|
Plagegeister aller Art und deren Bekämpfung: gaopdx... Viren?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.02.2009, 19:47 | #1 |
| gaopdx... Viren? Hallö, seit ein paar haben wir ein paar Probleme. Zuerst ging unser KIS09 nicht mehr und wir müssten erstmal Combofix durchlaufen lassen. Im Log stand, dass es folgen Viren gelöscht hätte: gaopdxcounter gaopdxdckfravp.dll gaopdxdviuwiem.sys gaopdxxrownsfl.sys Mittlerweile geht KIS wieder aber auf einem unserer Pc's wurde direkt die gaopdxdckfravp.dll (war es glaube ich) gefunden. So haben wir natürlich gelöscht und wie man Viren ja kennt haben sie so eine lästige Angewohnheit zu bleiben. Ja 5 Min. später kam wieder eine Meldung mit einem Fund eines Virus. Nun meine Frage kennt wer von euch eine der oben genannten Viren? Da google auch kein Hilfe ist außer beim gaopdxcounter. MfG T-U |
07.02.2009, 13:34 | #2 |
| gaopdx... Viren? Hey du!
__________________Ich hab genau das gleiche Problem und bin schon so ziemlich verzweifelt... Ich finde einfach keine richtige Lösung, diese Viren zu entfernen. Anscheinend ist ein Entfernen ohnehin schon mal unmöglich, man kann die Dinger nur in Quarantäne verschieben... Ist es bei dir auch der Fall, dass du kein Windows oder bei Norton Internet Security 2009 kein Live-Update mehr machen kannst und eine Fehlermeldung bekommst? Soweit ich weiß, sind diese neuen Rootkits in Russland zuerst aufgetaucht. Mein Norton bezeichnet sie als "Packed.generic.200" - findet aber auch nur einen davon. Antivir Personal von Avira hingegen hat 2 entdeckt und beide in Quarantäne verschoben. Eine vollständige Internetverbindung ist immer noch unmöglich. Desweiteren, wenn wir schon bei der Internetverbindung sind, musste ich feststellen, dass unter "Status von Drahtlosnetzwerkverbindung" bei IPv6-Konnektivität "Eingeschränkt" steht. Bei IPv4-Konnektivität ist "Internet" zu finden. Im Übrigen: Ich benutze Windows Vista (deswegen ja auch IPv6 Verbindung). Ist irgendetwas mit den DNS Servern nicht in Ordnung? Leute, bitte, wenn ihr irgendetwas wisst, wie ich das Problem lösen kann und diese verdamm*** Viren oder Rootkits or what so ever löschen kann, postet es! Ich bin zurzeit in England und brauche meinen Computer wirklich. Ich kann hier keine System Reinstallation durchführen! Thanks in advance! Chris |
09.02.2009, 18:14 | #3 |
| gaopdx... Viren? So da bin ich wieder!
__________________Das hat eine ganze Weile gedauert, bis alle Ant-Spy und Malwareprogramme durchliefen... Ich möchte keine Empfehlungen hier geben, da ich in diesem Gebiet sehr unerfahren bin, doch ich kann ja mal schildern wie ich vorgegangen bin. 1. UnhackMe installiert und im Bootprozess einen von den gaopdx Viren bzw. Rootkits gefunden, der letztendlich derjenige war, der meine Internetverbindung eingeschränkt hat. UnhackMe ist bei jedem StartUp aktiv gewesen und mit dessen Hilfe habe ich noch weitere kleine Programme, dlls und Driver entfernt, die als nicht empfehlenswert angeprangert wurden. 2. Malwarebyte's Antimalware sowie SUPER Anti Spyware durchlaufen lassen. Hier habe ich unter anderem (mit MAM) einen DNS.Server.changer ausfindig gemacht und gelöscht. Super Programme die beiden. Beide in SafeMode sowie in NormalMode laufen lassen. 3. F-Secure Blacklight hat keine Funde gemacht. 4. AVG Anti-Routkit Free ebenfalls keinen Erfolg. Achtet bei diesem Programm darauf, dass ein Neustart nötig ist um das Programm scannen zu lassen. 5. Mit avenger.exe habe ich nur nach Rootkits suchen lassen. 6. RootkitUnhooker soll eines der allerbesten Rootkit Finder Programme sein, insbesondere für die Rootkits, die unsichtbar sind. Ich habe das Programm allerdings nicht verstanden ^^. Ist für einen Neuling total unübersichtlich und nutzlos! 7. gmer in Safemode. Log ist unten. 8. Mit RootRepeal habe ich das erste Mal festgestellt, dass unsichtbare Driver auf meinem PC laufen, die alle mit "sp" anfangen und die man nicht löschen kann. 9. RegRun von der gleichen Company wie UnhackMe. RegRun hat bei jedem Bootprozess diese Driver mit "sp" entdeckt und sie zum löschen vorgeschlagen. Allerdings wurde bei jedem Boot ein neuer entdeckt und jedesmal mit einem anderen Namen. Hier wäre es auch noch mal hilfreich, wenn mir jemand sagen könnte was es damit auf sich hat. 10. Combofix. Combofix entfernte bei mir unter anderem schließlich ziemlich unerwartet die File gaopdxcounter.dll. Als nächstes werde ich noch ein paar Scanns mit den oben erwähnten Tools und Programmen durchführen. Zum Schluss Avira Antivirus installieren, weil ich von Norton (Norton Internet Security 2009) echt die Nase voll habe. Einfach beschi**** das Programm! Nicht empfehlenswert! Mein Gefühl sagt mir, dass ich die Dinger endlich beseitigt habe oder zumindest die, bei denen es möglich ist. Es wäre toll und das würde die Qualität dieses Forums noch um einiges steigern (ich habe die meisten Programme vielen Foren Threads entnommen), wenn ein Profi sich meine Logs von gmer.exe und combofix anschauen könnte und mir ggf. noch weitere Anweisungen gibt, um meinen Computer (Vista btw) wieder clean zu kriegen. Vielen Dank im Voraus Chris PS: Sorry, dass ich die Logs nicht professionell einfügen kann... Bin noch ziemlich neu in diesem Forum. gmer: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-02-09 09:34:18 Windows 6.0.6001 Service Pack 1 ---- System - GMER 1.0.14 ---- INT 0x51 ? 86648BF8 INT 0x62 ? 86648BF8 INT 0x72 ? 86648BF8 INT 0x72 ? 86648BF8 INT 0x82 ? 85A1DBF8 INT 0x92 ? 84C5CBF8 INT 0xA2 ? 84C5CBF8 INT 0xB3 ? 86648BF8 ---- Kernel code sections - GMER 1.0.14 ---- ? System32\Drivers\spak.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload 835F046F 5 Bytes JMP 866481D8 ---- User code sections - GMER 1.0.14 ---- .text C:\Users\Christian\Desktop\Anti-Routkit Programme\gmer.exe[1508] kernel32.dll!CopyFileW + 3 75BE6FB0 2 Bytes [ 46, FC ] ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8068F6D2] \SystemRoot\System32\Drivers\spak.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8068F040] \SystemRoot\System32\Drivers\spak.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8068F7FC] \SystemRoot\System32\Drivers\spak.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8068F0BE] \SystemRoot\System32\Drivers\spak.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8068F13C] \SystemRoot\System32\Drivers\spak.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8069F048] \SystemRoot\System32\Drivers\spak.sys ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 85A201F8 Device \FileSystem\fastfat \FatCdrom 8663C500 AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) Device \Driver\volmgr \Device\VolMgrControl 84C5E1F8 Device \Driver\usbuhci \Device\USBPDO-0 8665A1F8 Device \Driver\usbuhci \Device\USBPDO-1 8665A1F8 Device \Driver\usbehci \Device\USBPDO-2 8665B1F8 Device \Driver\usbuhci \Device\USBPDO-3 8665A1F8 Device \Driver\usbuhci \Device\USBPDO-4 8665A1F8 Device \Driver\usbuhci \Device\USBPDO-5 8665A1F8 Device \Driver\usbehci \Device\USBPDO-6 8665B1F8 Device \Driver\volmgr \Device\HarddiskVolume1 84C5E1F8 Device \Driver\volmgr \Device\HarddiskVolume2 84C5E1F8 Device \Driver\cdrom \Device\CdRom0 866F9500 Device \Driver\volmgr \Device\HarddiskVolume3 84C5E1F8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 85A1E1F8 Device \Driver\atapi \Device\Ide\IdePort0 85A1E1F8 Device \Driver\atapi \Device\Ide\IdePort1 85A1E1F8 Device \Driver\volmgr \Device\HarddiskVolume4 84C5E1F8 Device \Driver\iScsiPrt \Device\RaidPort0 867041F8 Device \Driver\usbuhci \Device\USBFDO-0 8665A1F8 Device \Driver\usbuhci \Device\USBFDO-1 8665A1F8 Device \Driver\usbehci \Device\USBFDO-2 8665B1F8 Device \Driver\USBSTOR \Device\0000007c 869711F8 Device \Driver\usbuhci \Device\USBFDO-3 8665A1F8 Device \Driver\usbuhci \Device\USBFDO-4 8665A1F8 Device \Driver\usbuhci \Device\USBFDO-5 8665A1F8 Device \Driver\USBSTOR \Device\0000007f 869711F8 Device \Driver\usbehci \Device\USBFDO-6 8665B1F8 Device \FileSystem\fastfat \Fat 8663C500 AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation) Device \FileSystem\cdfs \Cdfs 86E4B1F8 ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001e377046b5 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001e377046b5@0012ee860395 0xA0 0xEC 0xD3 0x8C ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCE 0x22 0xDC 0xF8 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e377046b5 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e377046b5@0012ee860395 0xA0 0xEC 0xD3 0x8C ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCE 0x22 0xDC 0xF8 ... Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001e377046b5 Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001e377046b5@0012ee860395 0xA0 0xEC 0xD3 0x8C ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCE 0x22 0xDC 0xF8 ... ---- EOF - GMER 1.0.14 ---- |
09.02.2009, 18:15 | #4 |
| gaopdx... Viren? Combofix: ComboFix 09-02-08.02 - Christian 2009-02-09 16:33:34.1 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.2046.1147 [GMT 0:00] ausgeführt von:: c:\users\Christian\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\dat.txt c:\windows\system32\AVSredirect.dll c:\windows\system32\gaopdxcounter . ((((((((((((((((((((((( Dateien erstellt von 2009-01-09 bis 2009-02-09 )))))))))))))))))))))))))))))) . 2009-02-09 16:17 . 2009-02-09 16:39 357,280,165 --a------ c:\windows\MEMORY.DMP 2009-02-08 21:42 . 2009-02-08 21:42 7,680 --a------ c:\windows\System32\drivers\RKL64CA.tmp.sys 2009-02-08 20:21 . 2009-02-08 21:18 <DIR> d-------- c:\users\Christian\AppData\Roaming\RegRun 2009-02-08 19:55 . 2009-02-08 19:55 <DIR> d-------- c:\program files\Greatis 2009-02-08 19:55 . 2003-09-06 15:55 57,556 --a------ c:\windows\guard.bmp 2009-02-08 19:16 . 2009-02-08 20:08 <DIR> d-------- c:\program files\Spyware Doctor 2009-02-08 18:43 . 2009-02-08 22:36 <DIR> d-------- C:\Rustbfix 2009-02-07 16:03 . 2007-01-18 12:00 3,968 --a------ c:\windows\System32\drivers\AvgArCln.sys 2009-02-07 14:30 . 2009-02-07 14:30 <DIR> d-------- c:\windows\RestoreSafeDeleted 2009-02-07 14:22 . 2009-02-07 14:22 123 --a------ c:\windows\rootkitno.ini 2009-02-07 13:39 . 2009-02-07 13:58 68 --a------ c:\windows\wininit.ini 2009-02-07 13:07 . 2009-02-09 09:18 250 --a------ c:\windows\gmer.ini 2009-02-07 13:06 . 2009-02-07 13:06 <DIR> d-------- c:\program files\Avira GmbH 2009-02-07 12:00 . 2009-02-09 16:27 <DIR> d-------- c:\program files\UnHackMe 2009-02-07 12:00 . 2009-02-08 20:03 (2) -rahs-ot- c:\windows\winstart.bat 2009-02-07 01:59 . 2009-02-07 01:59 <DIR> d-------- c:\users\Christian\AppData\Roaming\SUPERAntiSpyware.com 2009-02-07 01:59 . 2009-02-07 01:59 <DIR> d-------- c:\users\All Users\SUPERAntiSpyware.com 2009-02-07 01:59 . 2009-02-07 01:59 <DIR> d-------- c:\programdata\SUPERAntiSpyware.com 2009-02-07 01:59 . 2009-02-07 01:59 <DIR> d-------- c:\program files\SUPERAntiSpyware 2009-02-07 01:55 . 2009-02-07 01:55 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard 2009-02-07 00:17 . 2009-02-07 00:17 <DIR> d-------- c:\windows\System32\drivers\NIS 2009-02-07 00:17 . 2009-02-07 00:17 <DIR> d-------- c:\program files\NortonInstaller 2009-02-06 23:17 . 2009-02-06 23:17 <DIR> d-------- c:\program files\Opera 2009-02-06 21:57 . 2009-02-06 21:57 <DIR> d-------- c:\program files\Avira 2009-02-06 15:09 . 2009-02-06 15:09 <DIR> d-------- c:\users\Christian\AppData\Roaming\Malwarebytes 2009-02-06 15:09 . 2009-02-06 15:09 <DIR> d-------- c:\users\All Users\Malwarebytes 2009-02-06 15:09 . 2009-02-06 15:09 <DIR> d-------- c:\programdata\Malwarebytes 2009-02-06 15:09 . 2009-02-08 00:34 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware 2009-02-06 15:09 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys 2009-02-06 15:09 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys 2009-02-06 01:22 . 2009-02-06 17:06 <DIR> d-------- c:\users\Christian\AppData\Roaming\SoundSpectrum 2009-02-05 23:31 . 2009-02-05 23:31 <DIR> d-------- c:\program files\Microsoft Silverlight 2009-02-05 21:48 . 2009-02-05 22:04 <DIR> d-------- c:\users\Christian\AppData\Roaming\SolidDocuments 2009-02-05 21:46 . 2009-02-05 21:46 <DIR> d-------- c:\users\All Users\SolidDocuments 2009-02-05 21:46 . 2009-02-05 21:46 <DIR> d-------- c:\programdata\SolidDocuments 2009-02-05 21:46 . 2008-07-22 04:19 21,240 --a------ c:\windows\System32\solidlocalmon.dll 2009-02-05 21:46 . 2008-07-22 04:19 13,560 --a------ c:\windows\System32\solidlocalui.dll 2009-02-05 21:29 . 2009-02-05 23:12 <DIR> d-------- c:\users\Christian\AppData\Roaming\Download Manager 2009-02-05 19:00 . 2007-03-12 23:34 162,304 --a------ c:\windows\System32\ztvunrar36.dll 2009-02-05 19:00 . 2007-03-12 23:34 77,312 --a------ c:\windows\System32\ztvunace26.dll 2009-02-05 19:00 . 2007-03-12 23:34 69,632 --a------ c:\windows\System32\ztvcabinet.dll 2009-02-05 18:25 . 2009-02-05 18:25 921 --a------ c:\windows\QSFVExit.bat 2009-02-04 21:55 . 2009-02-04 21:56 <DIR> d-------- c:\program files\PDFCreator 2009-02-04 21:55 . 1998-07-06 17:55 158,208 --a------ c:\windows\System32\MSCMCDE.DLL 2009-02-04 21:55 . 1998-06-24 00:00 137,000 --a------ c:\windows\System32\MSMAPI32.OCX 2009-02-04 21:55 . 1998-07-06 17:55 64,512 --a------ c:\windows\System32\MSCC2DE.DLL 2009-02-04 21:55 . 1998-07-06 00:00 23,552 --a------ c:\windows\System32\MSMPIDE.DLL 2009-02-04 21:31 . 2009-02-04 21:31 <DIR> d-------- c:\users\Christian\AppData\Roaming\Bullzip 2009-02-04 21:28 . 2008-09-05 05:29 193,024 --a------ c:\windows\System32\BZPDF.del 2009-02-04 20:51 . 2009-02-04 20:51 <DIR> d-------- c:\program files\FrostWire 2009-02-03 00:29 . 2009-02-03 00:29 0 --ah----- c:\windows\System32\drivers\Msft_Kernel_dc3d_01005.Wdf 2009-01-30 16:16 . 2009-01-30 16:16 <DIR> d-------- c:\users\Christian\AppData\Roaming\vlc 2009-01-29 15:25 . 2009-02-02 17:24 <DIR> d-------- c:\users\Christian\AppData\Roaming\dvdcss 2009-01-28 17:20 . 2008-02-22 04:47 53,248 --a------ c:\windows\System32\davclnt.dll 2009-01-28 16:27 . 2009-01-28 16:27 <DIR> d-------- c:\users\Christian\AppData\Roaming\PeerNetworking 2009-01-27 19:54 . 2004-02-22 10:11 719,872 --a------ c:\windows\System32\devil.dll 2009-01-27 19:54 . 2007-05-17 17:30 318,976 --a------ c:\windows\System32\avisynth.dll 2009-01-27 19:54 . 2005-02-12 23:00 186,880 -r-hs---- c:\windows\System32\RLOgg.ax 2009-01-27 19:54 . 2005-01-17 23:26 179,200 -r-hs---- c:\windows\System32\DiracSplitter.ax 2009-01-27 19:54 . 2006-08-16 14:53 175,104 -r-hs---- c:\windows\System32\CoreAAC.ax 2009-01-27 19:54 . 2005-02-05 23:00 92,672 -r-hs---- c:\windows\System32\RLVorbisDec.ax 2009-01-27 19:54 . 2005-02-22 16:55 81,920 -r-hs---- c:\windows\System32\aac_parser.ax 2009-01-27 19:54 . 2004-01-25 00:00 70,656 --a------ c:\windows\System32\i420vfw.dll 2009-01-27 19:54 . 2005-02-12 23:00 67,584 -r-hs---- c:\windows\System32\RLTheoraDec.ax 2009-01-27 19:54 . 2005-02-12 23:00 51,712 -r-hs---- c:\windows\System32\RLSpeexDec.ax 2009-01-26 16:47 . 2009-01-26 21:30 196,608 --a------ c:\windows\SPInstall.etl 2009-01-22 22:55 . 2009-01-22 22:55 <DIR> d-------- c:\program files\Microsoft 2009-01-15 09:15 . 2009-01-15 09:15 15,360 --a------ c:\windows\System32\drivers\dc3d.sys 2009-01-14 21:41 . 2008-12-16 02:42 288,768 --a------ c:\windows\System32\drivers\srv.sys 2009-01-11 01:21 . 2009-01-11 01:21 <DIR> d-------- c:\users\Public\CyberLink 2009-01-10 14:01 . 2009-01-10 14:01 <DIR> d----c--- c:\windows\System32\DRVSTORE 2009-01-10 14:01 . 2008-04-17 13:12 107,368 --a------ c:\windows\System32\GEARAspi.dll 2009-01-10 14:01 . 2008-04-17 13:12 15,464 --a------ c:\windows\System32\drivers\GEARAspiWDM.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-09 16:30 243,415 ----a-w c:\users\All Users\nvModes.dat 2009-02-09 16:30 243,415 ----a-w c:\programdata\nvModes.dat 2009-02-08 20:54 197,730,821 ----a-w c:\windows\DUMP429a.tmp 2009-02-08 20:53 111,393,789 ----a-w c:\windows\DUMP425c.tmp 2009-02-08 20:39 198,369,701 ----a-w c:\windows\DUMP53ba.tmp 2009-02-08 20:07 --------- d---a-w c:\programdata\TEMP 2009-02-08 20:07 --------- d-----w c:\users\Christian\AppData\Roaming\Skype 2009-02-08 18:44 --------- d-----w c:\users\Christian\AppData\Roaming\skypePM 2009-02-07 16:28 --------- d--h--w c:\program files\InstallShield Installation Information 2009-02-07 13:48 --------- d-----w c:\programdata\Norton 2009-02-07 13:48 --------- d-----w c:\program files\Common Files\Symantec Shared 2009-02-07 13:47 --------- d-----w c:\programdata\NortonInstaller 2009-02-07 00:01 --------- d-----w c:\programdata\NVIDIA 2009-02-05 20:34 --------- d-----w c:\users\Christian\AppData\Roaming\ZoomBrowser EX 2009-02-05 19:51 --------- d-----w c:\program files\7-Zip 2009-02-04 20:58 --------- d-----w c:\users\Christian\AppData\Roaming\FrostWire 2009-02-04 17:45 --------- d-----w c:\programdata\Microsoft Help 2009-02-03 16:04 --------- d-----w c:\program files\Google 2009-02-03 15:37 --------- d-----w c:\programdata\ZoomBrowser 2009-02-02 14:21 --------- d-----w c:\program files\Windows Mail 2009-01-28 03:23 --------- d-----w c:\programdata\DVD Shrink 2009-01-10 15:30 --------- d-----w c:\users\Christian\AppData\Roaming\ICQ 2009-01-05 09:03 --------- d-----w c:\program files\Common Files\Adobe 2009-01-05 08:56 --------- d-----w c:\program files\Common Files\Macrovision Shared 2009-01-05 08:26 --------- d-----w c:\program files\TuneUp Utilities 2009 2009-01-03 18:02 --------- d-----w c:\program files\Office-Bibliothek 2009-01-03 14:34 --------- d-----w c:\program files\Microsoft Works 2008-12-30 18:09 --------- d-----w c:\programdata\CyberLink 2008-12-30 17:49 --------- d-----w c:\program files\ICQ6.5 2008-12-21 15:52 --------- d-----w c:\programdata\Symantec Temporary Files 2008-12-21 15:40 --------- d-----w c:\programdata\Symantec 2008-12-21 15:35 --------- d-----w c:\programdata\PCSettings 2008-12-20 20:20 603,904 ----a-w c:\windows\System32\TUProgSt.exe 2008-12-20 20:20 360,192 ----a-w c:\windows\System32\TuneUpDefragService.exe 2008-12-20 20:17 --------- d-sh--w c:\programdata\{55A29068-F2CE-456C-9148-C869879E2357} 2008-12-20 10:22 410,984 ----a-w c:\windows\System32\deploytk.dll 2008-12-20 10:22 --------- d-----w c:\program files\Java 2008-12-18 02:22 --------- d-----w c:\program files\RouterControl 2008-12-15 19:33 --------- d-----w c:\users\Christian\AppData\Roaming\Elluminate 2008-12-11 12:31 27,904 ----a-w c:\windows\System32\uxtuneup.dll 2008-12-11 12:31 17,152 ----a-w c:\windows\System32\authuitu.dll 2008-11-28 14:32 2,864,396 ----a-w c:\users\All Users\MPV.exe 2008-11-28 14:32 2,864,396 ----a-w c:\programdata\MPV.exe 2008-11-21 23:05 2,231,606 ----a-w c:\users\All Users\Games.exe 2008-11-21 23:05 2,231,606 ----a-w c:\programdata\Games.exe 2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn5.exe 2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn4.exe 2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn3.exe 2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn2.exe 2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn1.exe 2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn0.exe 2008-10-17 22:29 2,989,660 ----a-w c:\users\All Users\DVD.exe 2008-10-17 22:29 2,989,660 ----a-w c:\programdata\DVD.exe 2008-09-21 21:32 220 ----a-w c:\users\Christian\AppData\Roaming\wklnhst.dat 2008-08-03 13:48 3,063,561 ----a-w c:\users\All Users\MobileTV.exe 2008-08-03 13:48 3,063,561 ----a-w c:\programdata\MobileTV.exe 2008-07-31 16:44 2,331,174 ----a-w c:\users\All Users\Karaoke.exe 2008-07-31 16:44 2,331,174 ----a-w c:\programdata\Karaoke.exe 2008-04-19 08:30 214,551 ----a-w c:\users\Christian\AppData\Roaming\nvModes.dat 2008-03-04 17:01 32 ----a-w c:\users\All Users\ezsid.dat 2008-03-04 17:01 32 ----a-w c:\programdata\ezsid.dat 2003-03-21 11:45 250,544 ----a-w c:\program files\Common Files\keyhelp.ocx 2008-03-06 16:15 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2008-03-06 16:15 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2008-03-06 16:15 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Softany Monitor Control"="c:\program files\Softany\Monitor Control\MonitorControl.exe" [2007-02-13 1257472] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920] "ISUSPM"="c:\programdata\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-07-12 226904] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616] "IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736] "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-17 634880] "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400] "DpAgent"="c:\program files\DigitalPersona\Bin\dpagent.exe" [2008-07-14 814144] "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032] "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-04 13556256] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136] "OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-04 92704] "RtHDVCpl"="RtHDVCpl.exe" [2008-01-14 c:\windows\RtHDVCpl.exe] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-12-04 727592] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 0 (0x0) "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.i420"= i420vfw.dll "msacm.l3codecp"= l3codecp.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli DPPWDFLT [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rootrepeal.sys] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Regrun2"=c:\progra~1\Greatis\REGRUN~1\WatchDog.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" "RegRun WinBait"=c:\windows\winbait.exe "@RegRunOnSecure"=c:\progra~1\Greatis\REGRUN~1\OnSecure.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3689611795-3501460912-1218481447-1000] "EnableNotificationsRef"=dword:00000002 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{A1743231-DAA3-4BFA-B59F-B1EF8B4E26F3}"= c:\program files\Skype\Phone\Skype.exe:Skype [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile] "EnableFirewall"= 0 (0x0) R1 DhaHelper;DhaHelper;c:\windows\System32\drivers\dhahelper.sys [2008-07-04 7168] R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944] R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024] R1 SSHDRV85;SSHDRV85;c:\windows\System32\drivers\SSHDRV85.sys [2008-08-26 78848] R2 {22D78859-9CE9-4B77-BF18-AC83E81A9263};Power Control [2008/11/21 23:47:51];c:\program files\Hp\QuickPlay\000.fcl [2008-11-22 00:08:15 87536] R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2008-11-29 603904] R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-10-01 193840] R3 dc3d;USBCCGP filter driver (dc3d);c:\windows\System32\drivers\dc3d.sys [2009-01-15 15360] R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [2008-08-28 3664384] S3 AntiAries;Anti Aries Helper Driver;c:\windows\System32\drivers\RKL64CA.tmp.sys [2009-02-08 7680] S3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\System32\drivers\ATSwpWDF.sys [2008-09-09 498432] S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - sptd [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-02-09 c:\windows\Tasks\1-Klick-Wartung.job - c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 18:07] 2009-02-09 c:\windows\Tasks\User_Feed_Synchronization-{6028E8B2-4921-46A5-95EC-3547AA98DB76}.job - c:\windows\system32\msfeedssync.exe [2008-01-19 07:33] . . ------- Zusätzlicher Suchlauf ------- . mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop uInternet Settings,ProxyOverride = *.local uInternet Settings,ProxyServer = 127.0.0.1:4001 IE: {{7B499570-29C5-4a80-9F57-94A420D140CE} - {C8FA495F-F131-42B0-8AB8-B119A674AF8E} - . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-09 16:41:19 Windows 6.0.6001 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\system32\wbem\Performance\WmiApRpl_new.h 357 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(776) c:\windows\system32\DPPWDFLT.dll - - - - - - - > 'Explorer.exe'(584) c:\program files\DigitalPersona\Bin\DpoFeedb.dll c:\windows\system32\btmmhook.dll c:\program files\DigitalPersona\Bin\DpoSet.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\System32\nvvsvc.exe c:\windows\System32\audiodg.exe c:\program files\DigitalPersona\Bin\DpHostW.exe c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe c:\program files\Hp\QuickPlay\Kernel\TV\QPCapSvc.exe c:\program files\Hp\QuickPlay\Kernel\TV\QPSched.exe c:\program files\CyberLink\Shared Files\RichVideo.exe c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe c:\windows\System32\rundll32.exe c:\windows\System32\WUDFHost.exe c:\windows\System32\conime.exe c:\windows\System32\rundll32.exe c:\program files\Windows Media Player\wmpnscfg.exe c:\windows\System32\wbem\unsecapp.exe c:\windows\ehome\ehmsas.exe c:\program files\Synaptics\SynTP\SynTPHelper.exe c:\program files\Microsoft IntelliPoint\dpupdchk.exe c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe c:\program files\Hewlett-Packard\Shared\HpqToaster.exe c:\program files\WIDCOMM\Bluetooth Software\BTStackServer.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\windows\ehome\ehsched.exe c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe c:\windows\ehome\ehrecvr.exe c:\windows\System32\dllhost.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-02-09 16:47:37 - PC wurde neu gestartet [Christian] ComboFix-quarantined-files.txt 2009-02-09 16:47:34 Vor Suchlauf: 20 Verzeichnis(se), 181,633,232,896 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 181,615,575,040 Bytes frei 305 --- E O F --- 2009-02-05 23:31:15 |
15.03.2009, 19:20 | #5 |
| gaopdx... Viren?Hallo, habe auch den Virus Packed.Generic.200 auf meinem PC Leider kenne ich mich nun wirklich kaum mit Viren etc. aus ich habe Norton Internet Security 2009 durchlaufen lassen, aber das Programm hat alles in Quarantäne verschoben bis auf diesen Virus. Das Programm hat mir auch angezeigt in welcher Datei er ist nur leider kann ich das alles nicht entziffern. Hoffentlich kann mir jemand helfen bin nämlich ganz schön ratlos. Hier mir die angezeigten Dateien globalroot/systemroot/system32/uacnjemonrf.dll globalroot/systemroot/system32/uacnjemonrf.dll globalroot/systemroot/system32/uacptnkbwul.dll globalroot/systemroot/system32/uacptnkbwul.dll globalroot/systemroot/system32/uacptnkbwul.dll globalroot/systemroot/system32/uacptnkbwul.dll globalroot/systemroot/system32/uacptnkbwul.dll globalroot/systemroot/system32/uacptnkbwul.dll globalroot/systemroot/system32/uackrirsdpl.dll globalroot/systemroot/system32/uacptnkbwul.dll globalroot/systemroot/system32/uackrirsdpl.dll globalroot/systemroot/system32/uacptnkbwul.dll globalroot/systemroot/system32/uackrirsdpl.dll globalroot/systemroot/system32/uacptnkbwul.dll Wenn jm. weiß welche Dateien das sind bitte melden Schon mal im Voraus ganz liebes Danke schön Liebe Grüße Geändert von SweeteJule (15.03.2009 um 19:27 Uhr) |
15.03.2009, 19:31 | #6 |
| gaopdx... Viren? Hallo SweeteJule und Bitte eröffne dein eigenes Thema, dann werde ich dir helfen. ciao, andreas
__________________ --> gaopdx... Viren? |
Themen zu gaopdx... Viren? |
bleibe, combofix, direkt, folge, folgen, frage, gefunde, gelöscht, glaube, google, kis, log, lästige, meldung, natürlich, nicht mehr, stand, viren, viren? |