Hallo,

bekomme seit neuem die Virenmeldung über mein AVG Virenscanner beim Hochfahren des PCs:
"C:\Windows\System32\gaopdxfalfspebjtvheevmxbhpsxfrfbyinceo.dll";"Virus identifiziert: Win32/Cryptor";"Infiziert"
kann diese jedoch nicht mit meinem AVG Scanner beseitigen oder in Quarantäne setzen;
kann seit dem auch nicht mehr meinen Virenscanner AVG updaten und Windows UPdate läuft auch momentan nicht...
wie kann ich diesen Virus am besten entfernen...

danke im Voraus

Hallo und

GMER - Rootkit Detection

• Lade Tralala von File-Upload.net - Tralala.exe
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Tralala.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Hallo, danke erts mal für deine Hilfe...

hier mal die logfiles, kommt jedoch nur bis zu dieser dll, wenn ich scan weiterlaufen lassen würde, stürzt rechner ab..:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-22 11:31:17
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.14 ----

Code 8F5A6388 ZwEnumerateKey
Code 8F6063F8 ZwFlushInstructionCache
Code 8F6063C0 ZwQueryValueKey
Code 8F60A2CD IofCallDriver
Code 8651BF56 IofCompleteRequest

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\tdx \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\Ip ntoskrnl.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\Tcp ntoskrnl.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\Udp ntoskrnl.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\RawIp ntoskrnl.exe (NT Kernel & System/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Services - GMER 1.0.14 ----

Service C:\Windows\system32\drivers\gaopdxupkhkvmrpvauiqtkrpvtwywhgsvotdpj.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\Windows\system32\drivers\gaopdxupkhkvmrpvauiqtkrpvtwywhgsvotdpj.sys
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hallo,

anbei das Ergebnis:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\gaopdxupkhkvmrpvauiqtkrpvtwywhgsvotdpj.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.
File "C:\Windows\system32\drivers\gaopdxupkhkvmrpvauiqtkrpvtwywhgsvotdpj.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas