Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Rootkit -> Kann mir jmd AVENGER-Script erstellen?

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Plagegeister aller Art und deren Bekämpfung: Rootkit -> Kann mir jmd AVENGER-Script erstellen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 22.01.2009, 17:31   #1
trailor
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Hallo,

kann mir jemand ein script für AVENGER schreiben damit ich das rootkit, das GMER gefunden hat loswerden kann? Hab schon woanders gepostet wo´s um das gleich problem ging, aber ich glauber der Thread ist abgeschlossen, da ist ein Hackerl davor (w*w.trojaner-board.de/68676-anti-viren-programme-koennen-keine-verbindung-mehr-zum-updaten-herstellen-4.html)

Jedenfalls wenn ich das richtig verstehe brauch ich ein eigenes Avenger-Skript um das zu löschen....

Und wenn ich das gelöscht habe, kann ich dann genauso weiter vorgehn wie im anderen Thread beschrieben oder ists mit löschen quasi erledigt? (oder Wieso ists mit löschen nicht erledigt?)

DANKE!

Hier das Log von Gmer:
Code:
ATTFilter
GMER 1.0.14.14536 - http://w*w.gmer.net
Rootkit scan 2009-01-22 10:02:55
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                 ZwCreateKey [0xF768087E]
SSDT            F7D436AC                                                                                          ZwCreateThread
SSDT            F7D43698                                                                                          ZwOpenProcess
SSDT            F7D4369D                                                                                          ZwOpenThread
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                 ZwSetValueKey [0xF7680C10]
SSDT            F7D436A7                                                                                          ZwTerminateProcess
SSDT            F7D436A2                                                                                          ZwWriteVirtualMemory

Code            864DFE78                                                                                          ZwEnumerateKey
Code            864E0038                                                                                          ZwFlushInstructionCache
Code            864E0900                                                                                          ZwQueryValueKey
Code            F33FDC80                                                                                          pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                              805B528A 5 Bytes  JMP 864E003C 
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                                                      806201CA 5 Bytes  JMP 864E0904 
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                       80622950 5 Bytes  JMP 864DFE7C 

---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                         Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                          fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module          \systemroot\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** )                                 F33FC000-F3424000 (163840 bytes)                                        

---- Services - GMER 1.0.14 ----

Service         C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** )                                  [SYSTEM] gaopdxserv.sys                                                  <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                       1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                        1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                                   \systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                       file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                          \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                             \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys                                                 
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start                                           1
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type                                            1
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath                                       \systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group                                           file system
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules                                         
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv                              \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl                                 \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@Class           0x6A 0xB1 0x00 0x19 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@Class           0x40 0x85 0x79 0x57 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@Class           0xBA 0x11 0x3A 0xAE ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@Class           0x67 0xA9 0xA5 0x6E ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@Class           0x0A 0x4F 0x73 0x49 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@Class           0x4C 0x7C 0x10 0x74 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@Class           0xFA 0x1B 0xC0 0x7B ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\gaopdxvx                                                                    
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxrun                                                          71
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpff                                                          8233
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxaff                                                          3230
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxsrv                                                          -1056770279
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpos                                                          "xsrzu?n=efhded`ox<jammhkYWB

---- EOF - GMER 1.0.14 ----

Alt 22.01.2009, 18:27   #2
trailor
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Uh oh, das werden immer mehr!
ich lad mir mal McAfee Rootkit Detective Beta runter und probiers damit. Wenn jmd Tips hat bitte nicht zurückhalten. Melde mich wies ausschaut.


Code:
ATTFilter
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-22 18:24:44
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                 ZwCreateKey [0xF768087E]                                                    <-- ROOTKIT !!!
SSDT            F7CD0D24                                                                                          ZwCreateThread
SSDT            F7CD0D10                                                                                          ZwOpenProcess
SSDT            F7CD0D15                                                                                          ZwOpenThread
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                 ZwSetValueKey [0xF7680C10]                                                  <-- ROOTKIT !!!
SSDT            F7CD0D1F                                                                                          ZwTerminateProcess
SSDT            F7CD0D1A                                                                                          ZwWriteVirtualMemory

Code            864C9DF8                                                                                          ZwEnumerateKey
Code            864CA108                                                                                          ZwFlushInstructionCache
Code            864CA930                                                                                          ZwQueryValueKey
Code            F3C9BC80                                                                                          pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                              805B528A 5 Bytes  JMP 864CA10C 
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                                                      806201CA 5 Bytes  JMP 864CA934 
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                       80622950 5 Bytes  JMP 864C9DFC 

---- User code sections - GMER 1.0.14 ----

.text           C:\Programme\Winamp\winamp.exe[3216] USER32.dll!SetScrollInfo                                     7E369056 7 Bytes  JMP 0140A68D C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text           C:\Programme\Winamp\winamp.exe[3216] USER32.dll!GetScrollInfo                                     7E370DA2 7 Bytes  JMP 0140A615 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text           C:\Programme\Winamp\winamp.exe[3216] USER32.dll!ShowScrollBar                                     7E37F2B3 5 Bytes  JMP 0140A711 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text           C:\Programme\Winamp\winamp.exe[3216] USER32.dll!GetScrollPos                                      7E37F6C4 5 Bytes  JMP 0140A63D C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text           C:\Programme\Winamp\winamp.exe[3216] USER32.dll!SetScrollPos                                      7E37F710 5 Bytes  JMP 0140A6B8 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text           C:\Programme\Winamp\winamp.exe[3216] USER32.dll!GetScrollRange                                    7E37F747 5 Bytes  JMP 0140A662 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text           C:\Programme\Winamp\winamp.exe[3216] USER32.dll!SetScrollRange                                    7E37F95B 5 Bytes  JMP 0140A6E3 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text           C:\Programme\Winamp\winamp.exe[3216] USER32.dll!EnableScrollBar                                   7E3B7DDD 7 Bytes  JMP 0140A5ED C:\Programme\Winamp\Plugins\gen_jumpex.dll

---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                         Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                          fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module          \systemroot\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** )                                 F3C9A000-F3CC2000 (163840 bytes)                                           

---- Services - GMER 1.0.14 ----

Service         C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** )                                  [SYSTEM] gaopdxserv.sys                                                     <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                       1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                        1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                                   \systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                       file system
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                          \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                             \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys                                                 
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start                                           1
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type                                            1
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath                                       \systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group                                           file system
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules                                         
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv                              \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl                                 \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@Class           0x6A 0xB1 0x00 0x19 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@Class           0x40 0x85 0x79 0x57 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@Class           0xBA 0x11 0x3A 0xAE ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@Class           0x67 0xA9 0xA5 0x6E ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@Class           0x0A 0x4F 0x73 0x49 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@Class           0x4C 0x7C 0x10 0x74 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@Class           0xFA 0x1B 0xC0 0x7B ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\gaopdxvx                                                                    
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxrun                                                          71
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpff                                                          8233
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxaff                                                          3230
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxsrv                                                          -1056770279
Reg             HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpos                                                          "xsrzu?n=efhded`ox<jammhkYWB

---- EOF - GMER 1.0.14 ----
__________________
Alt 22.01.2009, 18:32   #3
Eminemstyle
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


dann bitte einen Blacklight und Log posten
__________________
__________________
Alt 22.01.2009, 23:25   #4
trailor
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

AW1/2: Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Nachdem ich auf "Execute" geklickt habe hat sich ein Pop-up Fenster geöffent von Spybot Search&Destroy ob ich eine
registry Änderung erlaube von cleanup.exe -> ich hab das dann abgelehnt weil ich nicht wußte ob das gut oder böse ist.

Jetzt hab ich nachm Neustart unter C:\ ein "cleanup.bat", "cleanup.exe" und "zip.exe" file.
Ist das auch was malware-artiges oder gehört das zum Avenger?


Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath:  \systemroot\system32\drivers\gaopdxnwnfxixk.sys 
Start Type:  1 (System)

Rootkit scan completed.

File "C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.



Blacklight hat nix gefunden, log von BlackLight:


Code:
ATTFilter
01/22/09 21:44:56 [Info]: BlackLight Engine 2.2.1092 initialized
01/22/09 21:44:56 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/22/09 21:44:56 [Note]: 7019 4
01/22/09 21:44:56 [Note]: 7005 0
01/22/09 21:45:01 [Note]: 7006 0
01/22/09 21:45:02 [Note]: 7011 1520
01/22/09 21:45:02 [Note]: 7035 0
01/22/09 21:45:02 [Note]: 7026 0
01/22/09 21:45:02 [Note]: 7026 0
01/22/09 21:45:06 [Note]: FSRAW library version 1.7.1024
01/22/09 22:20:37 [Note]: 7007 0

Ich habe nochmal Germ scannen lassen, und da er nochwas gefunden hat, hab ich McAfee Rootkit Deteciteve laufen lassen -> der hat 15 "Hidden registry keys/values" gefunden, alles "gaopdxserv.sys" -> also hab ich alle markiert und Delete geklickt. Es waren auch noch ein paar "hooked services" dabei, aber da konnte ich ersten nix mit machen, und zweitens waren die schon nimma so eindeutig.

Nachm Neustart hab ich jetzt nochmal GMER drüberlaufen lassen, log wie folgt:
Code:
ATTFilter
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-22 23:11:42
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                 ZwCreateKey [0xF768087E]
SSDT            F7D2864C                                                                                          ZwCreateThread
SSDT            F7D28638                                                                                          ZwOpenProcess
SSDT            F7D2863D                                                                                          ZwOpenThread
SSDT            Lbd.sys (Boot Driver/Lavasoft AB)                                                                 ZwSetValueKey [0xF7680C10]
SSDT            F7D28647                                                                                          ZwTerminateProcess
SSDT            F7D28642                                                                                          ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                         Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                          fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                          \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                             \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules.REN                                 
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules                                         
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv                              \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl                                 \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules.REN                                     
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@Class           0x6A 0xB1 0x00 0x19 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@Class           0x40 0x85 0x79 0x57 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@Class           0xBA 0x11 0x3A 0xAE ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@Class           0x67 0xA9 0xA5 0x6E ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@Class           0x0A 0x4F 0x73 0x49 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@Class           0x4C 0x7C 0x10 0x74 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32                 
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@Class           0xFA 0x1B 0xC0 0x7B ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ThreadingModel  Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@                C:\WINDOWS\system32\OLE32.DLL

---- EOF - GMER 1.0.14 ----

Alt 22.01.2009, 23:35   #5
trailor
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

AW 2/2: Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Das Updaten von Antivir und AdAware funktioniert jetzt auch wieder, was es bisher nicht gemacht hat (nur bei Malwarebytes hat das updaten funktioniert)

Was heißt das denn (das Fragezeichen), ich dachte McAffee hat diese ganzen gaopdxn-Dinger gelöscht??:
"\\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys"


Ist mein PC jetzt wieder gesund?

Ich lass nochmal McAffee RK Detective drüberlaufen, werd das log gegebenenfalls hier posten.


Was kann ich denn machen um das Risiko zu minimieren dass sowas nochmal passiert? Ich hab keine ahnung woher der Trojaner/Wurm/Virus etc. kam.
Ich hatte Windows-Firewall, Antivir, AdAware, Spybot S&D. Werd das jetzt um Malwarebytes und Rootkit Detective erweitern... ?


Alt 23.01.2009, 00:02   #6
trailor
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Ich hab jetzt bereits zum 2.Mal mit McAffee registry Detective gescannt, gelöscht, neu gestartet ---> UND er findet immer wieder was! nur heißen die Dinger jetzt anders, ich glaub er schreibt "modules.REN(.REN)" statt nur modules teilweise.

WAS kann ich noch machen um das loszuwerden?

Nochmal Avenger?

Hier im folgenden das McAffee log in 2 Teilen, weils sonst zuviel zeichen hat:
Code:
ATTFilter
McAfee(R) Rootkit Detective 1.1 scan report
On 22-01-2009 at 18:30:58
OS-Version 5.1.2600
Service Pack 2.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: C:\WINDOWS\system32\drivers\Lbd.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: C:\WINDOWS\system32\drivers\Lbd.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwWriteVirtualMemory
Object-Path: (NULL)

Object-Type: Process
Object-Name: fpassist.exe
Pid: 1704
Object-Path: C:\Programme\FreePDF_XP\fpassist.exe
Status: Visible

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path: 
Status: Visible

Object-Type: Process
Object-Name: ehrecvr.exe
Pid: 1984
Object-Path: C:\WINDOWS\eHome\ehRecvr.exe
Status: Visible

Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1240
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: AAWTray.exe
Pid: 1736
Object-Path: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
Status: Visible

Object-Type: File/Folder
Object-Name: gaopdxnwnfxixk.sys
Pid: n/a
Object-Path: C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys
Status: Hidden

Object-Type: Process
Object-Name: mDNSResponder.e
Pid: 1924
Object-Path: C:\Programme\Bonjour\mDNSResponder.exe
Status: Visible

Object-Type: Process
Object-Name: ehmsas.exe
Pid: 3660
Object-Path: C:\WINDOWS\eHome\ehmsas.exe
Status: Visible

Object-Type: Process
Object-Name: nvsvc32.exe
Pid: 468
Object-Path: C:\WINDOWS\system32\nvsvc32.exe
Status: Visible

Object-Type: Process
Object-Name: dllhost.exe
Pid: 3320
Object-Path: C:\WINDOWS\system32\dllhost.exe
Status: Visible

Object-Type: Process
Object-Name: wisptis.exe
Pid: 716
Object-Path: C:\WINDOWS\system32\wisptis.exe
Status: Visible

Object-Type: File/Folder
Object-Name: gaopdxjenbvrlx.sys
Pid: n/a
Object-Path: C:\WINDOWS\system32\drivers\gaopdxjenbvrlx.sys
Status: Hidden

Object-Type: Process
Object-Name: skypePM.exe
Pid: 3972
Object-Path: C:\Programme\Skype\Plugin Manager\skypePM.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path: 
Status: Visible

Object-Type: Process
Object-Name: X10nets.exe
Pid: 1276
Object-Path: C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Status: Visible

Object-Type: Process
Object-Name: lsass.exe
Pid: 564
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: zHotkey.exe
Pid: 1680
Object-Path: C:\WINDOWS\zHotkey.exe
Status: Visible

Object-Type: File/Folder
Object-Name: gaopdxhmxojxqj.sys
Pid: n/a
Object-Path: C:\WINDOWS\system32\drivers\gaopdxhmxojxqj.sys
Status: Hidden

Object-Type: Process
Object-Name: TeaTimer.exe
Pid: 1744
Object-Path: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
Status: Visible

Alt 23.01.2009, 00:03   #7
trailor
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Teil 2:
Code:
ATTFilter
Object-Type: Process
Object-Name: sched.exe
Pid: 1868
Object-Path: C:\Programme\AntiVir PersonalEdition Classic\sched.exe
Status: Visible

Object-Type: Process
Object-Name: Skype.exe
Pid: 876
Object-Path: C:\Programme\Skype\Phone\Skype.exe
Status: Visible

Object-Type: Process
Object-Name: winlogon.exe
Pid: 504
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1404
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: unsecapp.exe
Pid: 3172
Object-Path: C:\WINDOWS\system32\wbem\unsecapp.exe
Status: Visible

Object-Type: Process
Object-Name: AAWService.exe
Pid: 1064
Object-Path: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
Status: Visible

Object-Type: Process
Object-Name: acrotray.exe
Pid: 384
Object-Path: C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1004
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 788
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: explorer.exe
Pid: 1532
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: wmpnscfg.exe
Pid: 1844
Object-Path: C:\Programme\Windows Media Player\WMPNSCFG.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 1472
Object-Path: C:\Dokumente und Einstellungen\MIAM\Eigene Dateien\Programme\AntiMalware Products\RootkitDetective McAfee\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: csrss.exe
Pid: 480
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: ehSched.exe
Pid: 2032
Object-Path: C:\WINDOWS\eHome\ehSched.exe
Status: Visible

Object-Type: Process
Object-Name: smss.exe
Pid: 420
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 948
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: File/Folder
Object-Name: gaopdxdlhnoupv.sys
Pid: n/a
Object-Path: C:\WINDOWS\system32\drivers\gaopdxdlhnoupv.sys
Status: Hidden

Object-Type: File/Folder
Object-Name: gaopdxstmdltuc.dll
Pid: n/a
Object-Path: C:\WINDOWS\system32\gaopdxstmdltuc.dll
Status: Hidden

Object-Type: Process
Object-Name: avgnt.exe
Pid: 1696
Object-Path: C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 860
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: oldmcdonald.exe
Pid: 1728
Object-Path: C:\Programme\Autorun Eater\oldmcdonald.exe
Status: Visible

Object-Type: Process
Object-Name: wmiprvse.exe
Pid: 3248
Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 3528
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: services.exe
Pid: 552
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: grpwise.exe
Pid: 4056
Object-Path: C:\Novell\GroupWise\grpwise.exe
Status: Visible

Object-Type: Process
Object-Name: billy.exe
Pid: 1608
Object-Path: C:\Programme\Autorun Eater\billy.exe
Status: Visible

Object-Type: Process
Object-Name: wmpnetwk.exe
Pid: 2476
Object-Path: C:\Programme\Windows Media Player\WMPNetwk.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 740
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: avguard.exe
Pid: 1888
Object-Path: C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
Status: Visible

Object-Type: Process
Object-Name: mcrdsvc.exe
Pid: 2384
Object-Path: C:\WINDOWS\ehome\mcrdsvc.exe
Status: Visible

Object-Type: Process
Object-Name: ehtray.exe
Pid: 1640
Object-Path: C:\WINDOWS\ehome\ehtray.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 308
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe

Pid: 928
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: rundll32.exe
Pid: 1672
Object-Path: C:\WINDOWS\system32\RunDll32.exe
Status: Visible

Scan complete. Found hidden Processes and Files: 5   .
Total files scanned: 145816
Scanning did not complete due to the user interruption.
McAfee(R) Rootkit Detective 1.1 scan report
On 22-01-2009 at 21:23:24
OS-Version 5.1.2600
Service Pack 2.0
====================================
und so weiter..... endet mit
Code:
ATTFilter
Scan complete. Hidden registry keys/values: 9

Alt 23.01.2009, 07:41   #8
BIOTEC
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Rootkits sind garnicht gut.....garnicht gut!

Warte mal was die Profis hier sagen, aber ich persönlich halte ein Neuaufsetzen für nötig....

Aber warte mal ab was die Profis dir raten!

Gruss BIOTEC

Alt 23.01.2009, 08:05   #9
Chris4You
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Hi,

bitte wende mal das hier an:
http://www.trojaner-board.de/51871-a...tispyware.html

Poste das Log; Es sollte als "rootkit agent called GEN-GAOPDX" gefunden und eliminiert werden. Der ist generisch und hat zwei Teile, eine DLL und einen Treiber, eines von beiden löschen hilft nichts, es müssen beide parallel eliminiert werden...

chris

Ps.: Auf jeden Fall den Teatimer abschalten, der verhindert eine Bereinigung...
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 23.01.2009, 08:34   #10
trailor
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


ok, ich versuchs mal. Meld mich asap wieder.
Geändert von trailor (23.01.2009 um 08:36 Uhr) Grund: zuviel text

Alt 23.01.2009, 10:48   #11
trailor
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Ok, was gefunden:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/23/2009 at 10:35 AM

Application Version : 4.25.1012

Core Rules Database Version : 3723
Trace Rules Database Version: 1697

Scan type       : Complete Scan
Total Scan Time : 01:31:22

Memory items scanned      : 449
Memory threats detected   : 0
Registry items scanned    : 5603
Registry threats detected : 0
File items scanned        : 147517
File threats detected     : 6

Unclassified.Unknown Origin
	C:\DOKUMENTE UND EINSTELLUNGEN\MIAM\EIGENE DATEIEN\PROGRAMME\DUMETER KEYGEN!\KEYGEN.NFO
	C:\PROGRAMME\DU METER\DUMETER KEYGEN!\KEYGEN.NFO

Rootkit.Agent/Gen-GAOPDX
	C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXDLHNOUPV.SYS
	C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXHMXOJXQJ.SYS
	C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXJENBVRLX.SYS
	C:\WINDOWS\SYSTEM32\GAOPDXSTMDLTUC.DLL

Alt 23.01.2009, 16:13   #12
Chris4You
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Hi,

bitte die Dinger in Quarantäne schicken...
Dann MAM von der Leine lassen...
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Poste das Log von MAM und ein neues HJ-Log...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 23.01.2009, 16:47   #13
KarlKarl
/// Helfer-Team
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Immerhin weiß man dann auch, wo diese netten Infektionen herkommen
Zitat:
C:\DOKUMENTE UND EINSTELLUNGEN\MIAM\EIGENE DATEIEN\PROGRAMME\DUMETER KEYGEN!\KEYGEN.NFO
C:\PROGRAMME\DU METER\DUMETER KEYGEN!\KEYGEN.NFO
Und die Kollegen schauen mir über die Schulter und lachen

Alt 23.01.2009, 17:03   #14
Chris4You
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


@KarlKarl,
Jo, schon gesehen, aber so isses halt, die Jungs werden nicht schlauer...
So, Feierabend...
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 24.01.2009, 13:21   #15
trailor
 
Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Standard

Rootkit -> Kann mir jmd AVENGER-Script erstellen?


Ich glaube jetzt passts...
hab mit SuperAntiSpy gelöscht und dann im gesicherten Modus 7 h gescannt, und er hat nix mehr gefungen.
Ich konnte zwar aus dem gesicherten Modus nur raus indem ich bei BootSafe auf Normalen Modus einstellte, weil mscconfig funktionierte nicht,

aber jetzt dürfts passen. Ich lass jetzt nochmal GMER drüberlaufen,....

Vielen, vielen Dank an Euch die ihr mir hier und anderen Malware/Windows-Opfern helft.

Ich stell das GMER hier nochmal online, wär super wenn mir jmd bestätigen könnte das jetzt alles gut ist

FEHLALARM, aber jetzt geb ich mich gelschlagen, werd den PC neu aufsetzen.
Geändert von trailor (24.01.2009 um 14:00 Uhr)

Antwort
Seite 1 von 2 1 2

Themen zu Rootkit -> Kann mir jmd AVENGER-Script erstellen?
0 bytes, anderen, boot, brauch, bytes, c:\windows, code, filter, gelöscht, gmer, inprocserver32, log, loswerden, microsoft, problem, registry, rootkit, scan, script, service, services, software, start, system, system32, thread, zwcreatekey


« Hilfe...Trojaner freifen an! | Kein Autoplay bei CD/DVD Laufwerk durch Combofix »


Ähnliche Themen: Rootkit -> Kann mir jmd AVENGER-Script erstellen?


  1. Windows 7: Browser kann keine Internetverbindung erstellen
    Log-Analyse und Auswertung - 16.05.2014 (13)
  2. BKA Trojaner - OTLPE Fix scan - kann mir jemand diese Datei erstellen?Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 13.02.2014 (5)
  3. GVU Trojaner - kann mir jemand den Fix erstellen / OTL.txt+extra.txt gepostet
    Plagegeister aller Art und deren Bekämpfung - 28.06.2013 (2)
  4. GUV Trojaner - nichts hilft - Defrogger kann kein Logfile erstellen
    Log-Analyse und Auswertung - 09.05.2013 (53)
  5. Wer kann mir für OTL die Fix.txt erstellen?
    Log-Analyse und Auswertung - 16.04.2013 (5)
  6. Trojaner, 69482745, Kann nur mehr Verknüpfungen am USB Data Traveler erstellen
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (1)
  7. [doppelt]OTLPE kann keine Log-Datei erstellen - Bundespolizei Trojaner
    Mülltonne - 02.12.2011 (2)
  8. BKA Trojaner - OTLPE Fix scan - wie kann ich diese Datei erstellen
    Log-Analyse und Auswertung - 16.11.2011 (33)
  9. Wie kann ich eine trojaner erstellen mit einem backdor programm darauf
    Mülltonne - 04.04.2011 (1)
  10. Ich kann keinen Beitrag erstellen !
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (1)
  11. Wie kann ich keyloggervirus erstellen ?
    Mülltonne - 21.04.2010 (2)
  12. Avenger als gefährliches Tool?
    Diskussionsforum - 10.01.2010 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit -> Kann mir jmd AVENGER-Script erstellen? - Hallo, kann mir jemand ein script für AVENGER schreiben damit ich das rootkit, das GMER gefunden hat loswerden kann? Hab schon woanders gepostet wo´s um das gleich problem ging, aber - Rootkit -> Kann mir jmd AVENGER-Script erstellen?...
Archiv
Du betrachtest: Rootkit -> Kann mir jmd AVENGER-Script erstellen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131