Nein, ich habe es übersehen und nachträglich geändert.

ciao, andreas

aso x3 lol okay

hab da doch noch was gefunden weiß aber nicht ob das was schlimmes ist http://img4.imageshack.us/my.php?image=73754970uk1.jpg

und noch mals danke für deine hilfe (^.^)/

~Ruki~

Oha, nicht gut.

GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Doppelklick auf gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

oki werd ich mal gleich machen (>__<)

~Ruki~

oho nicht gut (>_<) der gibt ne meldung an WARNING ! der hat was gefunden =(

http://www.file-upload.net/index.php?to=links&id=1439743&img=0&hash=54670aaa43c7fffc2b98731965691d6d



~Ruki~

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
gaopdxserv.sys 

Files to delete:
C:\Windows\system32\drivers\gaopdxpbrjyebb.sys
C:\Windows\system32\gaopdxvlxoiwyu.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

oki hab ich. am amfang als ich mein pc neugestarten hatte kam ne meldung das kein daten träger gefunden wurde hat das was zu bedeuten ?

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6001, Service Pack 1)
Sun Feb 08 18:03:57 2009

18:03:57: Error: Could not register cleanup.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\gaopdxpbrjyebb.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.
File "C:\Windows\system32\drivers\gaopdxpbrjyebb.sys" deleted successfully.
File "C:\Windows\system32\gaopdxvlxoiwyu.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Den haben wir getötet.

Avenger und GMER kannst du deinstallieren.
Lasse noch einmal Malwarebytes laufen. Klicke vor dem Scan auf die Karte Update und anschliessend klicke auf Suche nach Aktualisierungen. Dann noch einen vollständigen Scan durchfühen und das Log posten.

ciao, andreas

ui wow (*__*) sieg für uns was war das eigentlich ? oki mach ich mal schnell (^__^)

~Ruki~

Zitat:

was war das eigentlich ?

Etwas Böses. GAOPDXSERV.SYS, Prevx

ciao, andreas

sehr böse sogar (Ö__Ö) das mit den scannen kann einbisschen noch dauern (^_^)


~Ruki~

Macht nichts, ich warte.

ciao, andreas

oki hihi (^3^)

~Ruki~

so fertig aber komischerweise wurde wieder was von troja gefunden (ö_ö)

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1738
Windows 6.0.6001 Service Pack 1

08.02.2009 19:32:43
mbam-log-2009-02-08 (19-32-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 212082
Laufzeit: 1 hour(s), 3 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\coolplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\autorun.inf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-3-8-49-100029251-100015219-100016303-9347.com (Trojan.Agent) -> Quarantined and deleted successfully.

Oha, das wird ja immer schlimmer.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas