Noch lange nicht Isabella. Lass Gmer laufen und poste das Log, dann gehts weiter.......mach hinne.so langsam bau ich ab nach dem Nachtdienst :singsing:

es tut mir wirklich leid, euch um diese zeiten so beanspruchen zu müssen....
der gmer läuft grad noch, und sobald der fertig is, sind die log daten auch gleich online...:)

ich danke euch vielmals....seid echt klasse !

*Rot werd´*

gmer hat folgendes ausgespuckt:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-17 09:46:09
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.14 ----

SSDT 9D847924 ZwCreateThread
SSDT 9D847910 ZwOpenProcess
SSDT 9D847915 ZwOpenThread
SSDT 9D84791F ZwTerminateProcess
SSDT 9D84791A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!KeSetTimerEx + 454 82EECA18 4 Bytes [ 24, 79, 84, 9D ]
.text ntkrnlpa.exe!KeSetTimerEx + 624 82EECBE8 4 Bytes [ 10, 79, 84, 9D ]
.text ntkrnlpa.exe!KeSetTimerEx + 640 82EECC04 4 Bytes [ 15, 79, 84, 9D ]
.text ntkrnlpa.exe!KeSetTimerEx + 854 82EECE18 4 Bytes [ 1F, 79, 84, 9D ]
.text ntkrnlpa.exe!KeSetTimerEx + 8B4 82EECE78 4 Bytes [ 1A, 79, 84, 9D ]

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Threads - GMER 1.0.14 ----

Thread 4:360 884E5170
Thread 4:364 88596650
Thread 4:368 8858C660
Thread 4:372 88596650
Thread 4:376 885C7E70
Thread 4:380 885C7E70
Thread 4:384 885C7E70

---- Services - GMER 1.0.14 ----

Service system32\drivers\gaopdxrombxdux.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002186312a38
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrombxdux.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@userdata -1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrombxdux.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxhhppncbk.dll
Reg HKLM\SYSTEM\ControlSet022\Services\BTHPORT\Parameters\Keys\002186312a38
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrombxdux.sys
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@userdata -1
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrombxdux.sys
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxhhppncbk.dll
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Users\Sinora\x2122\AppData\Roaming\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\PartyPokerSetup.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\vlc-0.9.6-win32.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3IAWED10\PartyPokerSetup[1].exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\BSLITEINSTALL525.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\setup_akl.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\okey+v2.1-kur.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\FamilyKeyLogger-setup.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0G0QYES6\setup_akl[1].exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\vlc-0.9.8a-win32.exe 1

---- EOF - GMER 1.0.14 ----


warte auf anweisungen...:)

Moment.....bring schon mal Avenger an den Start

hab ich hier...

wo und wie soll ich den starten ???

Ist dein Pad zu Windows der?
C:\Windows


Avenger einfach auf den Desktop und doppelt ankklicken

jap, der pfad ist richtig.

avenger ist nun aufm desktop und wird ausgeführt

PS:

Die logfile von gmer da eifügen nehm ich an ?

So, da bin ich wieder!
@Redwulf: musste ja gerade was ausprobieren, wusstest Du ja ;-)

- Avenger starten
- folgenden Code eingeben

- dann wieder melden und Logfile posten

Grüße
45cl3p1u5

NEIN!!!!!!!!!



Avenger aufrufen und das nachfolgende Script kopieren und in das Scriptfeld pasten:

Schliesse nun alle Programme und Browser-Fenster
- klicke auf "Execute"
- klicke auf "Yes" -> der Rechner startet neu; Nicht erschrecken, booted mehrfach, wird wild.....

- poste den Inhalt der Datei "C:\avenger.txt



Zu langsam, aber doppelt hält ja bekanntlich länger........

*grins*

war schneller, da ich den Pfad aus der mbam-logfile abgelesen hab :)

*grins..

der lappy bootet nun mehrmals....logfile folgt im nächsten post

.......und schon ne Idee?

darf ich dich bitten mit dem anderen Post in verbindung zu treten? Hatte Nachtdienst und fall gleich um

..und wieder was gelernt, du bist halt der Profi......:party:

so meine herren,

logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "gaopdxserv.sys" deleted successfully.

Error: file "C:\Windows\System32\drivers\gaopdxrombxdux.sys" not found!
Deletion of file "C:\Windows\System32\drivers\gaopdxrombxdux.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\gaopdxhhppncbk.dll" not found!
Deletion of file "C:\Windows\System32\gaopdxhhppncbk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


....warte auf anweisungen :)