globalroot/systemroot/system32/gasvkyviextpqs.dll

Laura_Keiko · 02.10.2009, 19:30

hallo erstmal!
ich bin neu im forum und hab gleich eine große bitte!

immer beim systemstart (gleich mehrmals) und immer wenn ich eine datei öffne kommt der fehler
"globalroot/systemroot/system32/gasvkyviextpqs.dll ist entweder nicht für die Ausführung unter Windows vorgesehen oder enthält einen Fehler. Installieren Sie das Programm mit den Originalinstallationsmedien erneut, oder wenden Sie sich an den Systemadministrator oder Softwarelieferanten, um Unterstützung zu erhalten."
ich hab schon im forum gesucht und hab gelesen, dass es sich dabei um einen rootkit trojaner oder so handeln könnte, aber nachdem mich die ganzen verschiedenen logs ein bisschen durcheinander gebracht haben und das problem doch anscheinend bei jedem anders zu behandeln ist hab ich mir gedacht ich öffne einen neuen thread. hoffe das ist ok!

ich hab mcAfee schonmal scannen lassen, und er hat einen virus gefunden, mit dem namen "W32/Autorun.worm.aae" und hat ihn entfernt... ich lass ihn grad nochmal laufen um zu schaun ob der jetzt auch wirklich weg ist. aber auf jeden fall besteht der oben beschriebene fehler weiterhin.
mein betriebssystem ist windows vista.
was soll ich tun?

danke schon mal!!

Angel21 · 02.10.2009, 19:54

Hallo, bitte lass mal GMER laufen und kopiere das erstellte Logfile bitte hier herein.

Danach bitte noch mit Malwarebytes durchlaufen lassen, falls die Malwarebytes Exe Datei nicht starten sollte dann lösche die Alte und hole dir eine neue mit Rechtsklick -> Ziel speichern unter...-> iexplore.exe umbenennen und auf dem Desktop sichern.

Info, du hasts mit einem Rootkit zu tun, was dies ist: Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem installiert werden, um Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden – generell gesagt: sich unsichtbar zu machen. Sie versuchen bereits installierte Spionageprogramme zu aktualisieren und gelöschte Spyware erneut zu installieren. (Quelle Avira)

Du kannst wählen zwischen Neuaufsetzen oder der obigen Bereinigung.
Bei beiden Verfahren bitte kein Online-Banking, eBay, Amazon mehr betreibern udn kein E-Mailen.
Gefahr: Passwörter werden udn wurden ausgespäht!!

Laura_Keiko · 02.10.2009, 23:47

oh gott...
ich hab grad meine persönlich hölle durchlebt.
der computer der von dem rootkit betroffen war war mein laptop... und auf einmal hat auch mein pc damit angefangen. aber bei dem muss das ganze schon den ganzen tag irgendwie im hintergrund abgelaufen sein (er war ja auch den ganzen tag mit den internet verbunden...) denn auf einmal ist auch da der fehler gekommen und als nächstes ein blauer bildschirm mit irgendwas wie "an error was detected. windows is shutting down for prevent further damage" oder so... danach konnte ich den pc nicht mehr starten, ist immer gleich wieder abgestürzt. letzten endes gings dann doch aber kein programm konnte mehr ausgeführt und keine einzige datei mehr geöffnet werden. bei jedem mausklick ist der internet explorer abgestürzt. der pc war ganz neu, hab noch kein backup von meinen ganzen fotos und so erstellt, hab mir gedacht, dass mach ich dann nächste woche... hab ja noch zeit...

naja, wieder was gelernt.
auf jeden fall ist mir ja gar nichts anderes übrig geblieben als den computer zu formatieren.
wozu mir grad einfällt, weiß irgendwer von euch ob es ein gutes programm gibt um meine fotos trotz formatierung wiederherzustellen?

und zu meinem laptop, der ja auch betroffen ist... der ist schließlich auch abgestürzt und ich hab ihn dann auch nicht mehr neustarten können. windows hat mir netterweise vorgeschlagen ich soll doch den systemstand von einem früheren zeitpunkt wiederherstellen, dass hat dann 2mal nicht funktioniert beim 3. mal anscheinend schon. auf jeden fall kommt der fehler jetzt nicht mehr und mcAfee findet auch nix. gibt es denn eine sichere möglichkeit um zu überprüfen oder ich diesen rootkit

jetzt endlich los bin??

vielen dank für eure hilfe!!

Angel21 · 03.10.2009, 10:37

Lass mal auf den Lappi bitte GMER durchlaufen, so wissen wir, ob du noch was drauf hast und erstelle bitte nochmal ein RSIT Log.

Zu dem Fotowiederherstellungsprogramm, da müsste ich mich mal erkundigen.

Laura_Keiko · 03.10.2009, 15:39

GMER: http://www.file-upload.net/download-1923800/GMER-1.doc.html

RSIT log + info sind im Anhang

Angel21 · 03.10.2009, 16:20

Hallo,

schlechte Neuigkeit, der Rootkit besteht immer noch im System.

Führe erstmal Malwarebytes aus, weitere Anweisungen folgen.

Laura_Keiko · 03.10.2009, 17:14

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2899
Windows 6.0.6001 Service Pack 1

04.10.2009 18:13:29
mbam-log-2009-10-04 (18-13-29).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 198094
Laufzeit: 45 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gasfkyaficrupx (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gasfkybrrxvbnk (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Laura\AppData\Local\Temp\gasfkypvbnopqiei.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

Angel21 · 03.10.2009, 17:27

Bitte mache weiter mit SUPERAntiSpyware und kopiere auch diesen Log hier her.

Angel21 · 03.10.2009, 17:52

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to disable:
gasfkyaficrupx 
gasfkybrrxvbnk 

Drivers to delete: 
gasfkyaficrupx 
gasfkybrrxvbnk 

Files to delete: 
C:\Windows\system32\drivers\gasfkydrvxwpij.sys 
C:\Windows\system32\drivers\gasfkydiwkmvcv.sys

Registry keys to delete: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkyaficrupx 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkybrrxvbnk

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Laura_Keiko · 03.10.2009, 18:55

so hier ist mal das eine...

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/04/2009 at 07:42 PM

Application Version : 4.29.1002

Core Rules Database Version : 4102
Trace Rules Database Version: 2075

Scan type : Complete Scan
Total Scan Time : 01:01:06

Memory items scanned : 704
Memory threats detected : 0
Registry items scanned : 6082
Registry threats detected : 0
File items scanned : 100816
File threats detected : 1

Adware.Tracking Cookie
C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\laura@sims2[1].txt

und an das nächste mach ich mich auch gleich

Angel21 · 03.10.2009, 18:57

Okeh

Dann auf in den Kampf

Laura_Keiko · 03.10.2009, 19:05

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open driver "gasfkyaficrupx"
Disablement of driver "gasfkyaficrupx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not open driver "gasfkybrrxvbnk"
Disablement of driver "gasfkybrrxvbnk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gasfkyaficrupx" not found!
Deletion of driver "gasfkyaficrupx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gasfkybrrxvbnk" not found!
Deletion of driver "gasfkybrrxvbnk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\drivers\gasfkydrvxwpij.sys" not found!
Deletion of file "C:\Windows\system32\drivers\gasfkydrvxwpij.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\drivers\gasfkydiwkmvcv.sys" not found!
Deletion of file "C:\Windows\system32\drivers\gasfkydiwkmvcv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkyaficrupx" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkyaficrupx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkybrrxvbnk" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkybrrxvbnk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Angel21 · 03.10.2009, 19:10

Bitte lösche das alte GMER und hole dir eine neue Version von GMER und lass es laufen ...... danach bitte das Logfile hier rein kopieren, da es über Open Office schwer zu lesen ist

Laura_Keiko · 03.10.2009, 19:57

datei ist zu lang zum reinkopieren und auch zu groß um sie anzuhängen. also ist hier wieder der link: http://www.file-upload.net/download-1924222/Neues-Textdokument--2-.txt.html
ist aber diesmal ein .txt file.

Angel21 · 03.10.2009, 20:08

EDIT: es geht doch. Zwar ist kein Rootkit mehr zu sehen im neuen GMER Log aber möchte noch paar Online Scans etc. loslassen um auch komplett sicher zu gehen.

1.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

globalroot/systemroot/system32/gasvkyviextpqs.dll

Plagegeister aller Art und deren Bekämpfung: globalroot/systemroot/system32/gasvkyviextpqs.dll