Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3


Plagegeister aller Art und deren Bekämpfung: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 07.04.2009, 03:29   #1
help me
 
Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Ausrufezeichen

Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3


Hallo liebe Forumsmitglieder!

Ich wende mich an Euch, weil mein Problem vertrackt zu sein scheint und ich etwas den Überblick verloren habe, was ich noch machen muss, um mein System wieder sauber hinzubekommen - und ob ich das überhaupt kann oder ob ihr mir ratet, das System platt zu machen.

Vielen Dank erst einmal, dass Ihr hier so tolle Hilfe leistet! Ich habe mich schon durch die Anleitungen und einige Threads (mein Problem ähnelt wohl dem Thread browser-spinnen-nach-2-trojaner) gelesen, um mein Problem zu lösen - allerdings: mit jedem gelöschten Trojaner kamen zwei neue.

Also, ich beginne erst einmal, das Problem zu beschreiben und berichte dann, welche Schritte ich alles schon unternommen habe (ich verwende Windows XP Professional Service Pack 3).

Begonnen hat es mit einer Datei, die ich ausgeführt habe, im Glauben, es wäre eine sichere Datei. Daraufhin meldete sich die Norman Security Suite, er habe zwei Trojaner entdeckt und in Quarantäne gesteckt. Dann begannen aber die eigentlichen Probleme. Sofort ging es mit Autorun.inf Meldungen los - dabei hatte ich eigentlich noch einige Tage vorher die Autorun-Funktion auf allen Laufwerken deaktiviert (und vorher noch das Windows-Update heruntergeladen, das die ordnungsgemäße Deaktivierung der Funktion gewährleisten soll).

Ich schreib mal auf, was die Norman Security Suite alles gefunden hat:

Code:
ATTFilter
Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***. Infected file E:\Recycled\NPROTECT\00001102.inf Quarantined file E:\Recycled\NPROTECT\00001102.inf Deleted file E:\Recycled\NPROTECT\00001102.inf Removed Trojan BAT/AutoRun.IWK. File deleted.

Virus W32/Malware [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * File length: 28160 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYST Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file E:\Recycled\NPROTECT\00001101.EXE Quarantined file E:\Recycled\NPROTECT\00001101.EXE Deleted file E:\Recycled\NPROTECT\00001101.EXE 

Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file F:\autorun.inf Quarantined file F:\autorun.inf Deleted file F:\autorun.inf Removed Trojan BAT/AutoRun.IWK. File deleted. 

Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\autorun.inf Quarantined file C:\autorun.inf Deleted file C:\autorun.inf Removed Trojan BAT/AutoRun.IWK. File deleted.

Trojan Malware.EKER Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\Recycled\NPROTECT\00087431.EXE Quarantined file C:\Recycled\NPROTECT\00087431.EXE Deleted file C:\Recycled\NPROTECT\00087431.EXE 

Trojan BAT/AutoRun.IWK Scan engine: 6.00.06, Nvcbin.def 6.00 (2009/04/03), Nvcmacro.def 6.00 (2009/02/12). Login info: user '***', host '***' . Infected file C:\Recycled\NPROTECT\00087498.inf Quarantined file C:\Recycled\NPROTECT\00087498.inf Deleted file C:\Recycled\NPROTECT\00087498.inf Removed Trojan BAT/AutoRun.IWK. File deleted.
So. Dann hab ich mir verschiedenen Programme heruntergeladen, die hier empfohlen wurden. Die Dateiendungen und die versteckten Dateien werden bei mir ohnehin angezeigt, das hab ich noch mal überprüft.

Also, Autoruneater geladen und gestartet, hat auch brav noch zwei gefunden.

Dann habe ich, weil ich das hier irgendwo gelesen hatte, mit Shift + Entf die Dateien in den recycled-Ordner auf den verschiedensten Platten bzw. Partitionen zu löschen, anfangs mit mäßigem Erfolg, weil immer Zugriffskonflikte gemeldet wurden. Schließlich ist es mir aber doch gelungen.

Dann habe ich über den Ausführen-Befehl msconfig gestartet und ipconfig /flushdns ausgeführt, um die DNS-Server wieder zu löschen. Ich weiss nicht mehr, ob die dabei gelöscht wurden, oder ob das vorher schon der Malwarebytes' Anti-Malware gemacht hatte, aber da waren auf jeden Fall welche eingestellt!

Sobald die Autorun.inf-Dateien eliminiert waren, meldeten sich im Systemtray rechts nacheinander drei Programme, die Autorun-Datei wäre defekt, ich solle irgendwas (CHDMX? Es war eine Buchstabenkombination, die ich mir nicht merken konnte, bei den ganzen 1000 Fehlermeldungen) ausführen. Zunächst billy.exe - offensichtlich Teil des Viruses. Dann später noch RTHDCPL.exe und dann ALCMTR.exe. Laut Filenet sind das Dateien, die vom Realtek Soundsystem verwendet werden, die aber auch von Viren befallen sein können, vor allem, wenn sie im System-Ordner oder im Windows-Ordner seien.

Daraufhin wollte ich schauen, wo die Dateien sich befinden - aber siehe da, der oder die Trojaner hatten meine Windows-Suche außer Funktion gesetzt, sofort gab's einen Bluescreen.

So, dann habe ich Malwarebytes' Anti-Malware starten wollen - ging aber nicht. Dann hab ich den Trick mit dem Umbenennen angewandt (von exe auf com), das klappte dann wunderbar. Hier die Logliste:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

05.04.2009 07:53:33
mbam-log-2009-04-05 (07-53-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 146564
Laufzeit: 13 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 20
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{8c08362b-3330-4eb4-a52d-cbfea49e271e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a6232462-dff9-4702-b328-6f8a61cd6bf0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{ccd58c7e-0544-4fb0-90a2-ecf6b22b10fe}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.93,85.255.112.15 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\autorun.inf (Worm.Agent.H) -> Delete on reboot.
C:\RECYCLER\S-8-0-42-100030408-100022070-100017761-1921.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
Dann Neustart und MAM nochmal gestartet:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3

05.04.2009 08:30:56
mbam-log-2009-04-05 (08-30-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 146644
Laufzeit: 13 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
Das ganze dann x-mal, und jedesmal wurde der Gaopdxcounter von neuem gefunden.

Daraufhin habe ich Avenger gestartet. Siehe da, er hat einen Rootkit gefunden.

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath:  \systemroot\system32\drivers\gaopdxaeoitkmnkenfbgdndquaftsoqdxltjlk.sys 
Driver disabled successfully.

Rootkit scan completed.


Completed script processing.

*******************

Finished!  Terminate.
Allerdings macht mich stutzig, dass da nur "disabled" statt "deleted" stand. Ich hab vorher auf "automatically disable" bei den gefundenen rootkits geklickt, weil ich dachte, dass die ja sonst fröhlich weiterlaufen. Mhm, das hat mich allerdings verunsichert, wie ich den Rootkit denn sonst noch löschen kann.

Dann noch mal gestartet, und mit etwas Übung dann versucht, Treiber und Dateien zu löschen.

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\A0075392.sys" not found!
Deletion of driver "A0075392.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "gaopdxserv.sys" deleted successfully.

Error:  could not open file "C:\System Volume Information\_restore{49A5E9B2-2D9B-419B-B076-ECC3C59F7336}\RP222\A0075392.sys"
Deletion of file "C:\System Volume Information\_restore{49A5E9B2-2D9B-419B-B076-ECC3C59F7336}\RP222\A0075392.sys" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished!  Terminate.
Damit der Thread nicht noch länger wird, schicke ich es schon mal ab und mache gleich weiter mit meinem Bericht.

 

Themen zu Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3
.com, 0xc0000034, 1.exe, analysis, bluescree, controlset002, dns-server, encrypt, failed, file, infected, logfile, löschen, malwarebytes' anti-malware, neustart, norman, object, problem, programme, realtek, registrierungsschlüssel, registry, registry key, rootkit, rthdcpl.exe, scan, security, security suite, starten, system, system volume information, trick, trojaner, viren, windows, windows xp, windows-update, zwei trojaner


« Taskmanager wird immer wieder deaktiviert | Ständige Werbe-Popups »


Ähnliche Themen: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3


  1. Win32:Rootkit-gen[Rtk] in C:\OEM\Preload\Autorun\APP\Power Management. AVAST
    Plagegeister aller Art und deren Bekämpfung - 17.01.2015 (5)
  2. Trojaner win32/renos.mj
    Plagegeister aller Art und deren Bekämpfung - 30.08.2011 (1)
  3. Trojaner Win32/Renos.Lx und Win32/Renos.Nx + weitere (?)
    Log-Analyse und Auswertung - 09.11.2010 (1)
  4. Autorun blockiert C:\autorun.inf frisches System
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (6)
  5. Ich hab Ihn auch Renos.mq und Renos.lx
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (2)
  6. "autorun.inf ist der Trojaner: TR/Autorun.TE" Meldung beim Anschluss eines USB Sticks
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (19)
  7. renos.jm Trojaner
    Log-Analyse und Auswertung - 28.01.2010 (20)
  8. renos.jm Trojaner entfernen
    Log-Analyse und Auswertung - 27.01.2010 (1)
  9. Trojaner: win32.renos.jm
    Plagegeister aller Art und deren Bekämpfung - 21.12.2009 (6)
  10. Trojaner Renos eingefangen?
    Log-Analyse und Auswertung - 05.12.2009 (13)
  11. Win32/Renos.JM Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.11.2009 (1)
  12. TROJANER Flut! W32/Delf.EKEH, INI/AutoRun.CYI, WSCommCntr1.exe, BAT/Autorun.IZJ
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (3)
  13. WinTrojaner: 32/Renos.N, Win32/Renos.JT, Win32/Renos.JI
    Log-Analyse und Auswertung - 05.10.2009 (11)
  14. Virus/Trojaner gaopdxcounter (Trojan.Agent)
    Plagegeister aller Art und deren Bekämpfung - 30.09.2009 (44)
  15. autorun.inf: Trojan.Autorun-271 FOUND - USB-Stick
    Log-Analyse und Auswertung - 11.03.2009 (1)
  16. Trojaner Renos.8192.2 help
    Plagegeister aller Art und deren Bekämpfung - 18.09.2007 (9)
  17. Trojaner TR/RENOS.12288
    Plagegeister aller Art und deren Bekämpfung - 27.08.2007 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 - Hallo liebe Forumsmitglieder! Ich wende mich an Euch, weil mein Problem vertrackt zu sein scheint und ich etwas den Überblick verloren habe, was ich noch machen muss, um mein System - Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3...
Archiv
Du betrachtest: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131