TR/Vundo verursacht all diese Probleme ???

Redwulf · 17.02.2009, 09:34

Noch lange nicht Isabella. Lass GMER laufen und poste das Log, dann gehts weiter.......mach hinne.so langsam bau ich ab nach dem Nachtdienst

isabella · 17.02.2009, 09:38

Zitat:

Zitat von Redwulf

Noch lange nicht Isabella. Lass GMER laufen und poste das Log, dann gehts weiter.......mach hinne.so langsam bau ich ab nach dem Nachtdienst

es tut mir wirklich leid, euch um diese zeiten so beanspruchen zu müssen....
der GMER läuft grad noch, und sobald der fertig is, sind die log daten auch gleich online...

ich danke euch vielmals....seid echt klasse !

Redwulf · 17.02.2009, 09:42

*Rot werd´*

isabella · 17.02.2009, 09:47

gmer hat folgendes ausgespuckt:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-17 09:46:09
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.14 ----

SSDT 9D847924 ZwCreateThread
SSDT 9D847910 ZwOpenProcess
SSDT 9D847915 ZwOpenThread
SSDT 9D84791F ZwTerminateProcess
SSDT 9D84791A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!KeSetTimerEx + 454 82EECA18 4 Bytes [ 24, 79, 84, 9D ]
.text ntkrnlpa.exe!KeSetTimerEx + 624 82EECBE8 4 Bytes [ 10, 79, 84, 9D ]
.text ntkrnlpa.exe!KeSetTimerEx + 640 82EECC04 4 Bytes [ 15, 79, 84, 9D ]
.text ntkrnlpa.exe!KeSetTimerEx + 854 82EECE18 4 Bytes [ 1F, 79, 84, 9D ]
.text ntkrnlpa.exe!KeSetTimerEx + 8B4 82EECE78 4 Bytes [ 1A, 79, 84, 9D ]

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Threads - GMER 1.0.14 ----

Thread 4:360 884E5170
Thread 4:364 88596650
Thread 4:368 8858C660
Thread 4:372 88596650
Thread 4:376 885C7E70
Thread 4:380 885C7E70
Thread 4:384 885C7E70

---- Services - GMER 1.0.14 ----

Service system32\drivers\gaopdxrombxdux.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002186312a38
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrombxdux.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@userdata -1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrombxdux.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxhhppncbk.dll
Reg HKLM\SYSTEM\ControlSet022\Services\BTHPORT\Parameters\Keys\002186312a38
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrombxdux.sys
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys@userdata -1
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrombxdux.sys
Reg HKLM\SYSTEM\ControlSet022\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxhhppncbk.dll
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Users\Sinora\x2122\AppData\Roaming\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\PartyPokerSetup.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\vlc-0.9.6-win32.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3IAWED10\PartyPokerSetup[1].exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\BSLITEINSTALL525.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\setup_akl.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\okey+v2.1-kur.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\FamilyKeyLogger-setup.exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0G0QYES6\setup_akl[1].exe 1
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Sinora\x2122\Desktop\vlc-0.9.8a-win32.exe 1

---- EOF - GMER 1.0.14 ----

warte auf anweisungen...

Redwulf · 17.02.2009, 09:51

Moment.....bring schon mal Avenger an den Start

isabella · 17.02.2009, 09:52

Zitat:

Zitat von Redwulf

Moment.....bring schon mal Avenger an den Start

hab ich hier...

wo und wie soll ich den starten ???

Redwulf · 17.02.2009, 10:01

Ist dein Pad zu Windows der?
C:\Windows

Avenger einfach auf den Desktop und doppelt ankklicken

isabella · 17.02.2009, 10:03

Zitat:

Zitat von Redwulf

Ist dein Pad zu Windows der?
C:\Windows

Avenger einfach auf den Desktop und doppelt ankklicken

jap, der pfad ist richtig.

avenger ist nun aufm desktop und wird ausgeführt

PS:

Die logfile von GMER da eifügen nehm ich an ?

17.02.2009, 10:07

So, da bin ich wieder!
@Redwulf: musste ja gerade was ausprobieren, wusstest Du ja ;-)

- Avenger starten
- folgenden Code eingeben

Code:

ATTFilter

Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\Windows\System32\drivers\gaopdxrombxdux.sys
C:\Windows\System32\gaopdxhhppncbk.dll

- dann wieder melden und Logfile posten

Grüße
45cl3p1u5

Redwulf · 17.02.2009, 10:07

NEIN!!!!!!!!!

Avenger aufrufen und das nachfolgende Script kopieren und in das Scriptfeld pasten:

Code:

ATTFilter

Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxrombxdux.sys
C:\WINDOWS\system32\gaopdxhhppncbk.dll

Schliesse nun alle Programme und Browser-Fenster
- klicke auf "Execute"
- klicke auf "Yes" -> der Rechner startet neu; Nicht erschrecken, booted mehrfach, wird wild.....

- poste den Inhalt der Datei "C:\avenger.txt

Zu langsam, aber doppelt hält ja bekanntlich länger........

17.02.2009, 10:09

*grins*

Zitat:

Ist dein Pad zu Windows der?
C:\Windows

war schneller, da ich den Pfad aus der mbam-logfile abgelesen hab

isabella · 17.02.2009, 10:13

*grins..

der lappy bootet nun mehrmals....logfile folgt im nächsten post

Redwulf · 17.02.2009, 10:13

Zitat:

Zitat von 45cl3p1u5

So, da bin ich wieder!
@Redwulf: musste ja gerade was ausprobieren, wusstest Du ja ;-)

.......und schon ne Idee?

darf ich dich bitten mit dem anderen Post in verbindung zu treten? Hatte Nachtdienst und fall gleich um

Redwulf · 17.02.2009, 10:15

Zitat:

Zitat von 45cl3p1u5

*grins*

war schneller, da ich den Pfad aus der mbam-logfile abgelesen hab

..und wieder was gelernt, du bist halt der Profi......

isabella · 17.02.2009, 10:17

so meine herren,

logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "gaopdxserv.sys" deleted successfully.

Error: file "C:\Windows\System32\drivers\gaopdxrombxdux.sys" not found!
Deletion of file "C:\Windows\System32\drivers\gaopdxrombxdux.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\System32\gaopdxhhppncbk.dll" not found!
Deletion of file "C:\Windows\System32\gaopdxhhppncbk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

....warte auf anweisungen

17.02.2009, 10:07	#39
45cl3p1u5 Gast	TR/Vundo verursacht all diese Probleme ??? So, da bin ich wieder! @Redwulf: musste ja gerade was ausprobieren, wusstest Du ja ;-) - Avenger starten - folgenden Code eingeben Code: ATTFilter Drivers to delete: gaopdxserv.sys Files to delete: C:\Windows\System32\drivers\gaopdxrombxdux.sys C:\Windows\System32\gaopdxhhppncbk.dll - dann wieder melden und Logfile posten Grüße 45cl3p1u5

TR/Vundo verursacht all diese Probleme ???

Plagegeister aller Art und deren Bekämpfung: TR/Vundo verursacht all diese Probleme ???