:

Code:

Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
 - Scan started Donnerstag, 8. Oktober 2009 - 20:27:29
========================================================================================================

--------------------------------------------------------------------------------------------------------
  Configuration:
--------------------------------------------------------------------------------------------------------
 - [X] Scan files
 - [X] Scan registry
 - [X] Scan processes
 - [ ] Fast scan
 - Working disk total size : 29.29 GB
 - Working disk free size : 18.64 GB (63 %)
--------------------------------------------------------------------------------------------------------

Results:
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677}_
Hidden value : HKEY_LOCAL_MACHINE\Software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677} -> fr
Hidden value : HKEY_LOCAL_MACHINE\Software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677} -> lr

--------------------------------------------------------------------------------------------------------
Files: 0/64730
Registry items: 3/483373
Processes: 0/37
Scan time: 00:01:11
--------------------------------------------------------------------------------------------------------
Active processes:
 - akhzhqgs.exe   (PID 3592) (Avira AntiRootkit Tool)
 - System      (PID 4)
 - smss.exe     (PID 440)
 - csrss.exe    (PID 844)
 - winlogon.exe   (PID 868)
 - services.exe   (PID 912)
 - lsass.exe    (PID 924)
 - nvsvc32.exe   (PID 1084)
 - svchost.exe   (PID 1112)
 - svchost.exe   (PID 1160)
 - svchost.exe   (PID 1200)
 - svchost.exe   (PID 1340)
 - svchost.exe   (PID 1372)
 - spoolsv.exe   (PID 1640)
 - svchost.exe   (PID 1752)
 - jqs.exe     (PID 1840)
 - MDM.EXE     (PID 1864)
 - sqlservr.exe   (PID 1920)
 - explorer.exe   (PID 192)
 - sqlwriter.exe  (PID 524)
 - searchindexer.exe (PID 616)
 - ClamTray.exe   (PID 1304)
 - TeaTimer.exe   (PID 1336)
 - fdm.exe     (PID 252)
 - MailCheck.exe  (PID 1820)
 - Proxomitron.exe (PID 1980)
 - Wifiusb.exe   (PID 176)
 - wmiprvse.exe   (PID 500)
 - alg.exe     (PID 2224)
 - xplorer2_lite.exe (PID 2184)
 - iexplore.exe   (PID 2588)
 - iexplore.exe   (PID 2640)
 - sched.exe    (PID 3908)
 - avgnt.exe    (PID 1144)
 - avcenter.exe   (PID 4072)
 - avscan.exe    (PID 484)
 - avirarkd.exe   (PID 2912)
========================================================================================================
 - Scan finished Donnerstag, 8. Oktober 2009 - 20:28:40
========================================================================================================

Avira AntiVir Personal:

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 8. Oktober 2009 20:04

Es wird nach 1562564 Virenstämmen gesucht.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform   : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus   : Normal gebootet
Benutzername  : SYSTEM
Computername  : KOEXP2B

Versionsinformationen:
BUILD.DAT   : 9.0.0.407   17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE   : 9.0.3.7   466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL   : 9.0.3.0    49409 Bytes 13.02.2009 11:04:10
LUKE.DLL    : 9.0.3.2   209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL  : 9.0.2.0    13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF  : 7.1.0.0  15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.4.132  5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF  : 7.1.4.253  1779200 Bytes 19.07.2009 21:08:01
ANTIVIR3.VDF  : 7.1.5.19   139776 Bytes 23.07.2009 06:36:13
Engineversion : 8.2.0.228
AEVDF.DLL   : 8.1.1.1   106868 Bytes 28.07.2009 12:17:15
AESCRIPT.DLL  : 8.1.2.18   442746 Bytes 23.07.2009 08:59:39
AESCN.DLL   : 8.1.2.4   127348 Bytes 23.07.2009 08:59:39
AERDL.DLL   : 8.1.2.4   430452 Bytes 23.07.2009 08:59:39
AEPACK.DLL   : 8.1.3.18   401783 Bytes 28.07.2009 12:17:14
AEOFFICE.DLL  : 8.1.0.38   196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL   : 8.1.0.143  1864055 Bytes 23.07.2009 08:59:39
AEHELP.DLL   : 8.1.5.3   233846 Bytes 23.07.2009 08:59:39
AEGEN.DLL   : 8.1.1.50   352629 Bytes 23.07.2009 08:59:39
AEEMU.DLL   : 8.1.0.9   393588 Bytes 09.10.2008 13:32:40
AECORE.DLL   : 8.1.7.6   184694 Bytes 23.07.2009 08:59:39
AEBB.DLL    : 8.1.0.3    53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL  : 9.0.0.3    18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL   : 9.0.0.1    43777 Bytes 03.12.2008 10:39:55
AVREP.DLL   : 8.0.0.3   155905 Bytes 20.01.2009 13:34:28
AVREG.DLL   : 9.0.0.0    36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL   : 9.0.0.3   292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL  : 9.0.0.7   167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL  : 3.6.1.0   326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL  : 9.2.0.25   28417 Bytes 02.02.2009 07:21:28
NETNT.DLL   : 9.0.0.0    11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL  : 9.0.0.25  2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL   : 9.0.37.0   87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Auszulassende Dateien.................: D:, E:, F:, 

Beginn des Suchlaufs: Donnerstag, 8. Oktober 2009 20:04

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden->28120' Objekte überprüft,->0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess->avscan.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->avcenter.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->avcenter.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->avgnt.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->sched.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->msiexec.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->iexplore.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->iexplore.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->xplorer2_lite.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->alg.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->wmiprvse.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->Wifiusb.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->Proxomitron.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->MailCheck.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->fdm.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->TeaTimer.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->ClamTray.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->searchindexer.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->sqlwriter.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->explorer.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->sqlservr.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->MDM.EXE' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->jqs.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->spoolsv.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->svchost.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->nvsvc32.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->lsass.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->services.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->winlogon.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->csrss.exe' -->1' Modul(e) wurden durchsucht
Durchsuche Prozess->smss.exe' -->1' Modul(e) wurden durchsucht
Es wurden->36' Prozesse mit->36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
  [INFO]   Es wurde kein Virus gefunden!
Masterbootsektor HD1
  [INFO]   Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor->C:\'
  [INFO]   Es wurde kein Virus gefunden!
Bootsektor->D:\'
  [INFO]   Es wurde kein Virus gefunden!
Bootsektor->E:\'
  [INFO]   Es wurde kein Virus gefunden!
Bootsektor->F:\'
  [INFO]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht (->61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in->C:\' &lt;D1_1>
Beginne mit der Suche in->D:\' &lt;D0_1>
D:\pagefile.sys
  [WARNUNG]  Die Datei konnte nicht geöffnet werden!
  [HINWEIS]  Bei dieser Datei handelt es sich um eine Windows Systemdatei.
  [HINWEIS]  Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in->E:\' &lt;D1_2>
Beginne mit der Suche in->F:\' &lt;D0_2>


Ende des Suchlaufs: Donnerstag, 8. Oktober 2009 21:54
Benötigte Zeit: 1:50:00 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  8068 Verzeichnisse wurden überprüft
 1112701 Dateien wurden geprüft
   0 Viren bzw. unerwünschte Programme wurden gefunden
   0 Dateien wurden als verdächtig eingestuft
   0 Dateien wurden gelöscht
   0 Viren bzw. unerwünschte Programme wurden repariert
   0 Dateien wurden in die Quarantäne verschoben
   0 Dateien wurden umbenannt
   1 Dateien konnten nicht durchsucht werden
 1112700 Dateien ohne Befall
 22670 Archive wurden durchsucht
   1 Warnungen
   1 Hinweise
 28120 Objekte wurden beim Rootkitscan durchsucht
   0 Versteckte Objekte wurden gefunden

Code:

in der Registry ist unter HKEY_LOCAL_MACHINE\SOFTWARE\Xanthic ein Schlüssel, den ich nicht einsehen/bearbeiten kann.
Meldung: ... kann nicht geöffnet werden.

schrauber · 08.10.2009

nüx, alles bestens. die controlset-einträge verschwinden von alleine.

in der Registry ist unter HKEY_LOCAL_MACHINE\SOFTWARE\Xanthic ein Schlüssel, den ich nicht einsehen/bearbeiten kann.

hast du eine software mit dem namen installiert?
warum willst du dort reinsehen?

versuch es mal mit rechtsklick/vollzugriff übernehmen.

Matjes · 08.10.2009

Hallo,

hast du eine software mit dem namen installiert?

Nö

versuch es mal mit rechtsklick/vollzugriff übernehmen.

ein Rechtsklick auf den Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677} und -> Berechtigungen ... bringt die Meldung Die Sicherheitseinstellungen können nicht angezeigt werden.
Das ist mir nicht geheuer, da ich im Allgemeinen als Admin zumindestens Zugriff habe.

Den vollen Schlüssel Xanthic löschen geht auch nicht.
Auf Xanthic Vollen Zugriff auf Unterschlüssel übertragen geht auch nicht.

Gruß Matjes

schrauber · 08.10.2009

hxxp://www.malwarebytes.org/RegASSASSIN.zip

lad dir das tool, installier es und benutz es mit vorsicht. damit kannst du die permissions ändern, heißt du bekommst zugriff auf registry schlüssel und kannst sie auch löschen.

Matjes · 08.10.2009

Eingabe: HKEY_LOCAL_MACHINE\SOFTWARE\Xanthic
Haken in Reset registry Keys permissions
Haken in Delete registry key and all subkeys
-> Delete

Antwort
---------------------------
RegASSASSIN
---------------------------
RegASSASSIN could NOT remove the registry key.
---------------------------
OK
---------------------------

Gruß Matjes

schrauber · 09.10.2009

bevor wir den hammer auspacken, das hier

http://technet.microsoft.com/en-us/sysinternals/bb897448.aspx

Matjes · 09.10.2009

Hallo Schrauber,

jetzt hat es geklappt. :1

Vielen, vielen Dank für die Hilfe

Matjes

Treiber spgk.sys, der keiner ist

Matjes

schrauber

Matjes

schrauber

kieler

Matjes

schrauber

Matjes

schrauber

Matjes

schrauber

Matjes

Treiber spgk.sys, der keiner ist

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums