Trojaner-Board - Trojan.DNSChanger befall

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan.DNSChanger befall (https://www.trojaner-board.de/71593-trojan-dnschanger-befall.html)

Trojan.DNSChanger befall

HAllo,
ich habe das selbe problem wie

"Icon21 Virus-->Firefox fehlerhaft"
sobald ich eine seite öffnen will kommt ZB emule ,... irgendwas die richtung

da aber immer ein neuer lösungsweg gefragt ist möchte ich euch bitten mir bei der lösung zu helfen.
Ich habe also:

hijack log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:17:27, on 31.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Microsoft ActiveSync\wcescomm.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\WINDOWS\explorer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{403228A1-7D5A-4DE2-AFF1-8AE6B23F633A}: NameServer = 85.255.114.108,85.255.112.143

O17 - HKLM\System\CCS\Services\Tcpip\..\{6503BCB9-5CC1-4291-9AA3-79CC94C0035E}: NameServer = 85.255.115.91,85.255.112.6

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6

O17 - HKLM\System\CS1\Services\Tcpip\..\{403228A1-7D5A-4DE2-AFF1-8AE6B23F633A}: NameServer = 85.255.114.108,85.255.112.143

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6

O17 - HKLM\System\CS2\Services\Tcpip\..\{403228A1-7D5A-4DE2-AFF1-8AE6B23F633A}: NameServer = 85.255.114.108,85.255.112.143

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
 

--

End of file - 5157 bytes

CCleaner laufen lassen und zwar sehr oft!
Konnte dabei die volgende fehlermeldung nicht reparieren lassen.

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

danach habe ich Avenger laufen lassen ohne ergebnis.
Malewarebytes hat dann dieses ergebniss gebracht:

Code:

Malwarebytes' Anti-Malware 1.35

Datenbank Version: 1904

Windows 5.1.2600 Service Pack 2
 

31.03.2009 20:33:06

mbam-log-2009-03-31 (20-33-01).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|)

Durchsuchte Objekte: 91562

Laufzeit: 18 minute(s), 42 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 9

Infizierte Verzeichnisse: 1

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{403228a1-7d5a-4de2-aff1-8ae6b23f633a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.108,85.255.112.143 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6503bcb9-5cc1-4291-9aa3-79cc94c0035e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{403228a1-7d5a-4de2-aff1-8ae6b23f633a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.108,85.255.112.143 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6503bcb9-5cc1-4291-9aa3-79cc94c0035e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{403228a1-7d5a-4de2-aff1-8ae6b23f633a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.108,85.255.112.143 -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{6503bcb9-5cc1-4291-9aa3-79cc94c0035e}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.91,85.255.112.6 -> No action taken.
 

Infizierte Verzeichnisse:

C:\resycled (Trojan.DNSChanger) -> No action taken.
 

Infizierte Dateien:

C:\System Volume Information\_restore{B6EC4F66-25C4-4BDB-B1E6-14F4E2B41983}\RP94\A0013395.exe (Adware.Cinmus) -> No action taken.

C:\autorun.inf (Trojan.DNSChanger) -> No action taken.

C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.

danach habe ich GMER ausgeführt mit dem ergebniss das eine zeile rot
war und ich aber nichts weiter machen konnte.

Irgendwie muß ich diesen recycled/boot entfernen.

Bitte gebt mir hilfestellung.

Arbeite mit Win XP pro SP 2

So,

du hast Recht, du hast einen DNS Changer. Lass gmer noch mal laufen, beantworte alle Fragen die auftauchen könnnten mit nein und poste dann das Ergebnis des Scans hier.....

Du willst bestimmt einen komplett scan?

Ansonsten gibts nur das hier:

Code:

GMER 1.0.15.14966 - http://www.gmer.net

Rootkit scan 2009-03-31 22:09:51

Windows 5.1.2600 Service Pack 2
 
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Tcpip \Device\Tcp                              Lbd.sys (Boot Driver/Lavasoft AB)
 

---- Services - GMER 1.0.15 ----
 

Service         system32\drivers\gaopdxulkltkos.sys (*** hidden *** )  [SYSTEM] gaopdxserv.sys             <-- ROOTKIT !!!
 

---- EOF - GMER 1.0.15 ----

Sooo, der komplette scan :

Code:

GMER 1.0.15.14966 - http://www.gmer.net

Rootkit scan 2009-03-31 22:25:45

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7F2CCD6                                                                              ZwCreateKey

SSDT            F7F2CCCC                                                                              ZwCreateThread

SSDT            F7F2CCDB                                                                              ZwDeleteKey

SSDT            F7F2CCE5                                                                              ZwDeleteValueKey

SSDT            F7F2CCEA                                                                              ZwLoadKey

SSDT            F7F2CCB8                                                                              ZwOpenProcess

SSDT            F7F2CCBD                                                                              ZwOpenThread

SSDT            F7F2CCF4                                                                              ZwReplaceKey

SSDT            F7F2CCEF                                                                              ZwRestoreKey

SSDT            F7F2CCE0                                                                              ZwSetValueKey

SSDT            F7F2CCC7                                                                              ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

?               qdmnn.sys                                                                             Das System kann die angegebene Datei nicht finden. !
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                             Lbd.sys (Boot Driver/Lavasoft AB)
 

---- Services - GMER 1.0.15 ----
 

Service         system32\drivers\gaopdxulkltkos.sys (*** hidden *** )                                 [SYSTEM] gaopdxserv.sys                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                           1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                            1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                       \systemroot\system32\drivers\gaopdxulkltkos.sys

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                           file system

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                         

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv              \\?\globalroot\systemroot\system32\drivers\gaopdxulkltkos.sys

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                 \\?\globalroot\systemroot\system32\gaopdxvkswqhbr.dll

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start                               1

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type                                1

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath                           \systemroot\system32\drivers\gaopdxulkltkos.sys

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group                               file system

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules                             

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv                  \\?\globalroot\systemroot\system32\drivers\gaopdxulkltkos.sys

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl                     \\?\globalroot\systemroot\system32\gaopdxvkswqhbr.dll

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                 

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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
 

---- EOF - GMER 1.0.15 ----

Gut so, wie ich sehe bist du grad online. Ich bastle mal eben ein Script, bitte rufe schon mal den Avenger auf, näheres kommt gleich....

Na bitte, da haben wir ja was wir brauchen. Offensichtlich hast du schon länger Ärger mit diesem Teil

Öffne jetzt das Programm Avenger.

Du siehst jetzt ein weißen Scriptfeld.
http://www.Redwulf.de/AV.jpg

Kopiere jetzt den Inhalt der Codebox mit Strg +C

Code:

Drivers to delete:

gaopdxserv.sys
 

Files to delete:

C:\WINDOWS\system32\drivers\gaopdxulkltkos.sys

C:\WINDOWS\system32\gaopdxvkswqhbr.dll

C:\WINDOWS\system32\gaopdxcounter
 

Registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys

HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys

und füge das ganze mit Strg + V in dieses Scriptfeld ein.
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst.

Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken..es sieht wirkllich wild aus. Lass dem Avenger Zeit zu arbeiten, auch wenn du meinst er hätte sich aufgehängt. Unternehme keinen Neustartversuch aus eigenem Antrieb.

Nach Abschluß dieser Sache bekommst du, nachdem Windows wieder gebootet hat, ein Logfile angezeigt. Poste es bitte hier.

Zu diesem Zeitpunkt ist auch möglich, dass sich Avira mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne. Anschließend sorge dafür das Avira geupdated wird.

Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier.

Weiter geht es dann wieder mit MalwareBytes. ( UPDATE nicht vergessen ) Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier.

Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log.

Dann gehts ans Aufräumen....insbesondere dem installieren des SP 3.

Bis später:daumenhoc

guten abend,
vielen dank ich verlasse mich da auf dich!!

Hier das Logfile:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Driver "gaopdxserv.sys" deleted successfully.
 

Error:  file "C:\WINDOWS\system32\drivers\gaopdxulkltkos.sys" not found!

Deletion of file "C:\WINDOWS\system32\drivers\gaopdxulkltkos.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\gaopdxvkswqhbr.dll" not found!

Deletion of file "C:\WINDOWS\system32\gaopdxvkswqhbr.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\gaopdxcounter" not found!

Deletion of file "C:\WINDOWS\system32\gaopdxcounter" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" not found!

Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

Registry key "HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

bitte weiteren schritt kurz erleutern

mit dem anderen bekomme ich :
Null Null

Summary 00

was nun?

Gibts doch nicht... Mach bitte nochmal den Gmer Scan. hast du zwischen dem Scan gestern und dem heutigen Post irgendwas gemacht?

logfile von :

Code:

Malwarebytes' Anti-Malware 1.35

Datenbank Version: 1930

Windows 5.1.2600 Service Pack 2
 

01.04.2009 23:36:43

mbam-log-2009-04-01 (23-36-43).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|)

Durchsuchte Objekte: 92823

Laufzeit: 23 minute(s), 27 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\System Volume Information\_restore{B6EC4F66-25C4-4BDB-B1E6-14F4E2B41983}\RP95\A0013459.exe (Adware.Cinmus) -> Quarantined and deleted successfully.

mache jetz gmar

Entschuldige bitte.
NEin ich habe nichts gemacht.
HAbe antivir laufen lassen sonst nur aus und heute wieder eingeschalten.

hier der gmer log:

Code:

GMER 1.0.15.14966 - hxxp://www.gmer.net

Rootkit scan 2009-04-01 23:55:34

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7F07FC6                                                                              ZwCreateKey

SSDT            F7F07FBC                                                                              ZwCreateThread

SSDT            F7F07FCB                                                                              ZwDeleteKey

SSDT            F7F07FD5                                                                              ZwDeleteValueKey

SSDT            F7F07FDA                                                                              ZwLoadKey

SSDT            F7F07FA8                                                                              ZwOpenProcess

SSDT            F7F07FAD                                                                              ZwOpenThread

SSDT            F7F07FE4                                                                              ZwReplaceKey

SSDT            F7F07FDF                                                                              ZwRestoreKey

SSDT            F7F07FD0                                                                              ZwSetValueKey

SSDT            F7F07FB7                                                                              ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

?               vcmvxl.sys                                                                            Das System kann die angegebene Datei nicht finden. !
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                             Lbd.sys (Boot Driver/Lavasoft AB)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                 

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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
 

---- EOF - GMER 1.0.15 ----

OK!!:daumenhoc

Wir haben den rootkit erwischt.... der ist definitiv wech...
Deinem PC müsste es jetzt besser gehen.

Versuche jetzt nochmal einen Scan mit Blacklight....sicher ist sicher...

Versuche die Updates von MalwareBytes und lass es komplett durchlaufen. Poste das Ergebnis bitte hier. Sieht aus als ob wir Nachtschicht machen :)

vielen dank das mache ich noch.
Kannst du mir auch helfen wenn es um den fehler

C:\recycled/boot.com ist keine zulässige Win32-Anwendung

das bekomme ich seit neuestem beim öffnen von meinen anderen festplatten.
über explorer funktioniert es.
Habe gelesen es reicht wenn ich unter reg edit die hotkeay mit resycle.... lösche