Trojaner bzw. DNS Changer/Rootkit

Omnipräsent · 20.03.2009, 13:58

Hallo zusammen,

ich habe ein kleines großes Problem, ich habe mir heute versehentlich einen Virus eingefangen und weiss nichts damit anzufangen, denn er lässt sich nicht so einfach löschen bzw. verursacht massive Probleme die ich bis jetzt nur teilweise beheben konnte. Ich habe mich etwas durch das Forum gelesen, jedoch sind da soviele Themen die sich mit Rootkits und DNS-Changer befassen, dass ich leider keine Ahnung habe wo ich anfangen soll bzw. was das überhaubt für ein Virus ist.

Meine Situation sieht folgendermaßen aus:

wenn ich auf mein Arbeitsplatz gehe und eine der beiden HDDs auswähle, bekomme ich die folgende Fehlermeldung

außerdem startet sich dann die msiexec.exe im Taskmanager und folgendes passiert -> DNS Server change

Ich kann zwar durch Adressleisteneingabe "c:\" auf die Platte zugreifen, ist jedoch auf Dauer umständlich und so ganz trau ich dem Braten nicht.

Im Recycler Ordner befindet sich außerdem folgendes.

Die 2 .exen habe ich mal gescannt und rausgekommen ist folgendes
Virustotal.com Scanergebnis

Code:

ATTFilter

TR/TDss.twf
Win32/Cryptor
Win32.Backdoor.Poison.gen!A.3
Trojan.Win32.TDSS.twf
Generic!Artemis
Trojan.TDss.twf
High Risk Cloaked Malwarr

Desweiteren diese Config Datei auf der C: Platte -> autorun.cfg

Zitat:

[autorun]
;immvmecddskkuuj
shellexecute="RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com c:\"
;dxpnmvmzexa
shell\Open\command="RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com c:\"
;kxsuigpbpqabsgwmzgeekswgyopicqfjwulloxscvqzhnnodjtkiyeurlzqqkkqbowenyhhc
shell=Open

Nun zu den Logfiles

HijackThis Scan

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:39, on 20.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\Tralala.exe
C:\WINDOWS\System32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 85.25.7.93 gwgt1.joymax.com
O1 - Hosts: 85.25.7.93 gwgt2.joymax.com
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235589560437
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 4621 bytes

GMER Logfile

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-20 13:49:43
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT F7AAA026 ZwCreateKey
SSDT F7AAA01C ZwCreateThread
SSDT F7AAA02B ZwDeleteKey
SSDT F7AAA035 ZwDeleteValueKey
SSDT F7AAA03A ZwLoadKey
SSDT F7AAA008 ZwOpenProcess
SSDT F7AAA00D ZwOpenThread
SSDT F7AAA044 ZwReplaceKey
SSDT F7AAA03F ZwRestoreKey
SSDT F7AAA030 ZwSetValueKey
SSDT F7AAA017 ZwTerminateProcess

Code 888F0F38 ZwEnumerateKey
Code 88895C58 ZwFlushInstructionCache
Code 88891CC6 IofCallDriver
Code 888A361E IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 88891CCB
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 888A3623
PAGE ntoskrnl.exe!ZwEnumerateKey 80570D64 5 Bytes JMP 888F0F3C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80577693 5 Bytes JMP 88895C5C

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\gaopdxserv.sys (*** hidden *** ) B5A22000-B5A38000 (90112 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxxtehexywevirkpmadwyregxvdkokbsdw.dll

---- EOF - GMER 1.0.14 ----

Anmerkung zu GMER; Diese Einträge waren rot unterlegt.
Module \systemroot\system32\drivers\gaopdxserv.sys (*** hidden *** ) B5A22000-B5A38000 (90112 bytes)
Service C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

PS: Ich bin kein Profi und hoffe deshalb, dass mir jemand dabei helfen kann ohne, dass ich mein PC neu aufsetzen muss. Über jegliche Hilfe und Tipps wäre ich sehr dankbar.

Gruß Omni~

Angel21 · 20.03.2009, 14:37

Zitat:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150

Wie schon von dir selbst erwähnt, DNSchanger.

Kein OnlineBanking, eBay und Amazon etc. pp. durchführen bitte, Kenn- und Passwörter von einem SAUBEREN Rechner ändern und bei Auffälligkeiten die Bank informieren und das Konto sperren lassen.

Lasse mal bitte Malwarebytes durchlaufen und deaktiviere deine Systemwiederherstellung, ist in dem fall eh unsinnig, da du dir den ganzen Mist eh sonst wieder holst.

Zitat:

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@imagepath \systemroot\system32\drivers\gaopdxjcbfametmewbyri lolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxj cbfametmewbyrilolessivyuwjrrpil.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxxtehexywe virkpmadwyregxvdkokbsdw.dll

Das sind alles schadhafte Einträge in der Registry.
Das GaoTeil mal wieder. Nerviges Teil.

Ich versuche derweil jemanden mit Combofix zu finden.

EDIT:

Zitat:

O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

Kommt mir en bißchen komisch vor der O24 Eintrag, sollten wir dann auch mal überprüfen, was es hiermit so auf sich hat, wenn jemand hier ist mit Combofix.

Chris4You · 20.03.2009, 15:03

Hi,

wir lassen erst einmal Avenger los (wenn das nicht geht, kommt die große Kanone combofix):

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Drivers to delete:
gaopdxserv.sys

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
C:\WINDOWS\system32\gaopdxxtehexywevirkpmadwyregxvdkokbsdw.dll
C:\WINDOWS\system32\gaopdxcounter
C:\WINDOWS\system32\drivers\gaopdxserv.sys
C:\RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach bitte sofort mit MAM loslegen (eigentlich müsste auch AVIRA sofort anspringen)..

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Alle Logs posten und prüfe vor der Orgie, dass auf jeden Fall die Umleitung über die Ukraine weg ist (s. Angel's post!)

chris

Omnipräsent · 20.03.2009, 15:07

Das Teil versucht derweil ständig die Firewall auszuschalten.

Mit Malwarebytes kann ich leider nicht behilflich sein, denn es startet leider erst garnicht. Es kommt kurz die Sanduhr und nach einer Sekunde ist sie auch schon wieder weg und es passiert garnichts.

Gibt es eine möglichkeit diese Reg Einträge zu entfernen ? Mit regedit bzw. dem Regeditor von GMER konnte ich diese Einträge leider nicht finden. Sind wohl gut versteckt.

Gibt es noch eine alternative zu Malwarebytes oder evtl. einen Tipp wie ich das Programm zum laufen bringe. Habe auch schon Abgesichtert gebootet und trotzdem kein Erfolg. Habe Win XP Pro SP3.

Angel21 · 20.03.2009, 15:10

Ja es gibt eine Alternative zu MBAM und zwar Superantispyware ....
Bitte Full Scan und Log hier rein. und die Schritte von Chris4You ausführen.

Chris4You · 20.03.2009, 15:14

Hi,

zuerst bitte mit Avenger den Rootkit ausschalten, alles andere (ausser Combofix) wird wohl nicht gehen, in dem Fall bereits im Downloaddialog mam umbenennen auf test.com, das gleiche mit avenger...

Solange der Rootkit läuft wirst Du nichts (auch nicht aus der Registry entfernen können, der merkt das und nimmt die Änderungen zurück (falls er den Versuch der Änderung überhaupt erlaubt))...

Ev. im abgesicherten Modus probieren...

chris

Omnipräsent · 20.03.2009, 16:18

Jetzt muss ich grad etwas über mich selbst lachen... "Datei umbennen"

Also wenns test.exe heißt gehts aufeinmal.

Die Umleitung habe ich selbsverständlich gleich rausgemacht nachdem ich auf die HDDs nicht zugreifen konnte, sofot internetverbindung gecheckt und rausgemacht und prüfe dies auch alle 2 min. ob sich da was ändert. Bis jetzt stehts glücklicherweise auf "automatisch" und so solls auch bleiben.

Ok dann lege ich mal los,

Avenger Report

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys" deleted successfully.

Error: registry key "HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\gaopdxjcbfametmewbyrilolessivyuwjrrpil.sys" deleted successfully.
File "C:\WINDOWS\system32\gaopdxxtehexywevirkpmadwyregxvdkokbsdw.dll" deleted successfully.
File "C:\WINDOWS\system32\gaopdxcounter" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\gaopdxserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\gaopdxserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

SUPERAntispyware Report

Zitat:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/20/2009 at 03:27 PM

Application Version : 4.25.1014

Core Rules Database Version : 3806
Trace Rules Database Version: 1761

Scan type : Quick Scan
Total Scan Time : 00:06:57

Memory items scanned : 391
Memory threats detected : 0
Registry items scanned : 323
Registry threats detected : 2
File items scanned : 4672
File threats detected : 20

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.usenext[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.nexon[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@media.warrock[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adserver.71i[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.71i[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@microsoftwga.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atwola[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adtech[1].txt

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

Rootkit.Agent/Gen-GAOPDX
C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXTODPPXMASUVJLQROUIPOEDKARCTDXEGE.SYS

Malwarebytes Antimalware Report

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

20.03.2009 16:17:31
mbam-log-2009-03-20 (16-17-29).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 65789
Laufzeit: 4 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126,85.255.112.150 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126,85.255.112.150 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.126,85.255.112.150 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Chris4You · 20.03.2009, 16:25

Hi,

das hier ist neu:

Code:

ATTFilter

Rootkit.Agent/Gen-GAOPDX
C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXTODPPXMASUVJLQROUIPOEDKARCTDXEGE.SYS

War jedenfalls nicht bei GMER oder ich habs übersehen, daher bitte noch mal GMER laufen lassen und Logs posten, zusätzlich:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-a...tellungen.html
Fullscan und alles bereinigen lassen.

Dr. Web ist in solchen Fällen auch zu empfehlen:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

Logs bitte posten...
Was treibt der Rechner so?

chris
Ps.: Wir haben noch das "C:\RECYCLER\S-7-9-81-100005882-100031628-100026634-4121.com"-Problem,
oder? -> Autorun-Vrius und Autorun disablen!

Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder
http://www.trojaner-board.de/72847-f...absichern.html
Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Trojaner bzw. DNS Changer/Rootkit

Plagegeister aller Art und deren Bekämpfung: Trojaner bzw. DNS Changer/Rootkit