Hallo zusammen,

ich habe ein kleines großes Problem, ich habe mir heute versehentlich einen Virus eingefangen und weiss nichts damit anzufangen, denn er lässt sich nicht so einfach löschen bzw. verursacht massive Probleme die ich bis jetzt nur teilweise beheben konnte. Ich habe mich etwas durch das Forum gelesen, jedoch sind da soviele Themen die sich mit Rootkits und DNS-Changer befassen, dass ich leider keine Ahnung habe wo ich anfangen soll bzw. was das überhaubt für ein Virus ist.

Meine Situation sieht folgendermaßen aus:

wenn ich auf mein Arbeitsplatz gehe und eine der beiden HDDs auswähle, bekomme ich die folgende Fehlermeldung



außerdem startet sich dann die msiexec.exe im Taskmanager und folgendes passiert -> DNS Server change



Ich kann zwar durch Adressleisteneingabe "c:\" auf die Platte zugreifen, ist jedoch auf Dauer umständlich und so ganz trau ich dem Braten nicht.

Im Recycler Ordner befindet sich außerdem folgendes.



Die 2 .exen habe ich mal gescannt und rausgekommen ist folgendes
Virustotal.com Scanergebnis

Code: Alles auswählenAufklappen

ATTFilter

TR/TDss.twf
Win32/Cryptor
Win32.Backdoor.Poison.gen!A.3
Trojan.Win32.TDSS.twf
Generic!Artemis
Trojan.TDss.twf
High Risk Cloaked Malwarr
         

Desweiteren diese Config Datei auf der C: Platte -> autorun.cfg

Zitat:

[autorun]
;immvmecddskkuuj
shellexecute="RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com c:\"
;dxpnmvmzexa
shell\Open\command="RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com c:\"
;kxsuigpbpqabsgwmzgeekswgyopicqfjwulloxscvqzhnnodjtkiyeurlzqqkkqbowenyhhc
shell=Open

Nun zu den Logfiles

HijackThis Scan

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:39, on 20.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\Tralala.exe
C:\WINDOWS\System32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 85.25.7.93 gwgt1.joymax.com
O1 - Hosts: 85.25.7.93 gwgt2.joymax.com
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235589560437
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 4621 bytes

GMER Logfile

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-20 13:49:43
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F7AAA026 ZwCreateKey
SSDT F7AAA01C ZwCreateThread
SSDT F7AAA02B ZwDeleteKey
SSDT F7AAA035 ZwDeleteValueKey
SSDT F7AAA03A ZwLoadKey
SSDT F7AAA008 ZwOpenProcess
SSDT F7AAA00D ZwOpenThread
SSDT F7AAA044 ZwReplaceKey
SSDT F7AAA03F ZwRestoreKey
SSDT F7AAA030 ZwSetValueKey
SSDT F7AAA017 ZwTerminateProcess

Code 888F0F38 ZwEnumerateKey
Code 88895C58 ZwFlushInstructionCache
Code 88891CC6 IofCallDriver
Code 888A361E IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 88891CCB
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 888A3623
PAGE ntoskrnl.exe!ZwEnumerateKey 80570D64 5 Bytes JMP 888F0F3C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80577693 5 Bytes JMP 88895C5C

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\gaopdxserv.sys (*** hidden *** ) B5A22000-B5A38000 (90112 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxxtehexywevirkpmadwyregxvdkokbsdw.dll

---- EOF - GMER 1.0.14 ----

Anmerkung zu GMER; Diese Einträge waren rot unterlegt.
Module \systemroot\system32\drivers\gaopdxserv.sys (*** hidden *** ) B5A22000-B5A38000 (90112 bytes)
Service C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

PS: Ich bin kein Profi und hoffe deshalb, dass mir jemand dabei helfen kann ohne, dass ich mein PC neu aufsetzen muss. Über jegliche Hilfe und Tipps wäre ich sehr dankbar.

Gruß Omni~

Zitat:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150

Wie schon von dir selbst erwähnt, DNSchanger.

Kein OnlineBanking, eBay und Amazon etc. pp. durchführen bitte, Kenn- und Passwörter von einem SAUBEREN Rechner ändern und bei Auffälligkeiten die Bank informieren und das Konto sperren lassen.

Lasse mal bitte Malwarebytes durchlaufen und deaktiviere deine Systemwiederherstellung, ist in dem fall eh unsinnig, da du dir den ganzen Mist eh sonst wieder holst.

Zitat:

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@imagepath \systemroot\system32\drivers\gaopdxjcbfametmewbyri lolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxj cbfametmewbyrilolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxxtehexywe virkpmadwyregxvdkokbsdw.dll

Das sind alles schadhafte Einträge in der Registry.
Das GaoTeil mal wieder. Nerviges Teil.

Ich versuche derweil jemanden mit Combofix zu finden.


EDIT:

Zitat:

O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

Kommt mir en bißchen komisch vor der O24 Eintrag, sollten wir dann auch mal überprüfen, was es hiermit so auf sich hat, wenn jemand hier ist mit Combofix.

Hi,

wir lassen erst einmal Avenger los (wenn das nicht geht, kommt die große Kanone combofix):

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
gaopdxserv.sys

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
C:\WINDOWS\system32\gaopdxxtehexywevirkpmadwyregxvdkokbsdw.dll
C:\WINDOWS\system32\gaopdxcounter
C:\WINDOWS\system32\drivers\gaopdxserv.sys
C:\RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach bitte sofort mit MAM loslegen (eigentlich müsste auch AVIRA sofort anspringen)..

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Alle Logs posten und prüfe vor der Orgie, dass auf jeden Fall die Umleitung über die Ukraine weg ist (s. Angel's post!)

chris

Das Teil versucht derweil ständig die Firewall auszuschalten.

Mit Malwarebytes kann ich leider nicht behilflich sein, denn es startet leider erst garnicht. Es kommt kurz die Sanduhr und nach einer Sekunde ist sie auch schon wieder weg und es passiert garnichts.

Gibt es eine möglichkeit diese Reg Einträge zu entfernen ? Mit regedit bzw. dem Regeditor von GMER konnte ich diese Einträge leider nicht finden. Sind wohl gut versteckt.

Gibt es noch eine alternative zu Malwarebytes oder evtl. einen Tipp wie ich das Programm zum laufen bringe. Habe auch schon Abgesichtert gebootet und trotzdem kein Erfolg. Habe Win XP Pro SP3.

Ja es gibt eine Alternative zu MBAM und zwar Superantispyware ....
Bitte Full Scan und Log hier rein. und die Schritte von Chris4You ausführen.

Hi,

zuerst bitte mit Avenger den Rootkit ausschalten, alles andere (ausser Combofix) wird wohl nicht gehen, in dem Fall bereits im Downloaddialog mam umbenennen auf test.com, das gleiche mit avenger...

Solange der Rootkit läuft wirst Du nichts (auch nicht aus der Registry entfernen können, der merkt das und nimmt die Änderungen zurück (falls er den Versuch der Änderung überhaupt erlaubt))...

Ev. im abgesicherten Modus probieren...

chris

Jetzt muss ich grad etwas über mich selbst lachen... "Datei umbennen"
Also wenns test.exe heißt gehts aufeinmal.

Die Umleitung habe ich selbsverständlich gleich rausgemacht nachdem ich auf die HDDs nicht zugreifen konnte, sofot internetverbindung gecheckt und rausgemacht und prüfe dies auch alle 2 min. ob sich da was ändert. Bis jetzt stehts glücklicherweise auf "automatisch" und so solls auch bleiben.

Ok dann lege ich mal los,

Avenger Report

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys" deleted successfully.
File "C:\WINDOWS\system32\gaopdxxtehexywevirkpmadwyregxvdkokbsdw.dll" deleted successfully.
File "C:\WINDOWS\system32\gaopdxcounter" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\gaopdxserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\gaopdxserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

SUPERAntispyware Report

Zitat:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/20/2009 at 03:27 PM

Application Version : 4.25.1014

Core Rules Database Version : 3806
Trace Rules Database Version: 1761

Scan type : Quick Scan
Total Scan Time : 00:06:57

Memory items scanned : 391
Memory threats detected : 0
Registry items scanned : 323
Registry threats detected : 2
File items scanned : 4672
File threats detected : 20

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.usenext[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.nexon[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@media.warrock[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adserver.71i[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.71i[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@microsoftwga.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atwola[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[1].txt

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

Rootkit.Agent/Gen-GAOPDX
C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXTODPPXMASUVJLQROUIPOEDKARCTDXEGE.SYS

Malwarebytes Antimalware Report

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

20.03.2009 16:17:31
mbam-log-2009-03-20 (16-17-29).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 65789
Laufzeit: 4 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126,85.255.112.150 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126,85.255.112.150 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126,85.255.112.150 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hi,

das hier ist neu:

Code: Alles auswählenAufklappen

ATTFilter

Rootkit.Agent/Gen-GAOPDX
C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXTODPPXMASUVJLQROUIPOEDKARCTDXEGE.SYS
         

War jedenfalls nicht bei GMER oder ich habs übersehen, daher bitte noch mal GMER laufen lassen und Logs posten, zusätzlich:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-a...tellungen.html
Fullscan und alles bereinigen lassen.

Dr. Web ist in solchen Fällen auch zu empfehlen:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

Logs bitte posten...
Was treibt der Rechner so?

chris
Ps.: Wir haben noch das "C:\RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com"-Problem,
oder? -> Autorun-Vrius und Autorun disablen!

Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder
http://www.trojaner-board.de/72847-f...absichern.html
Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Zum Thema Antivir, Avira wurde geupgradet nun steht AV 9 zur Verfügung, nicht mehr AV 8 sollte man immer Upgraden.



viel erfolg weiterhin

- Antivir Einstellungen vorgenommen
- GMER Scan gemacht
- "gaopdxtodppxmasuvjlqrouipoedkarctdxege" gelöscht
- "C:\RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com" gelöscht.
- Flash_disinfector nicht runtergeladen, weil:


So hier nochmal der GMER Report

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-20 16:47:43
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT B8F56BAE ZwCreateKey
SSDT B8F56BA4 ZwCreateThread
SSDT B8F56BB3 ZwDeleteKey
SSDT B8F56BBD ZwDeleteValueKey
SSDT B8F56BC2 ZwLoadKey
SSDT B8F56B90 ZwOpenProcess
SSDT B8F56B95 ZwOpenThread
SSDT B8F56BCC ZwReplaceKey
SSDT B8F56BC7 ZwRestoreKey
SSDT B8F56BB8 ZwSetValueKey
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB5A9EF20]

---- Kernel code sections - GMER 1.0.14 ----

? uyfzboed.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Der Rechner ist soweit in Ordnung und er versucht nicht mehr die Firewall abzuschalten oder mich irgendwo nach Buxtehude zu redirecten.

Aber ich kann immer noch nicht per dblclick auf meine HDD zugreifen und somit nehme ich an, dass noch viren/rootkit-reste irgendwo rumfliegen


EDIT

Und hier der Antivir Report (sry konnte nicht mehr Editieren)

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 20. März 2009 18:55

Es wird nach 1308885 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : PC1

Versionsinformationen:
BUILD.DAT : 9.0.0.386 17962 Bytes 11.03.2009 15:51:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 11:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 09:55:21
ANTIVIR3.VDF : 7.1.2.193 243712 Bytes 20.03.2009 09:55:21
Engineversion : 8.2.0.120
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42
AESCRIPT.DLL : 8.1.1.67 364923 Bytes 20.03.2009 09:55:24
AESCN.DLL : 8.1.1.8 127346 Bytes 20.03.2009 09:55:23
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 12:06:10
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.107 1663352 Bytes 20.03.2009 09:55:23
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.30 336245 Bytes 20.03.2009 09:55:22
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 13:22:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 06:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\***\LOKALE~1\Temp\51d61ea0.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 20. März 2009 18:55

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\***\Desktop\pommes.rar
[0] Archivtyp: RAR
--> pommes.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Desktop\pommes.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a33dfc6.qua' verschoben!


Ende des Suchlaufs: Freitag, 20. März 2009 19:24
Benötigte Zeit: 27:22 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6071 Verzeichnisse wurden überprüft
237700 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
237698 Dateien ohne Befall
1769 Archive wurden durchsucht
1 Warnungen
2 Hinweise

Lade dir mal GMER runter unter >> http://www.gmer.net und scanne ALLE Partitionen durch, nach Rootkits und Malware und Poste das Resultat hier.

Danach machst du nochmal ein Fullscan mit Malwarebytes und postest das Ergebnis hier.

Poste danach nochmal n neues HJT-Log.

Hi,

das Du noch nicht auf die HD kommst, liegt an den "faulen" Einträgen in der REG und der vom Trojaner "optimierten" autorun.inf.

Daher unbedingt den Flashdisinfector laden und laufen lassen. Tatsächlich wird er von Scannern erkannt, das ist aber eine Falschmeldung (daher heist es auch in der Anweisung "realtimeschutz ausschalten").

Die Regeinträge biegen wir damit wieder hin:
System Reparieren:
Vorher ggf. Backup machen
Lade Dir "Advanced Windowscare Professional" von folgender Adresse:
http://www.iobit.com/advancedwindows...l?Str=download
Installieren auf Deutsch, Yahoo-Toolbar etc. abwählen.
Erstelle einen Systemwiederherstellungspunkt
(Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen) oder lasse ihn automatisch erstellen.
Führe dann einen Update der Signatur/Reperaturdateien aus.
Lasse dann das gesamte System scannen und Bereinigen sowie
Immunisieren.
Damit werden einige Einträge wieder gerade gebogen, die von
Trojaneren/Viren verbogen worden sind...

Folge auch noch den Anweisungen von Angle (vor dem Rest der Bereinigung)...

chris

Ok Leuts, das Problem habe ich nun behoben.
Er versucht nichtmehr den DNS Server zu ändern oder die FW abzuschalten, Rootkit ist auch weg und auf meine HDDs kann ich wieder ganz normal zugreifen. Somit nehme ich wohl an, dass ich wieder sicher im internet surfen kann. Nur mies, dass mein Antivir den Virus nicht von Anfang an erkannt hat...

Möchte mich daher bei euch herzlich bedanken, waren alles hammer tipps und haben mich davor bewahrt mein OS neu aufzusetzen.

Ein Dreifaches

die gao einträge in der registry sind auch weg?