hallo @ all ich bin neu hier und habe ein riesen problem


ich kann nicht mehr auf meine festplatten zugreifen.

jedesmal wenn ich auf die C: klicke kommt Recycler ... ein paar zahlen .com kann nicht gefunden werden

ist aber nicht nur bei der C. so sondern bei allen anderen auch
eine systemwiederherstellung habe ich bereits probiert aber geht nicht.


Habe hier im Forum schon mal nachgelesen und da gab es letzten Monat einen user der scheinbar das gleiche Problem hatte zumindest liest es sich genau so wie mein problem

Nach download/bzw aktualisierung kein zugriff mehr

Bin dankbar für jeden rat den Frau auch in die tat umsetzen kann

schönen Tag wünsch und danke im voraus


Lieben und (bisschen)verzweifelten Gruß Marion

Werbung

Dann begüsse ich Dich auf das Herzlichste hier im Forum

Die Foren hast Du ja schon gefunden

Du übernimmst, SaraSchnegge?

GMER - Rootkit Detection

• Lade Tralala von File-Upload.net - Tralala.exe
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Beende alle Programme
• Doppelklick auf Tralala.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

ja hatte auch hilfe von ichgooglealles , er hat mich ruck zuck eingewiesen wie man ein thema eröffnet ... alte frau bin kein plan hab

-----Doppelpost zusammengeführt am 22.3.2009 um 17:58:52-----

also mache ich jetzt was andreas dort geschrieben hat?


sara übernimmst du???

Zitat:

Zitat von Pirelli10

also mache ich jetzt was andreas dort geschrieben hat?


sara übernimmst du???

Ja natürlich. Ohne die Scan-daten kann Andreas nicht weiterhelfen.

Also, genau befolgen. Wenn Fragen auftauchen einfach nochmal posten

LG Sara

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-22 18:20:46
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

Code 8A0877B8 ZwEnumerateKey
Code 89E61190 ZwFlushInstructionCache
Code 89F77116 IofCallDriver
Code 8A04EAF6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 89F7711B
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A04EAFB
? C:\WINDOWS\system32\Drivers\mchInjDrv.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 11, 84 ]
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, BB, 84 ]
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5A, 85 ]
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, C1, 84 ]
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, B4, 84 ]
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5E, 84 ]
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 7B, 84 ]
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 2F, 86 ]
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 47, 84 ]
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 1F, 84 ]
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, D6, 86 ]
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 0049ECC0 C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 7E, 84 ]
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 8F, 85 ]
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 12, 84 ]
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 0A, 85 ]
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, B9, 84 ]
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5A, 84 ]
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 4B, 86 ]
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 88, 84 ]
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 32, 84 ]
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 57, 84 ]
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 42, 84 ]
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 37, 85 ]
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 004DE392 C:\Programme\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys (*** hidden *** ) B6E59000-B6E70000 (94208 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\gaopdxppxlrxsmyojeohpe jepvaqcwodgamduw.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@imagepath \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxp pxlrxsmyojeohpejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxiatcwoacj sgxmxedjtnjenyxikwtdhsx.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ imagepath \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\ modules
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\ modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxp pxlrxsmyojeohpejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\ modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxiatcwoacj sgxmxedjtnjenyxikwtdhsx.dll

---- EOF - GMER 1.0.14 ----

-----Doppelpost zusammengeführt am 22.3.2009 um 18:24:57-----

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-22 18:24:31
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

Code 8A0877B8 ZwEnumerateKey
Code 89E61190 ZwFlushInstructionCache
Code 89F77116 IofCallDriver
Code 8A04EAF6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 89F7711B
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A04EAFB
? C:\WINDOWS\system32\Drivers\mchInjDrv.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 11, 84 ]
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, BB, 84 ]
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5A, 85 ]
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, C1, 84 ]
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, B4, 84 ]
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5E, 84 ]
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 7B, 84 ]
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 2F, 86 ]
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 47, 84 ]
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 1F, 84 ]
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, D6, 86 ]
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 0049ECC0 C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 7E, 84 ]
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 8F, 85 ]
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 12, 84 ]
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 0A, 85 ]
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, B9, 84 ]
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5A, 84 ]
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 4B, 86 ]
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 88, 84 ]
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 32, 84 ]
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 57, 84 ]
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 42, 84 ]
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 37, 85 ]
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 004DE392 C:\Programme\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys (*** hidden *** ) B6E59000-B6E70000 (94208 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\gaopdxppxlrxsmyojeohpe jepvaqcwodgamduw.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@imagepath \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxp pxlrxsmyojeohpejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxiatcwoacj sgxmxedjtnjenyxikwtdhsx.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ imagepath \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\ modules
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\ modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxp pxlrxsmyojeohpejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\ modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxiatcwoacj sgxmxedjtnjenyxikwtdhsx.dll

---- EOF - GMER 1.0.14 ----

-----Doppelpost zusammengeführt am 22.3.2009 um 18:26:18-----

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-22 18:25:51
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

Code 8A0877B8 ZwEnumerateKey
Code 89E61190 ZwFlushInstructionCache
Code 89F77116 IofCallDriver
Code 8A04EAF6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 89F7711B
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A04EAFB
? C:\WINDOWS\system32\Drivers\mchInjDrv.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 11, 84 ]
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe[304] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, BB, 84 ]
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\csrss.exe[660] KERNEL32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5A, 85 ]
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\winlogon.exe[684] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, C1, 84 ]
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\services.exe[728] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, B4, 84 ]
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\lsass.exe[740] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5E, 84 ]
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[912] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 7B, 84 ]
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[960] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 2F, 86 ]
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\System32\svchost.exe[1072] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 47, 84 ]
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[1156] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 1F, 84 ]
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[1240] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, D6, 86 ]
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1324] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 0049ECC0 C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 7E, 84 ]
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 8F, 85 ]
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[1672] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 12, 84 ]
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\nvsvc32.exe[1684] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 0A, 85 ]
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\Explorer.EXE[1724] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, B9, 84 ]
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\PC Tools AntiVirus\PCTAV.exe[1800] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5A, 84 ]
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1840] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 4B, 86 ]
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe[1848] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 88, 84 ]
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe[1860] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 32, 84 ]
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Winamp\winampa.exe[1868] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 57, 84 ]
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre6\bin\jusched.exe[1884] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 42, 84 ]
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\ctfmon.exe[1924] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 37, 85 ]
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!GetStartupInfoA 7C801EF2 6 Bytes JMP 5F0A0F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!GetCommandLineA 7C812FAD 6 Bytes JMP 5F0D0F5A
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1944] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 004DE392 C:\Programme\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys (*** hidden *** ) B6E59000-B6E70000 (94208 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\gaopdxppxlrxsmyojeohpe jepvaqcwodgamduw.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@imagepath \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxp pxlrxsmyojeohpejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxiatcwoacj sgxmxedjtnjenyxikwtdhsx.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ imagepath \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@ group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\ modules
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\ modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxp pxlrxsmyojeohpejepvaqcwodgamduw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\ modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxiatcwoacj sgxmxedjtnjenyxikwtdhsx.dll

---- EOF - GMER 1.0.14 ----

-----Doppelpost zusammengeführt am 22.3.2009 um 18:30:08-----

WARNING Gmer has found any System Modifikation


kam jedesmal wenn eine platte fertig gescannt war

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:
gaopdxserv.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys

Files to delete:
C:\WINDOWS\gaopdxcounter
C:\WINDOWS\system32\drivers\gaopdxppxlrxsmyojeohpejepvaqcwodgamduw.sys
C:\WINDOWS\system32\gaopdxiatcwoacjsgxmxedjtnjenyxikwtdhsx.dll

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag.

Nachdem du das durchgeführt hast, wird es deinem Rechner spürbar besser gehen.

ciao, andreas

da kommt zuerst ne Art warnung alles englisch soll ich ok oder abbrechen??

Welche Warnung? Genauen Wortlaut bitte.

ciao, andreas

mein englisch ist nicht so gut aber wenn ichs richtig verstanden habe .. auf eigenes risiko .. also ok ?

-----Doppelpost zusammengeführt am 22.3.2009 um 18:39:38-----

das kann man nicht kopieren muss es tippen moment bitte

-----Doppelpost zusammengeführt am 22.3.2009 um 18:47:53-----

also bei doppelklick auf die avenger geht bei mir ein kasten auf


The Avenger, (c) by Swandog46. the avenger is a kernel-level windows driver designed to remove highly persistent malicious softwear. Every attempt
has been made to ensure its safety,
but is provided with no warranty whatsoever and his safety cannot be 100% guaranteed!
Please use only under qualified supervision. By clicking OK below, you are agree that in using this programm you do so at your own risk.
Click ok to continue or Cancel to quit


und dann 2 buttons drunter ok und abbrechen

Die qualified supervision ist da, also klick auf OK.

ciao, andreas

ihr seit hammer 1000 tank echt ... ok ich klink mich dann mal aus und folge deiner bzw der avenger anweisung bis später

-----Doppelpost zusammengeführt am 22.3.2009 um 19:03:26-----

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys " deleted successfully.

Error: file "C:\WINDOWS\gaopdxcounter" not found!
Deletion of file "C:\WINDOWS\gaopdxcounter" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\gaopdxppxlrxsmyojeohp ejepvaqcwodgamduw.sys" deleted successfully.
File "C:\WINDOWS\system32\gaopdxiatcwoacjsgxmxedjtnjeny xikwtdhsx.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




aber komme immer noch nicht auf meine platten

-----Doppelpost zusammengeführt am 22.3.2009 um 19:09:42-----

das recycle teil ist immer noch da *megaheul*

Du weißt noch gar nicht, was für ein fieses Teil du auf dem Rechner hast, schau doch mal hier vorbei.

Falls du irgendetwas hast, das du mit dem Computer verbindest, wie SD-Karten, Kamera, Memorysticks, externe Datenträger, ... so hänge vor dem Scan alle an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

also im moment ist alles angeschlossen was ich immer dran habe ... externe, cam, und mein drucker ... das wars



ab und zu hänge ich mal mein handy über USB dran um fotos auf die platte zu verschieben muss ich das jetzt auch dran machen ?? MEIN HANDY ??

Ja, alles, was jemals am Rechner gehangen hat, muss dran sein. Ansonsten infizierst du dich sofort wieder. Hier habe ich gerade einen aktuellen Fall, der genialerweise den Rechner seines Vaters infiziert hat:
XP Prof. fehlermeldung!!!!
XP Prof. fehlermeldung!!!!

ciao, andreas

also bis jetzt hab ich alles meine virensoftwear ist deaktieviert muss ich die firewall auch deaktievieren?

und was das internet angeht nur den browser schliessen oder internet komplett trennen????


sorry das ich nerve

Zitat:

muss ich die firewall auch deaktievieren?

Nein.

Zitat:

und was das internet angeht nur den browser schliessen

Ja.

Zitat:

oder internet komplett trennen?

Nein.

ciao, andreas

Es stand zwar ausdrücklich drin das ich bei der exe weder maus noch tastatur anfassen soll wurde aber aufgefordert mir eine sYSTEMWIEDERHERSTELLUNGSKONSOLE zu installieren was dann nach bestätigung auch automatisch ging ....



als die exe fertig war bekam ich das :


WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Home Edition" /noexecute=optin /fastdetect

Start => Ausführen => notepad c:\combofix.txt (eintippeln) => OK => Alles Markieren, kopieren, hier einfügen.

ciao, andreas

datei C:/combofix.txt kann nicht gefunden werden


möchten sie eine neue datei erstellen?


ja nein