Laufend werden Dialer und ZEugs gefunden und ich kriegse nimma weg

#16 der rechner muesste wieder i.o. sein - der rootkit und der vom virus erstellte Dienst sind geloescht
schade, dass der gmer nicht funktioniert - kannst du es nicht mal im abgesicherten modus versuchen ???
__________
MfG Sabina

rund um die PC-Sicherheit

#17 hmm oke dass mit gmer im abgesicherten modus probier ich mal!

Aber eine Sache noch! ich glaube nicht, dass da alles weg ist, weil wenn ich ein spiel starten will, kommt ein blauer bildschirm und es steht dort irgendwas von C:\WINDOWS\system32:lzx32.sys blabla

und wieso wird von antirootkit noch immer : C:\WINDOWS\system32:lzx32.sys,Hidden driver file

gefunden???????

aber wenn du sagst es passt dann passt es

ich mach mal gmer

EDIT: Abgesicherten Modus mache ich mit F8 während er bootet oda??

Also er startet imma noch neu während des scannens

Vorschlag: ich geb dir den Log wo alles drinnen steht bis kurz bevor wo er abstürzt!!!!

Oke???
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe

#18 ja, versuche es im abgesicherten modus, denn es gibt einen dienst, der noch besteht und geloescht werden muss.
F8 - wenn der rechner bootet
__________
MfG Sabina

rund um die PC-Sicherheit

#19 also im abgesicherten stürzt er auch ab während des scannens!

Also jetzt geb ich da mal log bis absturz!

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2006-12-31 17:43:18
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwClose
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey
SSDT a347bus.sys ZwCreatePagingFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey
SSDT kl1.sys ZwOpenFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess
SSDT a347bus.sys ZwSetSystemPowerState
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296]

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous
Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver

---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804E9E14 5 Bytes JMP F57F36C0 \??\C:\WINDOWS\system32\drivers\klif.sys
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EE54E 2 Bytes JMP F57F3B50 \??\C:\WINDOWS\system32\drivers\klif.sys
.text ntkrnlpa.exe!IoIsOperationSynchronous + 3 804EE551 2 Bytes [ 30, 75 ]
.text ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel + A1C 8053C710 4 Bytes JMP 806B9741 \WINDOWS\system32\ntkrnlpa.exe
.text ntkrnlpa.exe!KiDispatchInterrupt + BA 80540ABA 7 Bytes JMP F57F5E10 \??\C:\WINDOWS\system32\drivers\klif.sys
.text tcpip.sys!IPTransmit + 10B7 F5941CFA 6 Bytes CALL F59CFA17 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 24D9 F594311C 6 Bytes CALL F59CFA17 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 4662 F59452A5 6 Bytes CALL F59CFA17 \??\C:\WINDOWS\system32:lzx32.sys
.text wanarp.sys F86343FD 7 Bytes CALL F59CFA21 \??\C:\WINDOWS\system32:lzx32.sys

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 82AF5E10
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_NAMED_PIPE 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSE 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_READ 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_INFORMATION 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_INFORMATION 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_EA 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_EA 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_VOLUME_INFORMATION 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_VOLUME_INFORMATION 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DIRECTORY_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FILE_SYSTEM_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_LOCK_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLEANUP 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_MAILSLOT 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_SECURITY 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_SECURITY 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CHANGE 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_QUOTA 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_QUOTA 828E87D0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP 828E87D0
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_READ 827546A0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_NAMED_PIPE 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSE 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_READ 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_INFORMATION 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_INFORMATION 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_EA 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_EA 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_VOLUME_INFORMATION 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_VOLUME_INFORMATION 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DIRECTORY_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FILE_SYSTEM_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_LOCK_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLEANUP 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_MAILSLOT 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_SECURITY 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_SECURITY 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CHANGE 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_QUOTA 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_QUOTA 828E87D0
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP 828E87D0
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_NAMED_PIPE 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLOSE 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_READ 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_WRITE 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_EA 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_EA 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FLUSH_BUFFERS 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_VOLUME_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_VOLUME_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DIRECTORY_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FILE_SYSTEM_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SHUTDOWN 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_LOCK_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLEANUP 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_MAILSLOT 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_SECURITY 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_SECURITY 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_POWER 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SYSTEM_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CHANGE 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_QUOTA 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_QUOTA 828E9208
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_CREATE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_CREATE_NAMED_PIPE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_CLOSE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_READ 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_WRITE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_QUERY_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_SET_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_QUERY_EA 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_SET_EA 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_FLUSH_BUFFERS 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_QUERY_VOLUME_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_SET_VOLUME_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_DIRECTORY_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_FILE_SYSTEM_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_DEVICE_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_SHUTDOWN 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_LOCK_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_CLEANUP 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_CREATE_MAILSLOT 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_QUERY_SECURITY 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_SET_SECURITY 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_POWER 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_SYSTEM_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_DEVICE_CHANGE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_QUERY_QUOTA 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_SET_QUOTA 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_PNP 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_NAMED_PIPE 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLOSE 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_READ 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_WRITE 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_EA 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_EA 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FLUSH_BUFFERS 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_VOLUME_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_VOLUME_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DIRECTORY_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FILE_SYSTEM_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SHUTDOWN 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_LOCK_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLEANUP 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_MAILSLOT 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_SECURITY 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_SECURITY 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_POWER 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SYSTEM_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CHANGE 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_QUOTA 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_QUOTA 828E9208
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_CREATE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_CREATE_NAMED_PIPE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_CLOSE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_READ 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_WRITE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_QUERY_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_SET_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_QUERY_EA 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_SET_EA 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_FLUSH_BUFFERS 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_QUERY_VOLUME_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_SET_VOLUME_INFORMATION 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_DIRECTORY_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_FILE_SYSTEM_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_DEVICE_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_SHUTDOWN 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_LOCK_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_CLEANUP 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_CREATE_MAILSLOT 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_QUERY_SECURITY 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_SET_SECURITY 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_POWER 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_SYSTEM_CONTROL 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_DEVICE_CHANGE 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_QUERY_QUOTA 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_SET_QUOTA 828E9208
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_PNP 828E9208
Device \Driver\USBSTOR \Device\00000092 IRP_MJ_INTERNAL_DEVICE_CONTROL [F84C08B4] sfsync02.sys
Device \Driver\USBSTOR \Device\00000093 IRP_MJ_INTERNAL_DEVICE_CONTROL [F84C08B4] sfsync02.sys
Device \FileSystem\Srv \Device\LanmanServer IRP_MJ_READ 824CA968
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_READ 828CB470
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_READ 828CB470
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_READ 82990DF0
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_READ 828E5DF0
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_CREATE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_CREATE_NAMED_PIPE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_CLOSE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_READ 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_WRITE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_QUERY_INFORMATION 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_SET_INFORMATION 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_QUERY_EA 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_SET_EA 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_FLUSH_BUFFERS 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_QUERY_VOLUME_INFORMATION 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_SET_VOLUME_INFORMATION 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_DIRECTORY_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_FILE_SYSTEM_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_SHUTDOWN 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_LOCK_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_CLEANUP 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_CREATE_MAILSLOT 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_QUERY_SECURITY 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_SET_SECURITY 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_POWER 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CHANGE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_QUERY_QUOTA 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_SET_QUOTA 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 IRP_MJ_PNP 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CREATE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CREATE_NAMED_PIPE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CLOSE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_READ 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_WRITE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_INFORMATION 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_INFORMATION 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_EA 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_EA 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_FLUSH_BUFFERS 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_VOLUME_INFORMATION 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_VOLUME_INFORMATION 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_DIRECTORY_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_FILE_SYSTEM_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_DEVICE_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_INTERNAL_DEVICE_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SHUTDOWN 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_LOCK_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CLEANUP 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CREATE_MAILSLOT 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_SECURITY 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_SECURITY 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_POWER 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SYSTEM_CONTROL 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_DEVICE_CHANGE 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_QUOTA 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_QUOTA 828E9350
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_PNP 828E9350
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer IRP_MJ_READ 828E8178
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer IRP_MJ_READ 828E8178
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer IRP_MJ_READ 828E8178
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer IRP_MJ_READ 828E8178
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer IRP_MJ_READ 828E8178
Device \FileSystem\Cdfs \Cdfs IRP_MJ_READ 8268B5F8

---- Modules - GMER 1.0.12 ----

Module _________ F82D9000

---- Threads - GMER 1.0.12 ----

Thread 4:156 829C8A20
Thread 4:160 829A8C60
Thread 4:164 829A8C60
Thread 4:376 829C8A20
Thread 4:444 829C8A20

---- Services - GMER 1.0.12 ----

Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!


also das is der Scan soweit wie möglich! doch ich glaube es würde nicht mehr wirklich was entdeckt werden!!!!!!

Was jetzt tun?
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe

#20 der rootkit ist noch drauf - dein rechner ist im momet ein mail-boot, wird von anderen zum verschicken von spam-mails benutzt, ohne dass die ersteller was zu befuerchten haben

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Das is es

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Dez 31, 2006 18:40:10


---> Begin Service Listing <---

Unknown Service # 1
Service Name: Adobe LM Service
Display Name: Adobe LM Service
Start Mode: Manual
Start Name: LocalSystem
Description: Adobe LM ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #2
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 3
Service Name: AVP
Display Name: Kaspersky Internet Security 6.0
Start Mode: Auto
Start Name: LocalSystem
Description: Provides protection against computer viruses and spyware, hacker attacks, cyber-crime and ...
Service Type: Own Process
Path: "e:\nützliche pc programme\kaspersky internet security 6.0\avp.exe" -r
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\1050\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: kavsvc
Display Name: kavsvc
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\kaspersky lab\kaspersky anti-virus personal pro\kavsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: LckFldService
Display Name: LckFldService
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\lckfldservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1067
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #7
Service Name: Macromedia Licensing Service
Display Name: Macromedia Licensing Service
Start Mode: Manual
Start Name: LocalSystem
Description: Provides authentication services for Macromedia ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\macromedia shared\service\macromedia licensing.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #8
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: PccPfw
Display Name: Trend Micro Personal Firewall
Start Mode: Auto
Start Name: LocalSystem
Description: Manages the Trend Micro Personal ...
Service Type: Own Process
Path: c:\programme\trend micro\internet security\pccpfw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1068
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: SDhelper
Display Name: PC Tools Spyware Doctor
Start Mode: Auto
Start Name: LocalSystem
Description: Provides spyware and malware protection for the system. If this service is disabled spyware ...
Service Type: Own Process
Path: f:\pc programme\spyware doctor\sdhelp.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #11
Service Name: SoundMAX Agent Service (default)
Display Name: SoundMAX Agent Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\analog devices\soundmax\smagent.exe
State: Running
Process ID: 1360
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service #12
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{cd6a547e-c98f-40ce-b3c4-61fb2d5fb16d}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 13
Service Name: Tmntsrv
Display Name: Trend NT Realtime Service
Start Mode: Auto
Start Name: LocalSystem
Description: Enables scanning in real ...
Service Type: Own Process
Path: "c:\programme\trend micro\internet security\tmntsrv.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 14
Service Name: tmproxy
Display Name: Trend Micro Proxy Service
Start Mode: Auto
Start Name: LocalSystem
Description: Manages the Trend Micro tmtdi ...
Service Type: Own Process
Path: c:\programme\trend micro\internet security\tmproxy.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1068
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 93 Win32 services on this machine.
14 were unrecognized.

Script Execution Time: 0,953125 seconds.
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe

#22 1.
Avenger
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32:lzx32.sys
C:\WINDOWS\system32\lzx32.sys
C:\WINDOWS\system32\Drivers\lzx32.sys

poste den report vom avenger

««
lade die neue version von icesword
http://virus-protect.org/artikel/tools/icesword.html

FileReg - suche nach versteckten dateien und suche auch in allen anderen Funktionen nach rot gekennzeichneten Eintraegen - und berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hmm scheint so als ob er den rootkit nicht finden kann , obwohl das Schei... rootkit da is

Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\abyvp^sc

*******************

Script file located at: \??\C:\WINDOWS\inbjqsop.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not delete file C:\WINDOWS\system32:lzx32.sys
Deletion of file C:\WINDOWS\system32:lzx32.sys failed!

Could not process line:
C:\WINDOWS\system32:lzx32.sys
Status: 0xc0000033



File C:\WINDOWS\system32\lzx32.sys not found!
Deletion of file C:\WINDOWS\system32\lzx32.sys failed!

Could not process line:
C:\WINDOWS\system32\lzx32.sys
Status: 0xc0000034



File C:\Windows\System32\Drivers\lzx32.sys not found!
Deletion of file C:\Windows\System32\Drivers\lzx32.sys failed!

Could not process line:
C:\Windows\System32\Drivers\lzx32.sys
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Der rest kommt noch

Edit: die Roten sachen:

Bei System Service Descriptor Table werden einige Sachen rot angezeigt!

Ansonsten: Nix daweil!

Aber wo genau soll ich nach roten dingens suchen?
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe

#24 mich interessieren:

http://virus-protect.org/artikel/tools/icesword.html
FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock.B (alias lzx32.sys) finden.





das kann man abkopieren - oben rechts auf das "Schwert-Symbol" klicken - Edit - Select All - wieder auf das Schwertsymbol klicken - Edit - Copy - dann mit der rechten Maustaste - hier im Thread - einfuegen

________________________________________________________________________________



das kann man abkopieren - "Log" - als module.txt abspeichern



_____________________

dann kannst du auch noch die Services hier kopieren - d.h. ueberall, wo du rot gekennzeichnete Eintraege findest.

_____________________

gehe in den abgesicherten modus und scanne dort mit AVG Anti-Rootkit 1.0.0.13 Beta.
diese lzx32.sys muss unbedingt geloescht werden !
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Also das is das was er nach suche gefunden hat!
Irgendwie habe ich unser rootkit nicht gefunden, aber du wirst den log sicha bessa interpretieren können............!

Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\playwinO[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\playwin[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\poll[1].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\poll[1].php
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\posticon[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\poweredby_mediawiki_88x31[2].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\ppc[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\ppc[2].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\prev[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\printstil[1].css
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\ps3-b[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\ps3[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\psp_catheader[1].jpg
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\ranking-hits[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\reviews_detail[1].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\rss20[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\rss[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\r_headerbox3[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\screenshot[1].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\screenshot[1].js
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\screenshot[2].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\screenshot[3].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\screenshot[4].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\screenshot[5].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\scripts[1].js
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\script[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\search[1].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\search[2].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\search[4].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\separ1[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\service-menu[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\spc_1x1[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\SpillMonsterHunter[1].jpg
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\spurl[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\style[1].css
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\suchen_go[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\survey[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\S_psp[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\text_suchtipps[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\text_systeme[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\title[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\top20_arrowdown_neu[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\topbuttons[1].xml
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\topnews-end-right[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\topthema_revolution[1].jpg
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\topthema_xblaster[1].jpg
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\translate[1].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\translate_c[1].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\ttl-empf-green[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\ttl-tipps[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\T[1].htm
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\ubertooltip[1].js
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\uebersicht[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\uhs[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\umfrage[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\view[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\view[2].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\view[3].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\view[4].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\view[5].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\view[6].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\votum[1].jpg
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\weiterleiten[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\wert-fuss-left[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\wert-ttl-left[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\xboxO[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\xbox[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\NCPHCAWO\xp_foot[1].gif
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Temporary
Internet Files\desktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Verlauf\d
esktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Verlauf\H
istory.IE5\desktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Verlauf\H
istory.IE5\index.dat
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Verlauf\H
istory.IE5\MSHist012006121120061218\index.dat
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Verlauf\H
istory.IE5\MSHist012006121820061225\index.dat
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Verlauf\H
istory.IE5\MSHist012006122520070101\index.dat
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Verlauf\H
istory.IE5\MSHist012007010220070103\index.dat
Hidden file: \Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Verlauf\H
istory.IE5\MSHist012007010320070104\index.dat
Hidden file: \Dokumente und Einstellungen\Vincent\ntuser.dat
Hidden file: \Dokumente und Einstellungen\Vincent\ntuser.dat.LOG
Hidden file: \Dokumente und Einstellungen\Vincent\ntuser.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\1SINGLES.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\4.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\CD-Laufwerk (2).lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\CD-Laufwerk.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Daten.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Desktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Eigene Bilder.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Morrowind Image.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Morrowind.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Neu Microsoft Word-Doku
ment.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\NORMBRIEF h³.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\rio1.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Sid Meier's Pirates.lnk

Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Speicherplatz3.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\test.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Thief Deadly Shadows.ln
k
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\tiger%20(3tiger3.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\tiger.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\tiger2.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\tutorial.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\user.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\WUNSCH.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Recent\Zeitguthaben (in Kurven
).lnk
Hidden file: \Dokumente und Einstellungen\Vincent\SendTo\Desktop (Verkn³pfung er
stellen).DeskLink
Hidden file: \Dokumente und Einstellungen\Vincent\SendTo\desktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\SendTo\E-Mail-Empfõnger.MAPIMa
il
Hidden file: \Dokumente und Einstellungen\Vincent\SendTo\Eigene Dateien.mydocs
Hidden file: \Dokumente und Einstellungen\Vincent\SendTo\Palm Powered(TM) Handhe
ld.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\SendTo\ZIP-komprimierten Ordne
r.ZFSendToTarget
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\desktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Autostart\
desktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\Morrowind\'Morrowind' deinstallieren.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\Morrowind\ElderScrolls.com.url
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\Morrowind\Morrowind.de.url
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\Morrowind\Morrowind.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\Morrowind\ReadMe.txt.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\The Elder Scrolls Construction Set\'The Elder Scrolls Construction Set'
deinstallieren.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\The Elder Scrolls Construction Set\ElderScrolls.com.url
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\The Elder Scrolls Construction Set\License.txt.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\The Elder Scrolls Construction Set\Morrowind.de.url
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Bethesda S
oftworks\The Elder Scrolls Construction Set\The Elder Scrolls Construction Set.l
nk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Blue Byte\
Game Channel\Blue Byte Game Channel.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\desktop.in
i
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\GameSpy Ar
cade\GameSpy Arcade Help.url
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\GameSpy Ar
cade\GameSpy Arcade Website.url
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\GameSpy Ar
cade\GameSpy Arcade.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\GameSpy Ar
cade\GameSpy.com Gaming's Homepage.url
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\GameSpy Ar
cade\Register GameSpy Arcade.url
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\GameSpy Ar
cade\Uninstall GameSpy Arcade.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Internet E
xplorer.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Outlook Ex
press.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Remoteunte
rst³tzung.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Tiere in A
ktion.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Windows Me
dia Player.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Ad
ressbuch.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\de
sktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Ed
itor.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Ei
ngabeaufforderung.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Ei
ngabehilfen\Bildschirmlupe.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Ei
ngabehilfen\Bildschirmtastatur.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Ei
ngabehilfen\desktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Ei
ngabehilfen\Hilfsprogramm-Manager.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Pr
ogrammkompatibilitõts-Assistent.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Sy
nchronisieren.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Un
terhaltungsmedien\desktop.ini
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Un
terhaltungsmedien\Windows Media Player.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Wi
ndows XP-Tour.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\Startmen³\Programme\Zubeh÷r\Wi
ndows-Explorer.lnk
Hidden file: \Dokumente und Einstellungen\Vincent\UserData\index.dat
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\amipro.sam
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\excel.xls
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\excel4.xls
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\lotus.wk4
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\powerpnt.ppt
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\presenta.shw
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\quattro.wb2
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\sndrec.wav
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\winword.doc
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\winword2.doc
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\wordpfct.wpd
Hidden file: \Dokumente und Einstellungen\Vincent\Vorlagen\wordpfct.wpg
Hidden file: \RECYCLER\S-1-5-21-220523388-1060284298-682003330-1006\Dc2\Uninstal
l.lnk
Hidden file: \RECYCLER\S-1-5-21-220523388-1060284298-682003330-1006\Dc33\Kostenl
ose Hotmail.url
Hidden file: \RECYCLER\S-1-5-21-220523388-1060284298-682003330-1006\Dc33\Links a
npassen.url
Hidden file: \RECYCLER\S-1-5-21-220523388-1060284298-682003330-1006\Dc33\Windows
Media.url
Hidden file: \RECYCLER\S-1-5-21-220523388-1060284298-682003330-1006\Dc33\Windows
.url
Hidden file: \System Volume Information\MountPointManagerRemoteDatabase
Hidden file: \System Volume Information\tracking.log
Done.
>

das is noch das Kernel Module Log File

Kernel Module:

\WINDOWS\system32\ntkrnlpa.exe
\WINDOWS\system32\hal.dll
\WINDOWS\system32\KDCOM.DLL
\WINDOWS\system32\BOOTVID.dll
a347bus.sys
ACPI.sys
\WINDOWS\System32\DRIVERS\WMILIB.SYS
pci.sys
isapnp.sys
anti_rkt.sys
pciide.sys
\WINDOWS\System32\DRIVERS\PCIIDEX.SYS
MountMgr.sys
ftdisk.sys
dmload.sys
dmio.sys
PartMgr.sys
sfsync02.sys
VolSnap.sys

a347scsi.sys
\WINDOWS\System32\Drivers\SCSIPORT.SYS
disk.sys
\WINDOWS\System32\DRIVERS\CLASSPNP.SYS
fltmgr.sys
sr.sys
KSecDD.sys
Ntfs.sys
NDIS.sys
sfvfs02.sys
sfhlp02.sys
sfdrv01.sys
Mup.sys
kl1.sys
\WINDOWS\system32\drivers\TDI.SYS
gagp30kx.sys
cleanDrv.sys
\SystemRoot\System32\DRIVERS\nv4_mini.sys
\SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\System32\DRIVERS\i8042prt.sys
\SystemRoot\System32\DRIVERS\kbdclass.sys
\SystemRoot\System32\DRIVERS\mouclass.sys
\SystemRoot\System32\DRIVERS\serial.sys
\SystemRoot\System32\DRIVERS\serenum.sys
\SystemRoot\System32\DRIVERS\fdc.sys
\SystemRoot\System32\DRIVERS\parport.sys
\SystemRoot\System32\DRIVERS\cdrom.sys
\SystemRoot\System32\DRIVERS\redbook.sys
\SystemRoot\System32\DRIVERS\ks.sys
\SystemRoot\system32\drivers\smwdm.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\drivers\aeaudio.sys
\SystemRoot\System32\DRIVERS\usbohci.sys
\SystemRoot\System32\DRIVERS\USBPORT.SYS
\SystemRoot\System32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\AmdK8.sys
\SystemRoot\System32\Drivers\RootMdm.sys
\SystemRoot\System32\Drivers\Modem.SYS
\SystemRoot\System32\DRIVERS\avmwan.sys
\SystemRoot\System32\DRIVERS\audstub.sys
\SystemRoot\System32\DRIVERS\rasl2tp.sys
\SystemRoot\System32\DRIVERS\ndistapi.sys
\SystemRoot\System32\DRIVERS\ndiswan.sys
\SystemRoot\System32\DRIVERS\raspppoe.sys
\SystemRoot\System32\DRIVERS\raspptp.sys
\SystemRoot\System32\DRIVERS\psched.sys
\SystemRoot\System32\DRIVERS\msgpc.sys
\SystemRoot\System32\DRIVERS\ptilink.sys
\SystemRoot\System32\DRIVERS\raspti.sys
\SystemRoot\system32\DRIVERS\hamachi.sys
\SystemRoot\System32\DRIVERS\rdpdr.sys
\SystemRoot\System32\DRIVERS\termdd.sys
\SystemRoot\System32\DRIVERS\swenum.sys
\SystemRoot\System32\DRIVERS\update.sys
\SystemRoot\System32\DRIVERS\mssmbios.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\System32\DRIVERS\usbhub.sys
\SystemRoot\System32\DRIVERS\USBD.SYS
\SystemRoot\System32\DRIVERS\flpydisk.sys
\??\C:\WINDOWS\system32\drivers\SSHDRV85.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\??\C:\WINDOWS\system32:lzx32.sys
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\System32\DRIVERS\rasacd.sys
\SystemRoot\System32\DRIVERS\ipsec.sys
\SystemRoot\System32\DRIVERS\tcpip.sys
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\System32\DRIVERS\ipnat.sys
\SystemRoot\System32\DRIVERS\wanarp.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\System32\DRIVERS\netbios.sys
\SystemRoot\System32\DRIVERS\rdbss.sys
\SystemRoot\System32\DRIVERS\mrxsmb.sys
\??\C:\WINDOWS\system32\drivers\klif.sys
\SystemRoot\system32\drivers\ikhlayer.sys
\SystemRoot\system32\drivers\ikhfile.sys
\SystemRoot\System32\Drivers\Fips.SYS
\??\C:\WINDOWS\system32\drivers\aslm75.sys
\SystemRoot\System32\DRIVERS\fxusbase.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\watchdog.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\nv4_disp.dll
\SystemRoot\System32\DRIVERS\ndisuio.sys
\SystemRoot\System32\drivers\avmport.sys
\SystemRoot\System32\Drivers\ParVdm.SYS
\SystemRoot\System32\Drivers\DgiVecp.sys
\SystemRoot\System32\DRIVERS\srv.sys
\SystemRoot\System32\DRIVERS\secdrv.sys
\SystemRoot\system32\drivers\wdmaud.sys
\SystemRoot\system32\drivers\sysaudio.sys
\SystemRoot\System32\Drivers\IsDrv120.sys
\WINDOWS\system32\ntdll.dll
C:\WINDOWS\System32\DRIVERS\atapi.sys

und jetzt probier ich mal im abgesichaten modus das/den rootkit zu löschen!

und nach services such ich später und editiere
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe

#26 mit dem gmer, wenn er denn funktioniert, kann man den rootkit loeschen
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Ich habe ihn mit dem Rootkit Revealer deletet!
Und laut dem us er weg!

Muss ich noch irgendwas machen?
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe

#28 1.
wende CleanUp an - noch mal, falls du ihn schon angewendet hast........
http://virus-protect.org/cleanup.html

2.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#29 1. habe ich gemacht aba zweitens geht net

als ersatz kann ich dir nur das aktuelle hijackthis logfile geben

:::::::::::::::::::::::::::::::::::::::::::::::::::::::

Logfile of HijackThis v1.99.1
Scan saved at 16:43:49, on 06.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\avmclient\pantbsrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Simon\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - F:\Pc Programme\Flashget\jccatch.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - F:\Pc Programme\Flashget\getflash.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\Pc Programme\Flashget\fgiebar.dll (file missing)
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [kis] "E:\Nützliche Pc Programme\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe
O4 - HKLM\..\Run: [mvcnqkfn] C:\ipmldpwl.bat
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "E:\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Skype] "E:\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Registration .LNK = D:\Support\Register\RegistrationReminder.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - F:\Pc Programme\Flashget\jc_all.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Mit FlashGet laden - F:\Pc Programme\Flashget\jc_link.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Nützliche Pc Programme\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Pc Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Pc Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PCPROG~1\Flashget\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PCPROG~1\Flashget\flashget.exe (file missing)
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D437260F-8722-4C0A-BC7B-BBDF2666BA57}: NameServer = 195.3.96.68 213.33.98.136
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: E:\NTZLIC~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - E:\Nützliche Pc Programme\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe (file missing)
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Unknown owner - C:\Programme\Trend Micro\Internet Security\PccPfw.exe (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - F:\Pc Programme\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe (file missing)
O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\Programme\Trend Micro\Internet Security\tmproxy.exe (file missing)

ist da noch was dabei was dir komisch vorkommt?
__________
LG Linuxsuse
Und vielen Dank für eure Hilfe

#30 linuxsuse

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - F:\Pc Programme\Flashget\jccatch.dll (file missing)

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\Pc Programme\Flashget\fgiebar.dll (file missing)

O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe

O4 - HKLM\..\Run: [mvcnqkfn] C:\ipmldpwl.bat

PC neustarten

««
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

»»
scanne mit option 1 und poste den scanreport hier
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit