Trojaner bzw. DNS Changer/Rootkit

Omnipräsent · 20.03.2009, 13:58

Hallo zusammen,

ich habe ein kleines großes Problem, ich habe mir heute versehentlich einen Virus eingefangen und weiss nichts damit anzufangen, denn er lässt sich nicht so einfach löschen bzw. verursacht massive Probleme die ich bis jetzt nur teilweise beheben konnte. Ich habe mich etwas durch das Forum gelesen, jedoch sind da soviele Themen die sich mit Rootkits und DNS-Changer befassen, dass ich leider keine Ahnung habe wo ich anfangen soll bzw. was das überhaubt für ein Virus ist.

Meine Situation sieht folgendermaßen aus:

wenn ich auf mein Arbeitsplatz gehe und eine der beiden HDDs auswähle, bekomme ich die folgende Fehlermeldung

außerdem startet sich dann die msiexec.exe im Taskmanager und folgendes passiert -> DNS Server change

Ich kann zwar durch Adressleisteneingabe "c:\" auf die Platte zugreifen, ist jedoch auf Dauer umständlich und so ganz trau ich dem Braten nicht.

Im Recycler Ordner befindet sich außerdem folgendes.

Die 2 .exen habe ich mal gescannt und rausgekommen ist folgendes
Virustotal.com Scanergebnis

Code:

ATTFilter

TR/TDss.twf
Win32/Cryptor
Win32.Backdoor.Poison.gen!A.3
Trojan.Win32.TDSS.twf
Generic!Artemis
Trojan.TDss.twf
High Risk Cloaked Malwarr

Desweiteren diese Config Datei auf der C: Platte -> autorun.cfg

Zitat:

[autorun]
;immvmecddskkuuj
shellexecute="RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com c:\"
;dxpnmvmzexa
shell\Open\command="RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com c:\"
;kxsuigpbpqabsgwmzgeekswgyopicqfjwulloxscvqzhnnodjtkiyeurlzqqkkqbowenyhhc
shell=Open

Nun zu den Logfiles

HijackThis Scan

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:39, on 20.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\Tralala.exe
C:\WINDOWS\System32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 85.25.7.93 gwgt1.joymax.com
O1 - Hosts: 85.25.7.93 gwgt2.joymax.com
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235589560437
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 4621 bytes

GMER Logfile

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-20 13:49:43
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT F7AAA026 ZwCreateKey
SSDT F7AAA01C ZwCreateThread
SSDT F7AAA02B ZwDeleteKey
SSDT F7AAA035 ZwDeleteValueKey
SSDT F7AAA03A ZwLoadKey
SSDT F7AAA008 ZwOpenProcess
SSDT F7AAA00D ZwOpenThread
SSDT F7AAA044 ZwReplaceKey
SSDT F7AAA03F ZwRestoreKey
SSDT F7AAA030 ZwSetValueKey
SSDT F7AAA017 ZwTerminateProcess

Code 888F0F38 ZwEnumerateKey
Code 88895C58 ZwFlushInstructionCache
Code 88891CC6 IofCallDriver
Code 888A361E IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 88891CCB
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 888A3623
PAGE ntoskrnl.exe!ZwEnumerateKey 80570D64 5 Bytes JMP 888F0F3C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80577693 5 Bytes JMP 88895C5C

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\gaopdxserv.sys (*** hidden *** ) B5A22000-B5A38000 (90112 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxxtehexywevirkpmadwyregxvdkokbsdw.dll

---- EOF - GMER 1.0.14 ----

Anmerkung zu GMER; Diese Einträge waren rot unterlegt.
Module \systemroot\system32\drivers\gaopdxserv.sys (*** hidden *** ) B5A22000-B5A38000 (90112 bytes)
Service C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

PS: Ich bin kein Profi und hoffe deshalb, dass mir jemand dabei helfen kann ohne, dass ich mein PC neu aufsetzen muss. Über jegliche Hilfe und Tipps wäre ich sehr dankbar.

Gruß Omni~

Trojaner bzw. DNS Changer/Rootkit

Plagegeister aller Art und deren Bekämpfung: Trojaner bzw. DNS Changer/Rootkit

Trojaner bzw. DNS Changer/Rootkit

Ähnliche Themen: Trojaner bzw. DNS Changer/Rootkit