Trojaner-Board - Einstellungen lassen sich nciht mehr ändern, div. webseiten lassen sich nicht öffnen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Einstellungen lassen sich nciht mehr ändern, div. webseiten lassen sich nicht öffnen (https://www.trojaner-board.de/70183-einstellungen-lassen-nciht-mehr-aendern-div-webseiten-lassen-oeffnen.html)

dann tippe in den browser die ip: 192.168.1.1

gib dein pass und code für den router ein.
evtl. immer noch admin / admin ?
damit kommst du in dein router setup.

ändere zuallererst das passwort!!!

dann such nach den dns-server adressen.

ist hier eine ip 82.255.x.x am start???
dann war das das problem.

ändere sie auf einen dir genehmen dns server:
http://provider-stoerung.de/blog/ubersicht-dns-server

dan lass Malwarebytes' Anti-Malware drüberlaufen.
neustarten...

Da stand bei beiden 0.0.0.0 drin, aber das PW habe ich trotzdem geändert.

okay, trag jetzt dns-server deiner wahl anstelle von 0.0.0.0 ein:
http://provider-stoerung.de/blog/ubersicht-dns-server

mache dann folgendes:

Start -> Ausführen -> cmd

ipconfig /all

welche ip spuckt er aus für: standardgateway, dhcp- und dns-server?

Standardgateway 192.168.0.1
DNS-Server 192.168.0.1
DHCP ist nicht an, bzw ich habe meinem PC ne feste IP im LAN gegeben.

cool!

kriegste denn jetzt die div. seiten geöffnet?
vor allem: windowsupdate.microsoft.com ?

wenn ja, dann lass nochmal div. scanner drüberflitzen:

Malwarebytes' Anti-Malware, CCleaner etc..

Ja geht, aber das ging vorhin auch schon nach dem ich die mznsjciv.dll gelöscht hatte.

Trotzdem Danke für die Hilfe.

Hallöle.

Start -> ausführen -> cmd Dort eingeben:

Zitat:

sc delete iriye

Die Avenger logs sind irgendwie verkorkst. Daher möchte ich bitte ein frisches gmer log sehen.

Danach lasse Combofix und Anti-Malware laufen und poste die logs.

Ich habe den Norman Conficker Cleaner durchlaufen lassen nach dem mir Malwarebytes' Anti-Malware gesagt hat das ich auf einem USB Stick Conficker habe. Ich denke das Problem sollte jetzt gelöst sein. Hier noch mal nen aktueller Log. ComboFix läuft immer noch nicht auf dem Laptop.

Zitat:

GMER 1.0.14.14536 - h**p://www.gmer.net
Rootkit scan 2009-02-21 12:16:04
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF74530D0]
SSDT sptd.sys ZwEnumerateKey [0xF7458E2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF74591BA]
SSDT sptd.sys ZwOpenKey [0xF74530B0]
SSDT sptd.sys ZwQueryKey [0xF7459292]
SSDT sptd.sys ZwQueryValueKey [0xF7459112]
SSDT sptd.sys ZwSetValueKey [0xF7459324]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF5A0FF20]

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F70578AC 5 Bytes JMP 847E91C8

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7453AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7453C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7453B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7454748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F745461E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7468ACA] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 84A835C0
Device \FileSystem\Fastfat \FatCdrom 84DDA1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{FE65FF5B-E685-44F4-9C2A-66296A704CB6} 84A047A0

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\usbuhci \Device\USBPDO-0 847E81E8
Device \Driver\usbuhci \Device\USBPDO-1 847E81E8
Device \Driver\usbuhci \Device\USBPDO-2 847E81E8
Device \Driver\usbehci \Device\USBPDO-3 847C61E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 84D6D1E8
Device \Driver\Cdrom \Device\CdRom0 847981E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 84D6D1E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 84D6D1E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\NetBT \Device\NetBt_Wins_Export 84A047A0
Device \Driver\NetBT \Device\NetbiosSmb 84A047A0
Device \Driver\NetBT \Device\NetBT_Tcpip_{633E4C1C-0D41-4D76-8952-14B918F12F0E} 84A047A0
Device \Driver\usbuhci \Device\USBFDO-0 847E81E8
Device \Driver\usbuhci \Device\USBFDO-1 847E81E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 84BE33F0
Device \Driver\usbuhci \Device\USBFDO-2 847E81E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 84BE33F0
Device \Driver\usbehci \Device\USBFDO-3 847C61E8
Device \Driver\Ftdisk \Device\FtControl 84D6D1E8
Device \FileSystem\Fastfat \Fat 84DDA1E8
Device \FileSystem\Cdfs \Cdfs 84A642A0

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet002\Services\iriye@DisplayName Config Network
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@Description Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien best?tigt; den Dienst f?r gesch?tzten Stammspeicher, der Zertifikate vertrauensw?rdiger Stammzertifizierungsstellen zu diesem Computer hinzuf?gt und entfernt und den Schl?sseldienst, der diesen Computer bei Einschreibungen in Zertifikate unterst?tzt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen.
Reg HKLM\SYSTEM\ControlSet002\Services\iriye\Parameters
Reg HKLM\SYSTEM\ControlSet002\Services\iriye\Parameters@ServiceDll C:\WINDOWS\system32\mznsjciv.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0xF1 0x85 0x4B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF9 0x9D 0x17 0x73 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@d0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0x52 0x01 0xED ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0xF1 0x85 0x4B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF9 0x9D 0x17 0x73 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@d0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0x52 0x01 0xED ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0xF1 0x85 0x4B ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF9 0x9D 0x17 0x73 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@d0 1
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0x52 0x01 0xED ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\InprocServer32@ C:\WINDOWS\system32\cmprops.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\ProgID@ CMSnapin.CMSnapin.1
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\TypeLib@ {A1B9E012-3226-11D2-883E-00104B2AFB46}
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\VersionIndependentProgID@ CMSnapin.CMSnapin

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 02: copy of MBR

---- EOF - GMER 1.0.14 ----

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1782
Windows 5.1.2600 Service Pack 3

21.02.2009 12:54:29
mbam-log-2009-02-21 (12-54-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 156069
Laufzeit: 26 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Lösche bitte über regedit folgende Einträge:

Zitat:

HKLM\SYSTEM\ControlSet002\Services\iriye
HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4

Poste bitte noch das erste Anti-Malware log wo der Conficker auftaucht...

HKLM\SYSTEM\ControlSet002\Services\iriye -> Geht nicht zulöschen
HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\ -> lässt sich nicht öffnen
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4 -> kann den Wert nicht finden da stehen andere drin.

Alle drei Logs sind vom Selben USB Stick.

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 2

19.02.2009 21:37:43
mbam-log-2009-02-19 (21-37-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 60962
Laufzeit: 33 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.

Infizierte Dateien:
F:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 2

20.02.2009 13:39:33
mbam-log-2009-02-20 (13-39-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 158036
Laufzeit: 1 hour(s), 0 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.

Infizierte Dateien:
F:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.
C:\WINDOWS\BOOT.INI (Trojan.Agent) -> Quarantined and deleted successfully.

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1782
Windows 5.1.2600 Service Pack 3

21.02.2009 10:48:21
mbam-log-2009-02-21 (10-48-21).txt

Scan-Methode: Vollständiger Scan (F:\|)
Durchsuchte Objekte: 10468
Laufzeit: 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.

Infizierte Dateien:
F:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.

So jetzt gehe ich aber dochmal dazwischen. Wie kann man ein Rootkit mit regedit behandeln wollen? Und Key und Value sind auch zwei verschiedene Sachen.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:

iriye

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste anschliessend ein aktuelles Gmer- und ComboFix-Log.

ciao, andreas

Hier die Logs, den Log von Norman Malware Cleaner packe ich auch mal dazu.

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\iriye" not found!
Deletion of driver "iriye" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-21 15:26:38
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF74530D0]
SSDT sptd.sys ZwEnumerateKey [0xF7458E2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF74591BA]
SSDT sptd.sys ZwOpenKey [0xF74530B0]
SSDT sptd.sys ZwQueryKey [0xF7459292]
SSDT sptd.sys ZwQueryValueKey [0xF7459112]
SSDT sptd.sys ZwSetValueKey [0xF7459324]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF5A73F20]

---- Kernel code sections - GMER 1.0.14 ----

? uvtgg.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F70B18AC 5 Bytes JMP 848921C8

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7453AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7453C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7453B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7454748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F745461E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7468ACA] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 84C70558
Device \FileSystem\Fastfat \FatCdrom 84D6C1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{FE65FF5B-E685-44F4-9C2A-66296A704CB6} 84A597A0

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\usbuhci \Device\USBPDO-0 848911E8
Device \Driver\usbuhci \Device\USBPDO-1 848911E8
Device \Driver\usbuhci \Device\USBPDO-2 848911E8
Device \Driver\usbehci \Device\USBPDO-3 8486F1E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 84DDB1E8
Device \Driver\Cdrom \Device\CdRom0 848411E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 84DDB1E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 84DDB1E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\NetBT \Device\NetBt_Wins_Export 84A597A0
Device \Driver\NetBT \Device\NetbiosSmb 84A597A0
Device \Driver\NetBT \Device\NetBT_Tcpip_{633E4C1C-0D41-4D76-8952-14B918F12F0E} 84A597A0
Device \Driver\usbuhci \Device\USBFDO-0 848911E8
Device \Driver\usbuhci \Device\USBFDO-1 848911E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 84AC97A0
Device \Driver\usbuhci \Device\USBFDO-2 848911E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 84AC97A0
Device \Driver\usbehci \Device\USBFDO-3 8486F1E8
Device \Driver\Ftdisk \Device\FtControl 84DDB1E8
Device \FileSystem\Fastfat \Fat 84D6C1E8
Device \FileSystem\Cdfs \Cdfs 84A2A7A0

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet002\Services\iriye@DisplayName Config Network
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\iriye@Description Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien best?tigt; den Dienst f?r gesch?tzten Stammspeicher, der Zertifikate vertrauensw?rdiger Stammzertifizierungsstellen zu diesem Computer hinzuf?gt und entfernt und den Schl?sseldienst, der diesen Computer bei Einschreibungen in Zertifikate unterst?tzt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen.
Reg HKLM\SYSTEM\ControlSet002\Services\iriye\Parameters
Reg HKLM\SYSTEM\ControlSet002\Services\iriye\Parameters@ServiceDll C:\WINDOWS\system32\mznsjciv.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0xF1 0x85 0x4B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF9 0x9D 0x17 0x73 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@d0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0x52 0x01 0xED ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0xF1 0x85 0x4B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF9 0x9D 0x17 0x73 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@d0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0x52 0x01 0xED ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0xF1 0x85 0x4B ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF9 0x9D 0x17 0x73 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@d0 1
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0x52 0x01 0xED ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\InprocServer32@ C:\WINDOWS\system32\cmprops.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\ProgID@ CMSnapin.CMSnapin.1
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\TypeLib@ {A1B9E012-3226-11D2-883E-00104B2AFB46}
Reg HKLM\SOFTWARE\Classes\CLSID\{F42963E1-350F-8D23-5CE6-A5F87F15F50C}\VersionIndependentProgID@ CMSnapin.CMSnapin

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 02: copy of MBR

---- EOF - GMER 1.0.14 ----

Zitat:

Norman Malware Cleaner
Copyright © 1990 - 2009, Norman ASA. Built 2009/01/27 15:02:01

Norman Scanner Engine Version: 5.93.01
Nvcbin.def Version: 5.93.00, Date: 2009/01/27 15:02:01, Variants: 649732

Scan started: 21/02/2009 11:01:46

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 3
Logged on user: MICHI\Kai

No Conficker found on the system
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Set registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Nls\ = -> ""
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Changed service configuration for "wuauserv" to 0x00000002 and 0xFFFFFFFF
Changed service configuration for "BITS" to 0x00000003 and 0xFFFFFFFF

Scanning running processes and process memory...

Number of processes/threads found: 1713
Number of processes/threads scanned: 1712
Number of processes/threads not scanned: 1
Number of infected processes/threads terminated: 0
Total scanning time: 26s

Scanning file system...

Scanning: C:\*.*

C:\hiberfil.sys (Error opening file: Access denied)

C:\pagefile.sys (Error opening file: Access denied)

Scanning: D:\*.*

Running post-scan cleanup routine:
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Failed to locate shared service executable: C:\WINDOWS\system32\mznsjciv.dll
Removed service: iriye
Failed to locate shared service executable: C:\WINDOWS\system32\mznsjciv.dll
Removed service: wrwbdf

Number of files found: 238409
Number of archives unpacked: 6783
Number of files scanned: 238355
Number of files not scanned: 54
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 34m 3s

Und noch ein Log von ComboFix bitte.

ciao, andreas

Das läuft nicht auf meinem Laptop. Da steht immer was von falsches Betriebssystem und Only 32Bit.

Na jetzt ist das Chaos perfekt. Das Gmer-Log ist vom Laptop und das alte ComboFix-Log vom PC? Dann nehmen wir erstmal den PC. Schicke nichts mehr vom Laptop. Poste ein neues ComboFix-Log von deinem PC. Ebenso ein Gmer-Log vom PC.

ciao, andreas