Hallo, ich habe mit Ad-aware einen Scan durchgeführt und danach die Warnung bekommen, ich hätte einen Lovegate-Wurm. Im Prinzip das gleiche Problem wie hier: w*w.trojaner-board.de/69766-hilfe-lovegat-gefunden.html.

Einziger Unterschied ist, dass ich Vista 32bit benutze.

Wie fixe ich das am besten??

Vielen Dank schonmal an alle Helfer!


HiJackThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:18:43, on 16.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\regedit.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
H:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\Programme\Microsoft Office\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{09AD5BB8-4AEC-4314-8000-24C2FD9DA943}: NameServer = 10.249.13.1,10.249.8.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{64B4A10F-83A5-4C02-BC9C-006EC38075D1}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{09AD5BB8-4AEC-4314-8000-24C2FD9DA943}: NameServer = 10.249.13.1,10.249.8.5
O17 - HKLM\System\CS50\Services\Tcpip\..\{09AD5BB8-4AEC-4314-8000-24C2FD9DA943}: NameServer = 10.249.13.1,10.249.8.5
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\Windows\system32\hasplms.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: Wacom Touch Service (WacomTouchService) - Unknown owner - C:\Windows\system32\WacomTouchService.exe

--
End of file - 9503 bytes

Hallo proda,

- gehe bitte unter Start -> Ausführen -> gebe "cmd" (ohne "") ein -> ok
- dann "netstat -ano > c:\netstat.txt & start notepad c:\netstat.txt"
- es öffnet sich dann der editor, aus welchem Du den Inhalt hier postest.

wenn port 10168 geöffnet ist, ist es lovegate und er ist aktiv. Da lovegate ein Backdoor-Virus ist, wäre dann wohl eine Neuinstallation angebracht.

Aber erst mal posten

Grüße
45cl3p1u5

Vielen Dank für die schnelle Antwort.
Ich habe heute noch einen Suchlauf mit Ad-aware gestartet. Dabei wurde lovegate nicht mehr gefunden. Kann es sein, dass sich der Virus noch irgendwo versteckt?

Hier das netstat-Ergebnis:


Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:135 0.0.0.0:0 ABH™REN 900
TCP 0.0.0.0:445 0.0.0.0:0 ABH™REN 4
TCP 0.0.0.0:1947 0.0.0.0:0 ABH™REN 1812
TCP 0.0.0.0:5357 0.0.0.0:0 ABH™REN 4
TCP 0.0.0.0:49152 0.0.0.0:0 ABH™REN 588
TCP 0.0.0.0:49153 0.0.0.0:0 ABH™REN 992
TCP 0.0.0.0:49154 0.0.0.0:0 ABH™REN 652
TCP 0.0.0.0:49155 0.0.0.0:0 ABH™REN 1056
TCP 0.0.0.0:49156 0.0.0.0:0 ABH™REN 1768
TCP 0.0.0.0:49157 0.0.0.0:0 ABH™REN 2016
TCP 0.0.0.0:49158 0.0.0.0:0 ABH™REN 632
TCP 127.0.0.1:27015 0.0.0.0:0 ABH™REN 528
TCP 192.168.1.92:139 0.0.0.0:0 ABH™REN 4
TCP 192.168.1.92:53895 192.168.1.74:139 SYN_GESENDET 4
TCP [::]:135 [::]:0 ABH™REN 900
TCP [::]:445 [::]:0 ABH™REN 4
TCP [::]:1947 [::]:0 ABH™REN 1812
TCP [::]:5357 [::]:0 ABH™REN 4
TCP [::]:49152 [::]:0 ABH™REN 588
TCP [::]:49153 [::]:0 ABH™REN 992
TCP [::]:49154 [::]:0 ABH™REN 652
TCP [::]:49155 [::]:0 ABH™REN 1056
TCP [::]:49156 [::]:0 ABH™REN 1768
TCP [::]:49157 [::]:0 ABH™REN 2016
TCP [::]:49158 [::]:0 ABH™REN 632
UDP 0.0.0.0:123 *:* 1208
UDP 0.0.0.0:500 *:* 1056
UDP 0.0.0.0:1947 *:* 1812
UDP 0.0.0.0:3702 *:* 1208
UDP 0.0.0.0:3702 *:* 1208
UDP 0.0.0.0:4500 *:* 1056
UDP 0.0.0.0:5355 *:* 1320
UDP 0.0.0.0:62987 *:* 1768
UDP 0.0.0.0:62990 *:* 1208
UDP 0.0.0.0:62995 *:* 1812
UDP 10.4.128.243:1900 *:* 1208
UDP 10.4.128.243:63281 *:* 1208
UDP 92.227.200.169:68 *:* 992
UDP 92.227.200.169:1900 *:* 1208
UDP 92.227.200.169:63278 *:* 1208
UDP 127.0.0.1:1900 *:* 1208
UDP 127.0.0.1:50590 *:* 1056
UDP 127.0.0.1:52052 *:* 1112
UDP 127.0.0.1:63279 *:* 1024
UDP 127.0.0.1:63282 *:* 1208
UDP 192.168.1.92:137 *:* 4
UDP 192.168.1.92:138 *:* 4
UDP 192.168.1.92:1900 *:* 1208
UDP 192.168.1.92:63280 *:* 1208
UDP [::]:123 *:* 1208
UDP [::]:500 *:* 1056
UDP [::]:1947 *:* 1812
UDP [::]:3702 *:* 1208
UDP [::]:3702 *:* 1208
UDP [::]:62991 *:* 1208
UDP [::1]:1900 *:* 1208
UDP [::1]:63277 *:* 1208

Zitat:

Kann es sein, dass sich der Virus noch irgendwo versteckt?

Ist gar nicht mal so unüblich.

Lade Dir bitte Malwarebytes Anti-Malware runter und befolge die verlinkte Anleitung.

Wow, superschnell!!

Mach ich sofort.

Malwarebytes Anti-Malware hat nichts gefunden. Hab leider den log-file nicht gespeichert.

Gibt es sonst noch Möglichkeiten?

ja,
Gmer runterladen und ausführen.
Logfile posten.

Für Dich zur Info: suche jetzt nach Rootkits.

Grüße
45cl3p1u5

Hallo 45cl3p1u5,
leider kamen bei mir Arbeit und Karneval dazwischen, so dass ich die Suche erst heute fortsetzen konnte.

Gmer stürzte bei mir immer ab (nach ca. 5-10 Minuten), nur im abgesicherten Modus hat der Suchlauf geklappt. Hier sind die Ergebnisse, wie lautet der nächste Schritt?

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-21 16:37:07
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.14 ----

INT 0x51 ? 843E8BF8
INT 0x52 ? 85BF8BF8
INT 0x62 ? 85BF8BF8
INT 0x82 ? 843E7BF8
INT 0x92 ? 843E8BF8

---- Kernel code sections - GMER 1.0.14 ----

? System32\Drivers\spwz.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload 8815C46F 5 Bytes JMP 85BF81D8
.text ahtvbmhb.SYS 87F77000 22 Bytes [ 26, 82, 40, 82, 10, 81, 40, ... ]
.text ahtvbmhb.SYS 87F77017 159 Bytes [ 00, 32, E7, 70, 80, 3D, E5, ... ]
.text ahtvbmhb.SYS 87F770B7 22 Bytes [ 00, 00, 00, 00, 00, 00, 00, ... ]
.text ahtvbmhb.SYS 87F770CE 80 Bytes [ 00, 00, 26, 00, 00, 00, E0, ... ]
.text ahtvbmhb.SYS 87F7711F 194 Bytes [ 7E, 38, 40, 39, 82, 3B, C4, ... ]
.text ...

---- User code sections - GMER 1.0.14 ----

.text C:\Users\-X-X-X-\Desktop\gmer.exe[1720] kernel32.dll!CopyFileW + 3 77346FB0 2 Bytes [ D0, FA ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [806086D2] \SystemRoot\System32\Drivers\spwz.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80608040] \SystemRoot\System32\Drivers\spwz.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [806087FC] \SystemRoot\System32\Drivers\spwz.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [806080BE] \SystemRoot\System32\Drivers\spwz.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8060813C] \SystemRoot\System32\Drivers\spwz.sys
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortNotification] F73BFF33
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortWritePortUchar] B85F0B75
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortWritePortUlong] FFFFFFFE
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 08C25D5E
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 5D8B5300
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortGetScatterGatherList] 74DF3B0C
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortReadPortUchar] 01FB8311
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortStallExecution] 5F5B0C74
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortGetParentBusType] FFFFFEB8
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortRequestCallback] C25D5EFF
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 7E390008
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortGetUnCachedExtension] C7077524
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortCompleteRequest] 51642446
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortMoveMemory] 7E3987F8
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] C7077528
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 51902846
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 468B87F8
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortReadPortUshort] 244E8B2C
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortReadPortBufferUshort] 7468016A
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortInitialize] 500000FA
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortGetDeviceBase] C73BD1FF
IAT \SystemRoot\System32\Drivers\ahtvbmhb.SYS[ataport.SYS!AtaPortDeviceStateChange] 5F5B0C75
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [80617D92] \SystemRoot\System32\Drivers\spwz.sys

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74737BA4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [747798C5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7473D3C8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7472F527] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74737599] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [7472E43D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [7476B33D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [7473D68A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [7473012E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74730095] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [747271F3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [747BD802] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [747575E1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [7472DAE1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [7472668F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [747266BA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1368] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74731E45] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6001.18065_none_9e7abe2ec9c13222\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 851AC1F8
Device \FileSystem\fastfat \FatCdrom 85E941F8

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 851A71F8
Device \Driver\usbohci \Device\USBPDO-0 859C31F8
Device \Driver\usbehci \Device\USBPDO-1 859C41F8
Device \Driver\volmgr \Device\HarddiskVolume1 851A71F8
Device \Driver\volmgr \Device\HarddiskVolume2 851A71F8
Device \Driver\cdrom \Device\CdRom0 859CD1F8
Device \Driver\PCI_PNP7903 \Device\00000065 spwz.sys
Device \Driver\volmgr \Device\HarddiskVolume3 851A71F8
Device \Driver\cdrom \Device\CdRom1 859CD1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 851A91F8
Device \Driver\atapi \Device\Ide\IdePort0 851A91F8
Device \Driver\atapi \Device\Ide\IdePort1 851A91F8
Device \Driver\nvstor32 \Device\00000073 851AB1F8
Device \Driver\volmgr \Device\HarddiskVolume4 851A71F8
Device \Driver\USBSTOR \Device\00000091 859AC1F8
Device \Driver\USBSTOR \Device\00000093 859AC1F8
Device \Driver\nvstor32 \Device\RaidPort0 851AB1F8
Device \Driver\sptd \Device\844573924 spwz.sys
Device \Driver\iScsiPrt \Device\RaidPort1 85A341F8
Device \Driver\usbohci \Device\USBFDO-0 859C31F8
Device \Driver\usbehci \Device\USBFDO-1 859C41F8
Device \Driver\ahtvbmhb \Device\Scsi\ahtvbmhb1 859E61F8
Device \Driver\ahtvbmhb \Device\Scsi\ahtvbmhb1Port4Path0Target0Lun0 859E61F8
Device \FileSystem\fastfat \Fat 85E941F8

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

Device \FileSystem\cdfs \Cdfs 85F884A8

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x92 0x93 0xD9 0xA5 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x9C 0x3C 0xA6 0x09 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE7 0x8C 0x7C 0xE7 ...
Reg HKLM\SYSTEM\ControlSet051\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet051\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet051\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet051\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x92 0x93 0xD9 0xA5 ...
Reg HKLM\SYSTEM\ControlSet051\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet051\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet051\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x9C 0x3C 0xA6 0x09 ...
Reg HKLM\SYSTEM\ControlSet051\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet051\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE7 0x8C 0x7C 0xE7 ...

---- EOF - GMER 1.0.14 ----



Helau und liebe Grüße
proda

Ich spring mal kurz ein weil dein Helfer momentan off ist

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Oje! Da bin ich wohl noch ein bisschen beschäftigt.

Aber vielen Dank für die schnelle Hilfe!!