Trojaner-Board - FrmWrk32.exe und co

Hallo,

also ich hab zur Vereinfachung mal ein Screenshot gemacht von den 2 Schlüsseln. Ich habe selbst nichts an den Autostarts der Laufwerke geändert, wüsste auch kein Programm dass dies getan haben sollte. Hab nur versucht es selbst einzustellen für die USB aber ohne Erfolg.
http://img38.imageshack.us/img38/6551/screen3l.jpg

Hier das Log von RootRepeal

Code:

ROOTREPEAL (c) AD, 2007-2008

==================================================

Scan Time:                        2009/05/25 20:41

Program Version:                Version 1.2.3.0

Windows Version:                Windows XP Media Center Edition SP3

==================================================
 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xF1C06000        Size: 98304        File Visible: No

Status: -
 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7A0D000        Size: 8192        File Visible: No

Status: -
 

Name: mbr.sys

Image Path: C:\DOKUME~1\****\LOKALE~1\Temp\mbr.sys

Address: 0xEEA31000        Size: 11776        File Visible: No

Status: -
 

Name: opolxh.sys

Image Path: opolxh.sys

Address: 0xF74D1000        Size: 61440        File Visible: No

Status: -
 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xED5F4000        Size: 45056        File Visible: No

Status: -
 

Hidden/Locked Files

-------------------

Path: C:\hiberfil.sys

Status: Locked to the Windows API!
 

Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\etilqs_rVnCRbLngjyEuOrgRqlt

Status: Allocation size mismatch (API: 32768, Raw: 0)
 
 

Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\****@hotmail.com\SharingMetadata\****@hotmail.com\DFSR\Staging\CS{B6036E48-94D4-6667-C08F-251CF5C10781}\99\91-{69C80F80-8212-4783-8365-1A18FEEF760A}-v99-{3682ADF6-F79F-4790-82EF-1DFE8B20A87C}-v91-Downloaded.frx

Status: Locked to the Windows API!
 

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch1\HTML\item_templ\coach\configuration\adpglobal\Common\adpicon.ico:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1

Status: Invisible to the Windows API!
 

Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch1\HTML\item_templ\coach\configuration\adpglobal\Common\adpicon.ico:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

Status: Invisible to the Windows API!
 

Path: C:\Dokumente und EinsteSSDT

-------------------

#: 041        Function Name: NtCreateKey

Status: Hooked by "<unknown>" at address 0xf7ba976e
 

#: 053        Function Name: NtCreateThread

Status: Hooked by "<unknown>" at address 0xf7ba9764
 

#: 063        Function Name: NtDeleteKey

Status: Hooked by "<unknown>" at address 0xf7ba9773
 

#: 065        Function Name: NtDeleteValueKey

Status: Hooked by "<unknown>" at address 0xf7ba977d
 

#: 098        Function Name: NtLoadKey

Status: Hooked by "<unknown>" at address 0xf7ba9782
 

#: 122        Function Name: NtOpenProcess

Status: Hooked by "<unknown>" at address 0xf7ba9750
 

#: 128        Function Name: NtOpenThread

Status: Hooked by "<unknown>" at address 0xf7ba9755
 

#: 193        Function Name: NtReplaceKey

Status: Hooked by "<unknown>" at address 0xf7ba978c
 

#: 204        Function Name: NtRestoreKey

Status: Hooked by "<unknown>" at address 0xf7ba9787
 

#: 247        Function Name: NtSetValueKey

Status: Hooked by "<unknown>" at address 0xf7ba9778
 

#: 257        Function Name: NtTerminateProcess

Status: Hooked by "C:\Programme\SUPERAntiSpyware\SASKUTIL.sys" at address 0xf1da5df0

Naja hoffe, dass was gefunden wurde nun nicht doch noch von einem Rootkit oder ähnlichem ist. Hatte mich schon gefreut :)

Danke und Liebe Grüsse
Henko