soulyouk.dll pcouffin.sys und andere |
||
|---|---|---|
| #0
| ||
|
18.11.2008, 03:53
Member
Beiträge: 41 |
||
 
|
|
|
|
18.11.2008, 08:35
Moderator
Beiträge: 7805 |
#2
Du kannst ja nochmal Mbam nutzen, ansonsten sieht es relativ sauber aus. Den ganze "Krempel" den Gmer meldet kommt wohl allesamt voon den installierten Deamon tools.
Achso, du solltest noch alle wichtigen Updates von www.windowsupdate.com installieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
18.11.2008, 11:06
Member
Themenstarter Beiträge: 41 |
#3
Mbam hat jetzt noch das hier gefunden:
----------- Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\NI.GSCNS (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\NI.GSCNS\dl.ini (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\nomane\Anwendungsdaten\NI.GSCNS\settings.ini (Trojan.Agent) -> Quarantined and deleted successfully. ------------- Bin mir aber irgendwie unsicher, ob es das gewesen sein soll. Grad bei gmer taucht immer wieder eine sys auf, die sich bei jedem Neustart anders nennt. Im letzten Scan "sppi.sys"... diesmal "spjg.sys" ... genau das gleiche gilt für die "a8ohzows.SYS" die beim letzten mal "aafw25eg.SYS" hieß. Würde nur gerne wissen WO die stecken. Dann könnte ich zummindest mal überprüfen, aber ich find sie nirgends. ----------- GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-11-18 11:02:32 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT spjg.sys ZwCreateKey [0xBA6A80E0] SSDT BAFE8514 ZwCreateThread SSDT spjg.sys ZwEnumerateKey [0xBA6C6CA2] SSDT spjg.sys ZwEnumerateValueKey [0xBA6C7030] SSDT spjg.sys ZwOpenKey [0xBA6A80C0] SSDT BAFE8500 ZwOpenProcess SSDT BAFE8505 ZwOpenThread SSDT spjg.sys ZwQueryKey [0xBA6C7108] SSDT spjg.sys ZwQueryValueKey [0xBA6C6F88] SSDT spjg.sys ZwSetValueKey [0xBA6C719A] SSDT BAFE850F ZwTerminateProcess SSDT BAFE850A ZwWriteVirtualMemory INT 0x62 ? 8AEC9BF8 INT 0x63 ? 8AC8BBF8 INT 0x73 ? 8AC8BBF8 INT 0x73 ? 8AC8BBF8 INT 0x82 ? 8AEC9BF8 INT 0x83 ? 8AEC9BF8 INT 0xA4 ? 8AC8BBF8 INT 0xB4 ? 8AC8BBF8 ---- Kernel code sections - GMER 1.0.14 ---- ? spjg.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B59EB8AC 5 Bytes JMP 8AC8B1D8 .text a8ohzows.SYS B5951386 35 Bytes [ 00, 00, 00, 00, 00, 00, 20, ... ] .text a8ohzows.SYS B59513AA 24 Bytes [ 00, 00, 00, 00, 00, 00, 00, ... ] .text a8ohzows.SYS B59513C4 3 Bytes [ 00, 70, 02 ] .text a8ohzows.SYS B59513C9 1 Byte [ 2E ] .text a8ohzows.SYS B59513CB 9 Bytes [ 00, 00, 5A, 02, 00, 00, 00, ... ] .text ... ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spjg.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spjg.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spjg.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spjg.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spjg.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] spjg.sys IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!KfAcquireSpinLock] C0840CEC IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!READ_PORT_UCHAR] 053C0D74 IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!KeGetCurrentIrql] 57B80974 IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!KfRaiseIrql] 8B000000 IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!KfLowerIrql] 56C35DE5 IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!HalGetInterruptVector] 8D08758B IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!HalTranslateBusAddress] 8D51FC4D IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!KeStallExecutionProcessor] 8D52FD55 IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!KfReleaseSpinLock] 8D51FE4D IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D52FF55 IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!READ_PORT_USHORT] 8D51F84D IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 5052F455 IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[HAL.dll!WRITE_PORT_UCHAR] EACAE856 IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[WMILIB.SYS!WmiSystemControl] 0FC08520 IAT \SystemRoot\System32\Drivers\a8ohzows.SYS[WMILIB.SYS!WmiCompleteRequest] 0001B185 ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 8AEC81F8 Device \Driver\usbohci \Device\USBPDO-0 8AC8A1F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AE5A1F8 Device \Driver\dmio \Device\DmControl\DmConfig 8AE5A1F8 Device \Driver\dmio \Device\DmControl\DmPnP 8AE5A1F8 Device \Driver\dmio \Device\DmControl\DmInfo 8AE5A1F8 Device \Driver\usbohci \Device\USBPDO-1 8AC8A1F8 Device \Driver\usbohci \Device\USBPDO-2 8AC8A1F8 Device \Driver\usbohci \Device\USBPDO-3 8AC8A1F8 Device \Driver\usbohci \Device\USBPDO-4 8AC8A1F8 Device \Driver\usbehci \Device\USBPDO-5 8AC521F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{529EFA38-6C47-4EBB-B218-AB3C98FBCA81} 8A3051F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 8AECA1F8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume2 8AECA1F8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom0 8AC461F8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8AECA1F8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom1 8AC461F8 Device \Driver\NetBT \Device\NetBt_Wins_Export 8A3051F8 Device \Driver\sptd \Device\346982552 spjg.sys Device \Driver\NetBT \Device\NetbiosSmb 8A3051F8 Device \Driver\PCI_PNP5052 \Device\0000004c spjg.sys Device \Driver\usbohci \Device\USBFDO-0 8AC8A1F8 Device \Driver\usbohci \Device\USBFDO-1 8AC8A1F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A244500 Device \Driver\usbohci \Device\USBFDO-2 8AC8A1F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A244500 Device \Driver\usbohci \Device\USBFDO-3 8AC8A1F8 Device \Driver\usbohci \Device\USBFDO-4 8AC8A1F8 Device \Driver\Ftdisk \Device\FtControl 8AECA1F8 Device \Driver\usbehci \Device\USBFDO-5 8AC521F8 Device \Driver\a8ohzows \Device\Scsi\a8ohzows1 8AC301F8 Device \Driver\a8ohzows \Device\Scsi\a8ohzows1Port4Path0Target0Lun0 8AC301F8 Device \FileSystem\Cdfs \Cdfs 8ACAC4D8 ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xC4 0x7D 0x08 0x82 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x48 0xD2 0x02 0x02 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xED 0xF4 0xF0 0xF1 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x09 0xC8 0xB4 0x29 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x2E 0x5C 0x0B 0xC7 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xDA 0x1F 0xDC 0xEC ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xC4 0x7D 0x08 0x82 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x48 0xD2 0x02 0x02 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xED 0xF4 0xF0 0xF1 ... |
|
|
|
|
|
|
18.11.2008, 12:23
Moderator
Beiträge: 7805 |
#4
Deinstalliere die Deamontools und mache einen neuen Scan mit gemer....
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
18.11.2008, 13:47
Member
Themenstarter Beiträge: 41 |
#5
Dtools deinstalliert, übrige Ordner gelöscht und CCleaner + regcleaner laufen lassen.
cureit: kein fund mbam: kein fund. Gmer: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-11-18 13:47:10 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT sprk.sys ZwCreateKey [0xBA6A80E0] SSDT BAEA37AC ZwCreateThread SSDT sprk.sys ZwEnumerateKey [0xBA6C6CA2] SSDT sprk.sys ZwEnumerateValueKey [0xBA6C7030] SSDT sprk.sys ZwOpenKey [0xBA6A80C0] SSDT BAEA3798 ZwOpenProcess SSDT BAEA379D ZwOpenThread SSDT sprk.sys ZwQueryKey [0xBA6C7108] SSDT sprk.sys ZwQueryValueKey [0xBA6C6F88] SSDT sprk.sys ZwSetValueKey [0xBA6C719A] SSDT BAEA37A7 ZwTerminateProcess SSDT BAEA37A2 ZwWriteVirtualMemory INT 0x62 ? 8AECABF8 INT 0x63 ? 8AC65BF8 INT 0x73 ? 8AC65BF8 INT 0x73 ? 8AC65BF8 INT 0x82 ? 8AECABF8 INT 0x83 ? 8AECABF8 INT 0xA4 ? 8AC65BF8 INT 0xB4 ? 8AC65BF8 ---- Kernel code sections - GMER 1.0.14 ---- ? sprk.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B5C498AC 5 Bytes JMP 8AC651D8 ---- User code sections - GMER 1.0.14 ---- .text C:\WINDOWS\system32\SearchIndexer.exe[2752] kernel32.dll!WriteFile 7C810E17 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation) ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] sprk.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] sprk.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] sprk.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] sprk.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] sprk.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6B9048] sprk.sys ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 8AEC91F8 Device \Driver\usbohci \Device\USBPDO-0 8AC641F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AE591F8 Device \Driver\dmio \Device\DmControl\DmConfig 8AE591F8 Device \Driver\dmio \Device\DmControl\DmPnP 8AE591F8 Device \Driver\dmio \Device\DmControl\DmInfo 8AE591F8 Device \Driver\usbohci \Device\USBPDO-1 8AC641F8 Device \Driver\usbohci \Device\USBPDO-2 8AC641F8 Device \Driver\usbohci \Device\USBPDO-3 8AC641F8 Device \Driver\usbohci \Device\USBPDO-4 8AC641F8 Device \Driver\usbehci \Device\USBPDO-5 8AC1D1F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{529EFA38-6C47-4EBB-B218-AB3C98FBCA81} 8A3A21F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 8AECB1F8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Cdrom \Device\CdRom0 8AC051F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8AECB1F8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume3 8AECB1F8 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\NetBT \Device\NetBt_Wins_Export 8A3A21F8 Device \Driver\NetBT \Device\NetbiosSmb 8A3A21F8 Device \Driver\usbohci \Device\USBFDO-0 8AC641F8 Device \Driver\usbohci \Device\USBFDO-1 8AC641F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A3A11F8 Device \Driver\usbohci \Device\USBFDO-2 8AC641F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A3A11F8 Device \Driver\usbohci \Device\USBFDO-3 8AC641F8 Device \Driver\usbohci \Device\USBFDO-4 8AC641F8 Device \Driver\Ftdisk \Device\FtControl 8AECB1F8 Device \Driver\usbehci \Device\USBFDO-5 8AC1D1F8 Device \FileSystem\Cdfs \Cdfs 8A2AD1F8 ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xD6 0x7A 0x40 0x7F ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x09 0xC8 0xB4 0x29 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x2E 0x5C 0x0B 0xC7 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xDA 0x1F 0xDC 0xEC ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xD6 0x7A 0x40 0x7F ... Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup@LogLevel 536870912 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000@DisplayName Microsoft User-Mode Driver Framework Feature Pack 1.0 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000@UninstallString "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000@TSAware 1 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000@NoModify 1 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000@InstallDate 20081118 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000@Publisher Microsoft Corporation Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000@NoRepair 1 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000@URLInfoAbout http://support.microsoft.com Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wudf01000@Comments Build Number 5716 |
|
|
|
|
|
|
18.11.2008, 14:42
Moderator
Beiträge: 7805 |
#6
DA sind immer noch deamontools/Alcohl120 Reste auf dem Rechner
u.a. HKLM\SYSTEM\CurrentControlSet\Services\sptd und die sprk.sys sollte auh noch dazu gehoeren... __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
18.11.2008, 14:56
Member
Themenstarter Beiträge: 41 |
#7
Und genau da liegt das Problem, wie bekomme ich die weg?
sprk.sys finde ich nirgends. Die heißt bei jedem Neustart anders... Bedeutet das, daß DTools verseucht war? HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd läßt sich nicht löschen, ich versuchs mit Avenger und sag gleich nochmal bescheid. Hab eben wieder einen Fund bei Antivir gehabt. |
|
|
|
|
|
|
18.11.2008, 15:16
Moderator
Beiträge: 7805 |
#8
Antivir kann Combofix und teile von Avenger/gmer "anzicken", war es das?
..und nein, deamontools waren nicht infiziert, das verbiegt dir dein System immer so, das ist von den Machern gewollt..... Hier ist noch ein Artikel, der die Deinstallation erklaert. http://www.daemon-tools.cc/dtcc/f26/how-remove-daemon-tools-v4-6992/ __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
18.11.2008, 16:12
Member
Themenstarter Beiträge: 41 |
#9
Avenger hat die Keys anstandslos gelöscht, das log von gmer ist nun sauber.
Also waren die beiden .sys tatsächlich von dtools... Vielen Dank für den Tipp  Achja, der Fund war Combofix. Hatte Antivir nach dem Neustart nicht deaktiviert. Eine andere Sache noch: Ich hab mit Avenger c:\cmdcons gekillt, weil ichs nicht brauche und es sich von Hand nicht löschen ließ. Nun liegt cmdcons im Verzeichnis c:\avenger. Dort läßt es sich aber ebenfalls nicht löschen. Ne Ahnung wie ich das endgültig weg bekomme? |
|
|
|
|
|
|
18.11.2008, 17:02
Moderator
Beiträge: 7805 |
#10
Jepp, das war die wiederherstellungskonsole! Sollte man so eigentlich nicht loeschen!
 Schau dir mal diesen Thread dazu an... __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
18.11.2008, 23:06
Member
Themenstarter Beiträge: 41 |
||
|
|
|
|
|
19.11.2008, 08:24
Moderator
Beiträge: 7805 |
#12
Tja, man sollte den Link schon einfuegen, wenn man ihn schon kopiert!
http://www.trojaner-board.de/64551-wiederherstellungskonsole-deinstallieren.html __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
21.11.2008, 02:25
Member
Themenstarter Beiträge: 41 |
#13
Alles klar, jetzt hab ichs kapiert... vielen Dank!
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Nach dem installieren einer SOftware hatte ich ein ungutes Gefühl, was sich bei Hijackthis bestätigte. Hab dort die Einträge gelöscht, aber immer mal wieder tauchen plötzlich Warnungen bei antivir auf. Quasi aus heiterem Himmel.
Ein paar Dateien hab ich dann beseitigt, weiß aber nicht, ob nun doch noch was drauf geblieben ist.
Warnmeldungen hab ich mittlerweile keine mehr, aber ich würde nach dem Scan mit combofix nicht behaupten das der Rechner sauber ist.
Für jede Hilfe im Voraus vielen Dank!
achja, cureit hat nur combofix als potentiell gefährlich erkannt, sonst aber nichts.