gaopdx... Viren?

TrojanerUser · 06.02.2009, 19:47

Hallö, seit ein paar haben wir ein paar Probleme. Zuerst ging unser KIS09 nicht mehr und wir müssten erstmal Combofix durchlaufen lassen.

Im Log stand, dass es folgen Viren gelöscht hätte:
gaopdxcounter
gaopdxdckfravp.dll
gaopdxdviuwiem.sys
gaopdxxrownsfl.sys

Mittlerweile geht KIS wieder aber auf einem unserer Pc's wurde direkt die gaopdxdckfravp.dll (war es glaube ich) gefunden. So haben wir natürlich gelöscht und wie man Viren ja kennt haben sie so eine lästige Angewohnheit zu bleiben. Ja 5 Min. später kam wieder eine Meldung mit einem Fund eines Virus.

Nun meine Frage kennt wer von euch eine der oben genannten Viren?
Da google auch kein Hilfe ist außer beim gaopdxcounter.

MfG T-U

THE Chris · 07.02.2009, 13:34

Hey du!

Ich hab genau das gleiche Problem und bin schon so ziemlich verzweifelt... Ich finde einfach keine richtige Lösung, diese Viren zu entfernen.
Anscheinend ist ein Entfernen ohnehin schon mal unmöglich, man kann die Dinger nur in Quarantäne verschieben...
Ist es bei dir auch der Fall, dass du kein Windows oder bei Norton Internet Security 2009 kein Live-Update mehr machen kannst und eine Fehlermeldung bekommst?
Soweit ich weiß, sind diese neuen Rootkits in Russland zuerst aufgetaucht. Mein Norton bezeichnet sie als "Packed.generic.200" - findet aber auch nur einen davon. Antivir Personal von Avira hingegen hat 2 entdeckt und beide in Quarantäne verschoben. Eine vollständige Internetverbindung ist immer noch unmöglich. Desweiteren, wenn wir schon bei der Internetverbindung sind, musste ich feststellen, dass unter "Status von Drahtlosnetzwerkverbindung" bei IPv6-Konnektivität "Eingeschränkt" steht. Bei IPv4-Konnektivität ist "Internet" zu finden. Im Übrigen: Ich benutze Windows Vista (deswegen ja auch IPv6 Verbindung). Ist irgendetwas mit den DNS Servern nicht in Ordnung?
Leute, bitte, wenn ihr irgendetwas wisst, wie ich das Problem lösen kann und diese verdamm*** Viren oder Rootkits or what so ever löschen kann, postet es! Ich bin zurzeit in England und brauche meinen Computer wirklich. Ich kann hier keine System Reinstallation durchführen!

Thanks in advance!

Chris

THE Chris · 09.02.2009, 18:14

So da bin ich wieder!
Das hat eine ganze Weile gedauert, bis alle Ant-Spy und Malwareprogramme durchliefen...
Ich möchte keine Empfehlungen hier geben, da ich in diesem Gebiet sehr unerfahren bin, doch ich kann ja mal schildern wie ich vorgegangen bin.

1. UnhackMe installiert und im Bootprozess einen von den gaopdx Viren bzw. Rootkits gefunden, der letztendlich derjenige war, der meine Internetverbindung eingeschränkt hat. UnhackMe ist bei jedem StartUp aktiv gewesen und mit dessen Hilfe habe ich noch weitere kleine Programme, dlls und Driver entfernt, die als nicht empfehlenswert angeprangert wurden.
2. Malwarebyte's Antimalware sowie SUPER Anti Spyware durchlaufen lassen. Hier habe ich unter anderem (mit MAM) einen DNS.Server.changer ausfindig gemacht und gelöscht. Super Programme die beiden. Beide in SafeMode sowie in NormalMode laufen lassen.
3. F-Secure Blacklight hat keine Funde gemacht.
4. AVG Anti-Routkit Free ebenfalls keinen Erfolg. Achtet bei diesem Programm darauf, dass ein Neustart nötig ist um das Programm scannen zu lassen.
5. Mit avenger.exe habe ich nur nach Rootkits suchen lassen.
6. RootkitUnhooker soll eines der allerbesten Rootkit Finder Programme sein, insbesondere für die Rootkits, die unsichtbar sind. Ich habe das Programm allerdings nicht verstanden ^^. Ist für einen Neuling total unübersichtlich und nutzlos!
7. gmer in Safemode. Log ist unten.
8. Mit RootRepeal habe ich das erste Mal festgestellt, dass unsichtbare Driver auf meinem PC laufen, die alle mit "sp" anfangen und die man nicht löschen kann.
9. RegRun von der gleichen Company wie UnhackMe. RegRun hat bei jedem Bootprozess diese Driver mit "sp" entdeckt und sie zum löschen vorgeschlagen. Allerdings wurde bei jedem Boot ein neuer entdeckt und jedesmal mit einem anderen Namen. Hier wäre es auch noch mal hilfreich, wenn mir jemand sagen könnte was es damit auf sich hat.
10. Combofix. Combofix entfernte bei mir unter anderem schließlich ziemlich unerwartet die File gaopdxcounter.dll.

Als nächstes werde ich noch ein paar Scanns mit den oben erwähnten Tools und Programmen durchführen. Zum Schluss Avira Antivirus installieren, weil ich von Norton (Norton Internet Security 2009) echt die Nase voll habe. Einfach beschi**** das Programm! Nicht empfehlenswert!

Mein Gefühl sagt mir, dass ich die Dinger endlich beseitigt habe oder zumindest die, bei denen es möglich ist. Es wäre toll und das würde die Qualität dieses Forums noch um einiges steigern (ich habe die meisten Programme vielen Foren Threads entnommen), wenn ein Profi sich meine Logs von gmer.exe und combofix anschauen könnte und mir ggf. noch weitere Anweisungen gibt, um meinen Computer (Vista btw) wieder clean zu kriegen.

Vielen Dank im Voraus
Chris

PS: Sorry, dass ich die Logs nicht professionell einfügen kann... Bin noch ziemlich neu in diesem Forum.

gmer:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-09 09:34:18
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.14 ----

INT 0x51 ? 86648BF8
INT 0x62 ? 86648BF8
INT 0x72 ? 86648BF8
INT 0x72 ? 86648BF8
INT 0x82 ? 85A1DBF8
INT 0x92 ? 84C5CBF8
INT 0xA2 ? 84C5CBF8
INT 0xB3 ? 86648BF8

---- Kernel code sections - GMER 1.0.14 ----

? System32\Drivers\spak.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload 835F046F 5 Bytes JMP 866481D8

---- User code sections - GMER 1.0.14 ----

.text C:\Users\Christian\Desktop\Anti-Routkit Programme\gmer.exe[1508] kernel32.dll!CopyFileW + 3 75BE6FB0 2 Bytes [ 46, FC ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8068F6D2] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8068F040] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8068F7FC] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8068F0BE] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8068F13C] \SystemRoot\System32\Drivers\spak.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8069F048] \SystemRoot\System32\Drivers\spak.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 85A201F8
Device \FileSystem\fastfat \FatCdrom 8663C500

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 84C5E1F8
Device \Driver\usbuhci \Device\USBPDO-0 8665A1F8
Device \Driver\usbuhci \Device\USBPDO-1 8665A1F8
Device \Driver\usbehci \Device\USBPDO-2 8665B1F8
Device \Driver\usbuhci \Device\USBPDO-3 8665A1F8
Device \Driver\usbuhci \Device\USBPDO-4 8665A1F8
Device \Driver\usbuhci \Device\USBPDO-5 8665A1F8
Device \Driver\usbehci \Device\USBPDO-6 8665B1F8
Device \Driver\volmgr \Device\HarddiskVolume1 84C5E1F8
Device \Driver\volmgr \Device\HarddiskVolume2 84C5E1F8
Device \Driver\cdrom \Device\CdRom0 866F9500
Device \Driver\volmgr \Device\HarddiskVolume3 84C5E1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 85A1E1F8
Device \Driver\atapi \Device\Ide\IdePort0 85A1E1F8
Device \Driver\atapi \Device\Ide\IdePort1 85A1E1F8
Device \Driver\volmgr \Device\HarddiskVolume4 84C5E1F8
Device \Driver\iScsiPrt \Device\RaidPort0 867041F8
Device \Driver\usbuhci \Device\USBFDO-0 8665A1F8
Device \Driver\usbuhci \Device\USBFDO-1 8665A1F8
Device \Driver\usbehci \Device\USBFDO-2 8665B1F8
Device \Driver\USBSTOR \Device\0000007c 869711F8
Device \Driver\usbuhci \Device\USBFDO-3 8665A1F8
Device \Driver\usbuhci \Device\USBFDO-4 8665A1F8
Device \Driver\usbuhci \Device\USBFDO-5 8665A1F8
Device \Driver\USBSTOR \Device\0000007f 869711F8
Device \Driver\usbehci \Device\USBFDO-6 8665B1F8
Device \FileSystem\fastfat \Fat 8663C500

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

Device \FileSystem\cdfs \Cdfs 86E4B1F8

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001e377046b5
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001e377046b5@0012ee860395 0xA0 0xEC 0xD3 0x8C ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCE 0x22 0xDC 0xF8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e377046b5
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e377046b5@0012ee860395 0xA0 0xEC 0xD3 0x8C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCE 0x22 0xDC 0xF8 ...
Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001e377046b5
Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001e377046b5@0012ee860395 0xA0 0xEC 0xD3 0x8C ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCE 0x22 0xDC 0xF8 ...

---- EOF - GMER 1.0.14 ----

THE Chris · 09.02.2009, 18:15

Combofix:

ComboFix 09-02-08.02 - Christian 2009-02-09 16:33:34.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.2046.1147 [GMT 0:00]
ausgeführt von:: c:\users\Christian\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\dat.txt
c:\windows\system32\AVSredirect.dll
c:\windows\system32\gaopdxcounter

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-09 bis 2009-02-09 ))))))))))))))))))))))))))))))
.

2009-02-09 16:17 . 2009-02-09 16:39 357,280,165 --a------ c:\windows\MEMORY.DMP
2009-02-08 21:42 . 2009-02-08 21:42 7,680 --a------ c:\windows\System32\drivers\RKL64CA.tmp.sys
2009-02-08 20:21 . 2009-02-08 21:18 <DIR> d-------- c:\users\Christian\AppData\Roaming\RegRun
2009-02-08 19:55 . 2009-02-08 19:55 <DIR> d-------- c:\program files\Greatis
2009-02-08 19:55 . 2003-09-06 15:55 57,556 --a------ c:\windows\guard.bmp
2009-02-08 19:16 . 2009-02-08 20:08 <DIR> d-------- c:\program files\Spyware Doctor
2009-02-08 18:43 . 2009-02-08 22:36 <DIR> d-------- C:\Rustbfix
2009-02-07 16:03 . 2007-01-18 12:00 3,968 --a------ c:\windows\System32\drivers\AvgArCln.sys
2009-02-07 14:30 . 2009-02-07 14:30 <DIR> d-------- c:\windows\RestoreSafeDeleted
2009-02-07 14:22 . 2009-02-07 14:22 123 --a------ c:\windows\rootkitno.ini
2009-02-07 13:39 . 2009-02-07 13:58 68 --a------ c:\windows\wininit.ini
2009-02-07 13:07 . 2009-02-09 09:18 250 --a------ c:\windows\gmer.ini
2009-02-07 13:06 . 2009-02-07 13:06 <DIR> d-------- c:\program files\Avira GmbH
2009-02-07 12:00 . 2009-02-09 16:27 <DIR> d-------- c:\program files\UnHackMe
2009-02-07 12:00 . 2009-02-08 20:03 (2) -rahs-ot- c:\windows\winstart.bat
2009-02-07 01:59 . 2009-02-07 01:59 <DIR> d-------- c:\users\Christian\AppData\Roaming\SUPERAntiSpyware.com
2009-02-07 01:59 . 2009-02-07 01:59 <DIR> d-------- c:\users\All Users\SUPERAntiSpyware.com
2009-02-07 01:59 . 2009-02-07 01:59 <DIR> d-------- c:\programdata\SUPERAntiSpyware.com
2009-02-07 01:59 . 2009-02-07 01:59 <DIR> d-------- c:\program files\SUPERAntiSpyware
2009-02-07 01:55 . 2009-02-07 01:55 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-07 00:17 . 2009-02-07 00:17 <DIR> d-------- c:\windows\System32\drivers\NIS
2009-02-07 00:17 . 2009-02-07 00:17 <DIR> d-------- c:\program files\NortonInstaller
2009-02-06 23:17 . 2009-02-06 23:17 <DIR> d-------- c:\program files\Opera
2009-02-06 21:57 . 2009-02-06 21:57 <DIR> d-------- c:\program files\Avira
2009-02-06 15:09 . 2009-02-06 15:09 <DIR> d-------- c:\users\Christian\AppData\Roaming\Malwarebytes
2009-02-06 15:09 . 2009-02-06 15:09 <DIR> d-------- c:\users\All Users\Malwarebytes
2009-02-06 15:09 . 2009-02-06 15:09 <DIR> d-------- c:\programdata\Malwarebytes
2009-02-06 15:09 . 2009-02-08 00:34 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-06 15:09 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-02-06 15:09 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-02-06 01:22 . 2009-02-06 17:06 <DIR> d-------- c:\users\Christian\AppData\Roaming\SoundSpectrum
2009-02-05 23:31 . 2009-02-05 23:31 <DIR> d-------- c:\program files\Microsoft Silverlight
2009-02-05 21:48 . 2009-02-05 22:04 <DIR> d-------- c:\users\Christian\AppData\Roaming\SolidDocuments
2009-02-05 21:46 . 2009-02-05 21:46 <DIR> d-------- c:\users\All Users\SolidDocuments
2009-02-05 21:46 . 2009-02-05 21:46 <DIR> d-------- c:\programdata\SolidDocuments
2009-02-05 21:46 . 2008-07-22 04:19 21,240 --a------ c:\windows\System32\solidlocalmon.dll
2009-02-05 21:46 . 2008-07-22 04:19 13,560 --a------ c:\windows\System32\solidlocalui.dll
2009-02-05 21:29 . 2009-02-05 23:12 <DIR> d-------- c:\users\Christian\AppData\Roaming\Download Manager
2009-02-05 19:00 . 2007-03-12 23:34 162,304 --a------ c:\windows\System32\ztvunrar36.dll
2009-02-05 19:00 . 2007-03-12 23:34 77,312 --a------ c:\windows\System32\ztvunace26.dll
2009-02-05 19:00 . 2007-03-12 23:34 69,632 --a------ c:\windows\System32\ztvcabinet.dll
2009-02-05 18:25 . 2009-02-05 18:25 921 --a------ c:\windows\QSFVExit.bat
2009-02-04 21:55 . 2009-02-04 21:56 <DIR> d-------- c:\program files\PDFCreator
2009-02-04 21:55 . 1998-07-06 17:55 158,208 --a------ c:\windows\System32\MSCMCDE.DLL
2009-02-04 21:55 . 1998-06-24 00:00 137,000 --a------ c:\windows\System32\MSMAPI32.OCX
2009-02-04 21:55 . 1998-07-06 17:55 64,512 --a------ c:\windows\System32\MSCC2DE.DLL
2009-02-04 21:55 . 1998-07-06 00:00 23,552 --a------ c:\windows\System32\MSMPIDE.DLL
2009-02-04 21:31 . 2009-02-04 21:31 <DIR> d-------- c:\users\Christian\AppData\Roaming\Bullzip
2009-02-04 21:28 . 2008-09-05 05:29 193,024 --a------ c:\windows\System32\BZPDF.del
2009-02-04 20:51 . 2009-02-04 20:51 <DIR> d-------- c:\program files\FrostWire
2009-02-03 00:29 . 2009-02-03 00:29 0 --ah----- c:\windows\System32\drivers\Msft_Kernel_dc3d_01005.Wdf
2009-01-30 16:16 . 2009-01-30 16:16 <DIR> d-------- c:\users\Christian\AppData\Roaming\vlc
2009-01-29 15:25 . 2009-02-02 17:24 <DIR> d-------- c:\users\Christian\AppData\Roaming\dvdcss
2009-01-28 17:20 . 2008-02-22 04:47 53,248 --a------ c:\windows\System32\davclnt.dll
2009-01-28 16:27 . 2009-01-28 16:27 <DIR> d-------- c:\users\Christian\AppData\Roaming\PeerNetworking
2009-01-27 19:54 . 2004-02-22 10:11 719,872 --a------ c:\windows\System32\devil.dll
2009-01-27 19:54 . 2007-05-17 17:30 318,976 --a------ c:\windows\System32\avisynth.dll
2009-01-27 19:54 . 2005-02-12 23:00 186,880 -r-hs---- c:\windows\System32\RLOgg.ax
2009-01-27 19:54 . 2005-01-17 23:26 179,200 -r-hs---- c:\windows\System32\DiracSplitter.ax
2009-01-27 19:54 . 2006-08-16 14:53 175,104 -r-hs---- c:\windows\System32\CoreAAC.ax
2009-01-27 19:54 . 2005-02-05 23:00 92,672 -r-hs---- c:\windows\System32\RLVorbisDec.ax
2009-01-27 19:54 . 2005-02-22 16:55 81,920 -r-hs---- c:\windows\System32\aac_parser.ax
2009-01-27 19:54 . 2004-01-25 00:00 70,656 --a------ c:\windows\System32\i420vfw.dll
2009-01-27 19:54 . 2005-02-12 23:00 67,584 -r-hs---- c:\windows\System32\RLTheoraDec.ax
2009-01-27 19:54 . 2005-02-12 23:00 51,712 -r-hs---- c:\windows\System32\RLSpeexDec.ax
2009-01-26 16:47 . 2009-01-26 21:30 196,608 --a------ c:\windows\SPInstall.etl
2009-01-22 22:55 . 2009-01-22 22:55 <DIR> d-------- c:\program files\Microsoft
2009-01-15 09:15 . 2009-01-15 09:15 15,360 --a------ c:\windows\System32\drivers\dc3d.sys
2009-01-14 21:41 . 2008-12-16 02:42 288,768 --a------ c:\windows\System32\drivers\srv.sys
2009-01-11 01:21 . 2009-01-11 01:21 <DIR> d-------- c:\users\Public\CyberLink
2009-01-10 14:01 . 2009-01-10 14:01 <DIR> d----c--- c:\windows\System32\DRVSTORE
2009-01-10 14:01 . 2008-04-17 13:12 107,368 --a------ c:\windows\System32\GEARAspi.dll
2009-01-10 14:01 . 2008-04-17 13:12 15,464 --a------ c:\windows\System32\drivers\GEARAspiWDM.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-09 16:30 243,415 ----a-w c:\users\All Users\nvModes.dat
2009-02-09 16:30 243,415 ----a-w c:\programdata\nvModes.dat
2009-02-08 20:54 197,730,821 ----a-w c:\windows\DUMP429a.tmp
2009-02-08 20:53 111,393,789 ----a-w c:\windows\DUMP425c.tmp
2009-02-08 20:39 198,369,701 ----a-w c:\windows\DUMP53ba.tmp
2009-02-08 20:07 --------- d---a-w c:\programdata\TEMP
2009-02-08 20:07 --------- d-----w c:\users\Christian\AppData\Roaming\Skype
2009-02-08 18:44 --------- d-----w c:\users\Christian\AppData\Roaming\skypePM
2009-02-07 16:28 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-07 13:48 --------- d-----w c:\programdata\Norton
2009-02-07 13:48 --------- d-----w c:\program files\Common Files\Symantec Shared
2009-02-07 13:47 --------- d-----w c:\programdata\NortonInstaller
2009-02-07 00:01 --------- d-----w c:\programdata\NVIDIA
2009-02-05 20:34 --------- d-----w c:\users\Christian\AppData\Roaming\ZoomBrowser EX
2009-02-05 19:51 --------- d-----w c:\program files\7-Zip
2009-02-04 20:58 --------- d-----w c:\users\Christian\AppData\Roaming\FrostWire
2009-02-04 17:45 --------- d-----w c:\programdata\Microsoft Help
2009-02-03 16:04 --------- d-----w c:\program files\Google
2009-02-03 15:37 --------- d-----w c:\programdata\ZoomBrowser
2009-02-02 14:21 --------- d-----w c:\program files\Windows Mail
2009-01-28 03:23 --------- d-----w c:\programdata\DVD Shrink
2009-01-10 15:30 --------- d-----w c:\users\Christian\AppData\Roaming\ICQ
2009-01-05 09:03 --------- d-----w c:\program files\Common Files\Adobe
2009-01-05 08:56 --------- d-----w c:\program files\Common Files\Macrovision Shared
2009-01-05 08:26 --------- d-----w c:\program files\TuneUp Utilities 2009
2009-01-03 18:02 --------- d-----w c:\program files\Office-Bibliothek
2009-01-03 14:34 --------- d-----w c:\program files\Microsoft Works
2008-12-30 18:09 --------- d-----w c:\programdata\CyberLink
2008-12-30 17:49 --------- d-----w c:\program files\ICQ6.5
2008-12-21 15:52 --------- d-----w c:\programdata\Symantec Temporary Files
2008-12-21 15:40 --------- d-----w c:\programdata\Symantec
2008-12-21 15:35 --------- d-----w c:\programdata\PCSettings
2008-12-20 20:20 603,904 ----a-w c:\windows\System32\TUProgSt.exe
2008-12-20 20:20 360,192 ----a-w c:\windows\System32\TuneUpDefragService.exe
2008-12-20 20:17 --------- d-sh--w c:\programdata\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-20 10:22 410,984 ----a-w c:\windows\System32\deploytk.dll
2008-12-20 10:22 --------- d-----w c:\program files\Java
2008-12-18 02:22 --------- d-----w c:\program files\RouterControl
2008-12-15 19:33 --------- d-----w c:\users\Christian\AppData\Roaming\Elluminate
2008-12-11 12:31 27,904 ----a-w c:\windows\System32\uxtuneup.dll
2008-12-11 12:31 17,152 ----a-w c:\windows\System32\authuitu.dll
2008-11-28 14:32 2,864,396 ----a-w c:\users\All Users\MPV.exe
2008-11-28 14:32 2,864,396 ----a-w c:\programdata\MPV.exe
2008-11-21 23:05 2,231,606 ----a-w c:\users\All Users\Games.exe
2008-11-21 23:05 2,231,606 ----a-w c:\programdata\Games.exe
2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn5.exe
2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn4.exe
2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn3.exe
2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn2.exe
2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn1.exe
2008-11-18 10:50 330,344 ----a-w c:\windows\RCoUn0.exe
2008-10-17 22:29 2,989,660 ----a-w c:\users\All Users\DVD.exe
2008-10-17 22:29 2,989,660 ----a-w c:\programdata\DVD.exe
2008-09-21 21:32 220 ----a-w c:\users\Christian\AppData\Roaming\wklnhst.dat
2008-08-03 13:48 3,063,561 ----a-w c:\users\All Users\MobileTV.exe
2008-08-03 13:48 3,063,561 ----a-w c:\programdata\MobileTV.exe
2008-07-31 16:44 2,331,174 ----a-w c:\users\All Users\Karaoke.exe
2008-07-31 16:44 2,331,174 ----a-w c:\programdata\Karaoke.exe
2008-04-19 08:30 214,551 ----a-w c:\users\Christian\AppData\Roaming\nvModes.dat
2008-03-04 17:01 32 ----a-w c:\users\All Users\ezsid.dat
2008-03-04 17:01 32 ----a-w c:\programdata\ezsid.dat
2003-03-21 11:45 250,544 ----a-w c:\program files\Common Files\keyhelp.ocx
2008-03-06 16:15 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-03-06 16:15 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-03-06 16:15 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Softany Monitor Control"="c:\program files\Softany\Monitor Control\MonitorControl.exe" [2007-02-13 1257472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ISUSPM"="c:\programdata\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-07-12 226904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-17 634880]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"DpAgent"="c:\program files\DigitalPersona\Bin\dpagent.exe" [2008-07-14 814144]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-04 13556256]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-04 92704]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-14 c:\windows\RtHDVCpl.exe]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-12-04 727592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.i420"= i420vfw.dll
"msacm.l3codecp"= l3codecp.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli DPPWDFLT

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rootrepeal.sys]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Regrun2"=c:\progra~1\Greatis\REGRUN~1\WatchDog.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"RegRun WinBait"=c:\windows\winbait.exe
"@RegRunOnSecure"=c:\progra~1\Greatis\REGRUN~1\OnSecure.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3689611795-3501460912-1218481447-1000]
"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{A1743231-DAA3-4BFA-B59F-B1EF8B4E26F3}"= c:\program files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R1 DhaHelper;DhaHelper;c:\windows\System32\drivers\dhahelper.sys [2008-07-04 7168]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R1 SSHDRV85;SSHDRV85;c:\windows\System32\drivers\SSHDRV85.sys [2008-08-26 78848]
R2 {22D78859-9CE9-4B77-BF18-AC83E81A9263};Power Control [2008/11/21 23:47:51];c:\program files\Hp\QuickPlay\000.fcl [2008-11-22 00:08:15 87536]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2008-11-29 603904]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-10-01 193840]
R3 dc3d;USBCCGP filter driver (dc3d);c:\windows\System32\drivers\dc3d.sys [2009-01-15 15360]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [2008-08-28 3664384]
S3 AntiAries;Anti Aries Helper Driver;c:\windows\System32\drivers\RKL64CA.tmp.sys [2009-02-08 7680]
S3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\System32\drivers\ATSwpWDF.sys [2008-09-09 498432]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sptd

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-02-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 18:07]

2009-02-09 c:\windows\Tasks\User_Feed_Synchronization-{6028E8B2-4921-46A5-95EC-3547AA98DB76}.job
- c:\windows\system32\msfeedssync.exe [2008-01-19 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 127.0.0.1:4001
IE: {{7B499570-29C5-4a80-9F57-94A420D140CE} - {C8FA495F-F131-42B0-8AB8-B119A674AF8E} -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-09 16:41:19
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\windows\system32\wbem\Performance\WmiApRpl_new.h 357 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(776)
c:\windows\system32\DPPWDFLT.dll

- - - - - - - > 'Explorer.exe'(584)
c:\program files\DigitalPersona\Bin\DpoFeedb.dll
c:\windows\system32\btmmhook.dll
c:\program files\DigitalPersona\Bin\DpoSet.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\program files\DigitalPersona\Bin\DpHostW.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\program files\Hp\QuickPlay\Kernel\TV\QPCapSvc.exe
c:\program files\Hp\QuickPlay\Kernel\TV\QPSched.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\conime.exe
c:\windows\System32\rundll32.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\windows\System32\wbem\unsecapp.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Microsoft IntelliPoint\dpupdchk.exe
c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\WIDCOMM\Bluetooth Software\BTStackServer.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\ehome\ehsched.exe
c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\System32\dllhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-09 16:47:37 - PC wurde neu gestartet [Christian]
ComboFix-quarantined-files.txt 2009-02-09 16:47:34

Vor Suchlauf: 20 Verzeichnis(se), 181,633,232,896 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 181,615,575,040 Bytes frei

305 --- E O F --- 2009-02-05 23:31:15

SweeteJule · 15.03.2009, 19:20

Hallo,
habe auch den Virus Packed.Generic.200 auf meinem PC

Leider kenne ich mich nun wirklich kaum mit Viren etc. aus ich habe Norton Internet Security 2009 durchlaufen lassen, aber das Programm hat alles in Quarantäne verschoben bis auf diesen Virus.
Das Programm hat mir auch angezeigt in welcher Datei er ist nur leider kann ich das alles nicht entziffern.
Hoffentlich kann mir jemand helfen bin nämlich ganz schön ratlos.
Hier mir die angezeigten Dateien
globalroot/systemroot/system32/uacnjemonrf.dll
globalroot/systemroot/system32/uacnjemonrf.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uackrirsdpl.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uackrirsdpl.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uackrirsdpl.dll
globalroot/systemroot/system32/uacptnkbwul.dll
Wenn jm. weiß welche Dateien das sind bitte melden
Schon mal im Voraus ganz liebes Danke schön
Liebe Grüße

john.doe · 15.03.2009, 19:31

Hallo SweeteJule und

Bitte eröffne dein eigenes Thema, dann werde ich dir helfen.

ciao, andreas

gaopdx... Viren?

Plagegeister aller Art und deren Bekämpfung: gaopdx... Viren?

gaopdx... Viren?

gaopdx... Viren?

gaopdx... Viren?

gaopdx... Viren?

gaopdx... Viren?

gaopdx... Viren?

Ähnliche Themen: gaopdx... Viren?

15.03.2009, 19:31	#6
john.doe	gaopdx... Viren? Hallo SweeteJule und Bitte eröffne dein eigenes Thema, dann werde ich dir helfen. ciao, andreas __________________ --> gaopdx... Viren?