|
Plagegeister aller Art und deren Bekämpfung: Rootkit -> Kann mir jmd AVENGER-Script erstellen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.01.2009, 17:31 | #1 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Hallo, kann mir jemand ein script für AVENGER schreiben damit ich das rootkit, das GMER gefunden hat loswerden kann? Hab schon woanders gepostet wo´s um das gleich problem ging, aber ich glauber der Thread ist abgeschlossen, da ist ein Hackerl davor (w*w.trojaner-board.de/68676-anti-viren-programme-koennen-keine-verbindung-mehr-zum-updaten-herstellen-4.html) Jedenfalls wenn ich das richtig verstehe brauch ich ein eigenes Avenger-Skript um das zu löschen.... Und wenn ich das gelöscht habe, kann ich dann genauso weiter vorgehn wie im anderen Thread beschrieben oder ists mit löschen quasi erledigt? (oder Wieso ists mit löschen nicht erledigt?) DANKE! Hier das Log von Gmer: Code:
ATTFilter GMER 1.0.14.14536 - http://w*w.gmer.net Rootkit scan 2009-01-22 10:02:55 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF768087E] SSDT F7D436AC ZwCreateThread SSDT F7D43698 ZwOpenProcess SSDT F7D4369D ZwOpenThread SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF7680C10] SSDT F7D436A7 ZwTerminateProcess SSDT F7D436A2 ZwWriteVirtualMemory Code 864DFE78 ZwEnumerateKey Code 864E0038 ZwFlushInstructionCache Code 864E0900 ZwQueryValueKey Code F33FDC80 pIofCallDriver ---- Kernel code sections - GMER 1.0.14 ---- PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528A 5 Bytes JMP 864E003C PAGE ntkrnlpa.exe!ZwQueryValueKey 806201CA 5 Bytes JMP 864E0904 PAGE ntkrnlpa.exe!ZwEnumerateKey 80622950 5 Bytes JMP 864DFE7C ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Modules - GMER 1.0.14 ---- Module \systemroot\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** ) F33FC000-F3424000 (163840 bytes) ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@Class 0x6A 0xB1 0x00 0x19 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@Class 0x40 0x85 0x79 0x57 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@Class 0xBA 0x11 0x3A 0xAE ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@Class 0x67 0xA9 0xA5 0x6E ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@Class 0x0A 0x4F 0x73 0x49 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@Class 0x4C 0x7C 0x10 0x74 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@Class 0xFA 0x1B 0xC0 0x7B ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\gaopdxvx Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxrun 71 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpff 8233 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxaff 3230 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxsrv -1056770279 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpos "xsrzu?n=efhded`ox<jammhkYWB ---- EOF - GMER 1.0.14 ---- |
22.01.2009, 18:27 | #2 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Uh oh, das werden immer mehr!
__________________ich lad mir mal McAfee Rootkit Detective Beta runter und probiers damit. Wenn jmd Tips hat bitte nicht zurückhalten. Melde mich wies ausschaut. Code:
ATTFilter GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-01-22 18:24:44 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF768087E] <-- ROOTKIT !!! SSDT F7CD0D24 ZwCreateThread SSDT F7CD0D10 ZwOpenProcess SSDT F7CD0D15 ZwOpenThread SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF7680C10] <-- ROOTKIT !!! SSDT F7CD0D1F ZwTerminateProcess SSDT F7CD0D1A ZwWriteVirtualMemory Code 864C9DF8 ZwEnumerateKey Code 864CA108 ZwFlushInstructionCache Code 864CA930 ZwQueryValueKey Code F3C9BC80 pIofCallDriver ---- Kernel code sections - GMER 1.0.14 ---- PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528A 5 Bytes JMP 864CA10C PAGE ntkrnlpa.exe!ZwQueryValueKey 806201CA 5 Bytes JMP 864CA934 PAGE ntkrnlpa.exe!ZwEnumerateKey 80622950 5 Bytes JMP 864C9DFC ---- User code sections - GMER 1.0.14 ---- .text C:\Programme\Winamp\winamp.exe[3216] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 0140A68D C:\Programme\Winamp\Plugins\gen_jumpex.dll .text C:\Programme\Winamp\winamp.exe[3216] USER32.dll!GetScrollInfo 7E370DA2 7 Bytes JMP 0140A615 C:\Programme\Winamp\Plugins\gen_jumpex.dll .text C:\Programme\Winamp\winamp.exe[3216] USER32.dll!ShowScrollBar 7E37F2B3 5 Bytes JMP 0140A711 C:\Programme\Winamp\Plugins\gen_jumpex.dll .text C:\Programme\Winamp\winamp.exe[3216] USER32.dll!GetScrollPos 7E37F6C4 5 Bytes JMP 0140A63D C:\Programme\Winamp\Plugins\gen_jumpex.dll .text C:\Programme\Winamp\winamp.exe[3216] USER32.dll!SetScrollPos 7E37F710 5 Bytes JMP 0140A6B8 C:\Programme\Winamp\Plugins\gen_jumpex.dll .text C:\Programme\Winamp\winamp.exe[3216] USER32.dll!GetScrollRange 7E37F747 5 Bytes JMP 0140A662 C:\Programme\Winamp\Plugins\gen_jumpex.dll .text C:\Programme\Winamp\winamp.exe[3216] USER32.dll!SetScrollRange 7E37F95B 5 Bytes JMP 0140A6E3 C:\Programme\Winamp\Plugins\gen_jumpex.dll .text C:\Programme\Winamp\winamp.exe[3216] USER32.dll!EnableScrollBar 7E3B7DDD 7 Bytes JMP 0140A5ED C:\Programme\Winamp\Plugins\gen_jumpex.dll ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Modules - GMER 1.0.14 ---- Module \systemroot\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** ) F3C9A000-F3CC2000 (163840 bytes) ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@Class 0x6A 0xB1 0x00 0x19 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@Class 0x40 0x85 0x79 0x57 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@Class 0xBA 0x11 0x3A 0xAE ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@Class 0x67 0xA9 0xA5 0x6E ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@Class 0x0A 0x4F 0x73 0x49 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@Class 0x4C 0x7C 0x10 0x74 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@Class 0xFA 0x1B 0xC0 0x7B ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\gaopdxvx Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxrun 71 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpff 8233 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxaff 3230 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxsrv -1056770279 Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpos "xsrzu?n=efhded`ox<jammhkYWB ---- EOF - GMER 1.0.14 ---- |
22.01.2009, 18:32 | #3 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Anleitung Avenger (by swandog46)
__________________Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Files to delete: C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys
dann bitte einen Blacklight und Log posten
__________________ |
22.01.2009, 23:25 | #4 |
| AW1/2: Rootkit -> Kann mir jmd AVENGER-Script erstellen? Nachdem ich auf "Execute" geklickt habe hat sich ein Pop-up Fenster geöffent von Spybot Search&Destroy ob ich eine registry Änderung erlaube von cleanup.exe -> ich hab das dann abgelehnt weil ich nicht wußte ob das gut oder böse ist. Jetzt hab ich nachm Neustart unter C:\ ein "cleanup.bat", "cleanup.exe" und "zip.exe" file. Ist das auch was malware-artiges oder gehört das zum Avenger? Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 h**p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "gaopdxserv.sys" found! ImagePath: \systemroot\system32\drivers\gaopdxnwnfxixk.sys Start Type: 1 (System) Rootkit scan completed. File "C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys" deleted successfully. Completed script processing. ******************* Finished! Terminate. Blacklight hat nix gefunden, log von BlackLight: Code:
ATTFilter 01/22/09 21:44:56 [Info]: BlackLight Engine 2.2.1092 initialized 01/22/09 21:44:56 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/22/09 21:44:56 [Note]: 7019 4 01/22/09 21:44:56 [Note]: 7005 0 01/22/09 21:45:01 [Note]: 7006 0 01/22/09 21:45:02 [Note]: 7011 1520 01/22/09 21:45:02 [Note]: 7035 0 01/22/09 21:45:02 [Note]: 7026 0 01/22/09 21:45:02 [Note]: 7026 0 01/22/09 21:45:06 [Note]: FSRAW library version 1.7.1024 01/22/09 22:20:37 [Note]: 7007 0 Ich habe nochmal Germ scannen lassen, und da er nochwas gefunden hat, hab ich McAfee Rootkit Deteciteve laufen lassen -> der hat 15 "Hidden registry keys/values" gefunden, alles "gaopdxserv.sys" -> also hab ich alle markiert und Delete geklickt. Es waren auch noch ein paar "hooked services" dabei, aber da konnte ich ersten nix mit machen, und zweitens waren die schon nimma so eindeutig. Nachm Neustart hab ich jetzt nochmal GMER drüberlaufen lassen, log wie folgt: Code:
ATTFilter GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-01-22 23:11:42 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF768087E] SSDT F7D2864C ZwCreateThread SSDT F7D28638 ZwOpenProcess SSDT F7D2863D ZwOpenThread SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF7680C10] SSDT F7D28647 ZwTerminateProcess SSDT F7D28642 ZwWriteVirtualMemory ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules.REN Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules.REN Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@Class 0x6A 0xB1 0x00 0x19 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@Class 0x40 0x85 0x79 0x57 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@Class 0xBA 0x11 0x3A 0xAE ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@Class 0x67 0xA9 0xA5 0x6E ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@Class 0x0A 0x4F 0x73 0x49 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@Class 0x4C 0x7C 0x10 0x74 ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@Class 0xFA 0x1B 0xC0 0x7B ... Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL ---- EOF - GMER 1.0.14 ---- |
22.01.2009, 23:35 | #5 |
| AW 2/2: Rootkit -> Kann mir jmd AVENGER-Script erstellen? Das Updaten von Antivir und AdAware funktioniert jetzt auch wieder, was es bisher nicht gemacht hat (nur bei Malwarebytes hat das updaten funktioniert) Was heißt das denn (das Fragezeichen), ich dachte McAffee hat diese ganzen gaopdxn-Dinger gelöscht??: "\\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys" Ist mein PC jetzt wieder gesund? Ich lass nochmal McAffee RK Detective drüberlaufen, werd das log gegebenenfalls hier posten. Was kann ich denn machen um das Risiko zu minimieren dass sowas nochmal passiert? Ich hab keine ahnung woher der Trojaner/Wurm/Virus etc. kam. Ich hatte Windows-Firewall, Antivir, AdAware, Spybot S&D. Werd das jetzt um Malwarebytes und Rootkit Detective erweitern... ? |
23.01.2009, 00:02 | #6 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Ich hab jetzt bereits zum 2.Mal mit McAffee registry Detective gescannt, gelöscht, neu gestartet ---> UND er findet immer wieder was! nur heißen die Dinger jetzt anders, ich glaub er schreibt "modules.REN(.REN)" statt nur modules teilweise. WAS kann ich noch machen um das loszuwerden? Nochmal Avenger? Hier im folgenden das McAffee log in 2 Teilen, weils sonst zuviel zeichen hat: Code:
ATTFilter McAfee(R) Rootkit Detective 1.1 scan report On 22-01-2009 at 18:30:58 OS-Version 5.1.2600 Service Pack 2.0 ==================================== Object-Type: SSDT-hook Object-Name: ZwCreateKey Object-Path: C:\WINDOWS\system32\drivers\Lbd.sys Object-Type: SSDT-hook Object-Name: ZwCreateThread Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwOpenProcess Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwOpenThread Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwSetValueKey Object-Path: C:\WINDOWS\system32\drivers\Lbd.sys Object-Type: SSDT-hook Object-Name: ZwTerminateProcess Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwWriteVirtualMemory Object-Path: (NULL) Object-Type: Process Object-Name: fpassist.exe Pid: 1704 Object-Path: C:\Programme\FreePDF_XP\fpassist.exe Status: Visible Object-Type: Process Object-Name: System Idle Process Pid: 0 Object-Path: Status: Visible Object-Type: Process Object-Name: ehrecvr.exe Pid: 1984 Object-Path: C:\WINDOWS\eHome\ehRecvr.exe Status: Visible Object-Type: Process Object-Name: spoolsv.exe Pid: 1240 Object-Path: C:\WINDOWS\system32\spoolsv.exe Status: Visible Object-Type: Process Object-Name: AAWTray.exe Pid: 1736 Object-Path: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe Status: Visible Object-Type: File/Folder Object-Name: gaopdxnwnfxixk.sys Pid: n/a Object-Path: C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys Status: Hidden Object-Type: Process Object-Name: mDNSResponder.e Pid: 1924 Object-Path: C:\Programme\Bonjour\mDNSResponder.exe Status: Visible Object-Type: Process Object-Name: ehmsas.exe Pid: 3660 Object-Path: C:\WINDOWS\eHome\ehmsas.exe Status: Visible Object-Type: Process Object-Name: nvsvc32.exe Pid: 468 Object-Path: C:\WINDOWS\system32\nvsvc32.exe Status: Visible Object-Type: Process Object-Name: dllhost.exe Pid: 3320 Object-Path: C:\WINDOWS\system32\dllhost.exe Status: Visible Object-Type: Process Object-Name: wisptis.exe Pid: 716 Object-Path: C:\WINDOWS\system32\wisptis.exe Status: Visible Object-Type: File/Folder Object-Name: gaopdxjenbvrlx.sys Pid: n/a Object-Path: C:\WINDOWS\system32\drivers\gaopdxjenbvrlx.sys Status: Hidden Object-Type: Process Object-Name: skypePM.exe Pid: 3972 Object-Path: C:\Programme\Skype\Plugin Manager\skypePM.exe Status: Visible Object-Type: Process Object-Name: System Pid: 4 Object-Path: Status: Visible Object-Type: Process Object-Name: X10nets.exe Pid: 1276 Object-Path: C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Status: Visible Object-Type: Process Object-Name: lsass.exe Pid: 564 Object-Path: C:\WINDOWS\system32\lsass.exe Status: Visible Object-Type: Process Object-Name: zHotkey.exe Pid: 1680 Object-Path: C:\WINDOWS\zHotkey.exe Status: Visible Object-Type: File/Folder Object-Name: gaopdxhmxojxqj.sys Pid: n/a Object-Path: C:\WINDOWS\system32\drivers\gaopdxhmxojxqj.sys Status: Hidden Object-Type: Process Object-Name: TeaTimer.exe Pid: 1744 Object-Path: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe Status: Visible |
23.01.2009, 00:03 | #7 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Teil 2: Code:
ATTFilter Object-Type: Process Object-Name: sched.exe Pid: 1868 Object-Path: C:\Programme\AntiVir PersonalEdition Classic\sched.exe Status: Visible Object-Type: Process Object-Name: Skype.exe Pid: 876 Object-Path: C:\Programme\Skype\Phone\Skype.exe Status: Visible Object-Type: Process Object-Name: winlogon.exe Pid: 504 Object-Path: C:\WINDOWS\system32\winlogon.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 1404 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: unsecapp.exe Pid: 3172 Object-Path: C:\WINDOWS\system32\wbem\unsecapp.exe Status: Visible Object-Type: Process Object-Name: AAWService.exe Pid: 1064 Object-Path: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe Status: Visible Object-Type: Process Object-Name: acrotray.exe Pid: 384 Object-Path: C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 1004 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 788 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: explorer.exe Pid: 1532 Object-Path: C:\WINDOWS\Explorer.EXE Status: Visible Object-Type: Process Object-Name: wmpnscfg.exe Pid: 1844 Object-Path: C:\Programme\Windows Media Player\WMPNSCFG.exe Status: Visible Object-Type: Process Object-Name: Rootkit_Detecti Pid: 1472 Object-Path: C:\Dokumente und Einstellungen\MIAM\Eigene Dateien\Programme\AntiMalware Products\RootkitDetective McAfee\Rootkit_Detective.exe Status: Visible Object-Type: Process Object-Name: csrss.exe Pid: 480 Object-Path: C:\WINDOWS\system32\csrss.exe Status: Visible Object-Type: Process Object-Name: ehSched.exe Pid: 2032 Object-Path: C:\WINDOWS\eHome\ehSched.exe Status: Visible Object-Type: Process Object-Name: smss.exe Pid: 420 Object-Path: C:\WINDOWS\System32\smss.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 948 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: File/Folder Object-Name: gaopdxdlhnoupv.sys Pid: n/a Object-Path: C:\WINDOWS\system32\drivers\gaopdxdlhnoupv.sys Status: Hidden Object-Type: File/Folder Object-Name: gaopdxstmdltuc.dll Pid: n/a Object-Path: C:\WINDOWS\system32\gaopdxstmdltuc.dll Status: Hidden Object-Type: Process Object-Name: avgnt.exe Pid: 1696 Object-Path: C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 860 Object-Path: C:\WINDOWS\System32\svchost.exe Status: Visible Object-Type: Process Object-Name: oldmcdonald.exe Pid: 1728 Object-Path: C:\Programme\Autorun Eater\oldmcdonald.exe Status: Visible Object-Type: Process Object-Name: wmiprvse.exe Pid: 3248 Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe Status: Visible Object-Type: Process Object-Name: alg.exe Pid: 3528 Object-Path: C:\WINDOWS\System32\alg.exe Status: Visible Object-Type: Process Object-Name: services.exe Pid: 552 Object-Path: C:\WINDOWS\system32\services.exe Status: Visible Object-Type: Process Object-Name: grpwise.exe Pid: 4056 Object-Path: C:\Novell\GroupWise\grpwise.exe Status: Visible Object-Type: Process Object-Name: billy.exe Pid: 1608 Object-Path: C:\Programme\Autorun Eater\billy.exe Status: Visible Object-Type: Process Object-Name: wmpnetwk.exe Pid: 2476 Object-Path: C:\Programme\Windows Media Player\WMPNetwk.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 740 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: avguard.exe Pid: 1888 Object-Path: C:\Programme\AntiVir PersonalEdition Classic\avguard.exe Status: Visible Object-Type: Process Object-Name: mcrdsvc.exe Pid: 2384 Object-Path: C:\WINDOWS\ehome\mcrdsvc.exe Status: Visible Object-Type: Process Object-Name: ehtray.exe Pid: 1640 Object-Path: C:\WINDOWS\ehome\ehtray.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 308 Object-Path: C:\WINDOWS\System32\svchost.exe Status: Visible Object-Type: Process Object-Name: svchost.exe Pid: 928 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: rundll32.exe Pid: 1672 Object-Path: C:\WINDOWS\system32\RunDll32.exe Status: Visible Scan complete. Found hidden Processes and Files: 5 . Total files scanned: 145816 Scanning did not complete due to the user interruption. McAfee(R) Rootkit Detective 1.1 scan report On 22-01-2009 at 21:23:24 OS-Version 5.1.2600 Service Pack 2.0 ==================================== Code:
ATTFilter Scan complete. Hidden registry keys/values: 9 |
23.01.2009, 07:41 | #8 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Rootkits sind garnicht gut.....garnicht gut! Warte mal was die Profis hier sagen, aber ich persönlich halte ein Neuaufsetzen für nötig.... Aber warte mal ab was die Profis dir raten! Gruss BIOTEC |
23.01.2009, 08:05 | #9 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Hi, bitte wende mal das hier an: http://www.trojaner-board.de/51871-a...tispyware.html Poste das Log; Es sollte als "rootkit agent called GEN-GAOPDX" gefunden und eliminiert werden. Der ist generisch und hat zwei Teile, eine DLL und einen Treiber, eines von beiden löschen hilft nichts, es müssen beide parallel eliminiert werden... chris Ps.: Auf jeden Fall den Teatimer abschalten, der verhindert eine Bereinigung...
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
23.01.2009, 08:34 | #10 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? ok, ich versuchs mal. Meld mich asap wieder. Geändert von trailor (23.01.2009 um 08:36 Uhr) Grund: zuviel text |
23.01.2009, 10:48 | #11 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Ok, was gefunden: Code:
ATTFilter SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 01/23/2009 at 10:35 AM Application Version : 4.25.1012 Core Rules Database Version : 3723 Trace Rules Database Version: 1697 Scan type : Complete Scan Total Scan Time : 01:31:22 Memory items scanned : 449 Memory threats detected : 0 Registry items scanned : 5603 Registry threats detected : 0 File items scanned : 147517 File threats detected : 6 Unclassified.Unknown Origin C:\DOKUMENTE UND EINSTELLUNGEN\MIAM\EIGENE DATEIEN\PROGRAMME\DUMETER KEYGEN!\KEYGEN.NFO C:\PROGRAMME\DU METER\DUMETER KEYGEN!\KEYGEN.NFO Rootkit.Agent/Gen-GAOPDX C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXDLHNOUPV.SYS C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXHMXOJXQJ.SYS C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXJENBVRLX.SYS C:\WINDOWS\SYSTEM32\GAOPDXSTMDLTUC.DLL |
23.01.2009, 16:13 | #12 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Hi, bitte die Dinger in Quarantäne schicken... Dann MAM von der Leine lassen... Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Poste das Log von MAM und ein neues HJ-Log... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
23.01.2009, 16:47 | #13 | |
/// Helfer-Team | Rootkit -> Kann mir jmd AVENGER-Script erstellen? Immerhin weiß man dann auch, wo diese netten Infektionen herkommen Zitat:
|
23.01.2009, 17:03 | #14 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? @KarlKarl, Jo, schon gesehen, aber so isses halt, die Jungs werden nicht schlauer... So, Feierabend...
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
24.01.2009, 13:21 | #15 |
| Rootkit -> Kann mir jmd AVENGER-Script erstellen? Ich glaube jetzt passts... hab mit SuperAntiSpy gelöscht und dann im gesicherten Modus 7 h gescannt, und er hat nix mehr gefungen. Ich konnte zwar aus dem gesicherten Modus nur raus indem ich bei BootSafe auf Normalen Modus einstellte, weil mscconfig funktionierte nicht, aber jetzt dürfts passen. Ich lass jetzt nochmal GMER drüberlaufen,.... Vielen, vielen Dank an Euch die ihr mir hier und anderen Malware/Windows-Opfern helft. Ich stell das GMER hier nochmal online, wär super wenn mir jmd bestätigen könnte das jetzt alles gut ist FEHLALARM, aber jetzt geb ich mich gelschlagen, werd den PC neu aufsetzen. Geändert von trailor (24.01.2009 um 14:00 Uhr) |
Themen zu Rootkit -> Kann mir jmd AVENGER-Script erstellen? |
0 bytes, anderen, boot, brauch, bytes, c:\windows, code, filter, gelöscht, gmer, inprocserver32, log, loswerden, microsoft, problem, registry, rootkit, scan, script, service, services, software, start, system, system32, thread, zwcreatekey |