Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ntoskrnl-hook II

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.06.2009, 12:51   #1
awayu
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



Liebe Community,

hoffe, dass Ihr mir weiterhelfen könnt:

Hatte den Trojaner Ntoskrnl-hook drauf, der von McAffeee erkannt un gelöscht wurde, bei Neustart immer wieder erschien. Habe folgendes gemacht.

1. Rootrepeal heruntergeladen
2. Files in Avenger kopiert
3. Neustart

Fast alles wurde gelöscht, nur folgendes nicht:

C:\WINDOWS\system32\drivers\ gxvxcxumhskdkbiuwqerfvdpulkdxfkjmylyf.sys

Wenn ich dies in Avenger eingebe, startet Windows nach Neustart nicht mehr

Im Gerätemanager ist der Treiber auch nicht bei den ausgeblendeten zu finden.

Wie bekomme ich diesen Eintrag weg? Danke!!!

Alt 06.06.2009, 13:13   #2
Angel21
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



Versuch es mal mit dem hier.

Code:
ATTFilter
Drivers to delete:
gxvxcxumhskdkbiuwqerfvdpulkdxfkjmylyf
         
und füge das in die Avenger Codebox ein.


Ich würde zudem noch Malwarebytes durchlaufen lassen und ein HijackThis Logfile posten.
__________________

__________________

Alt 06.06.2009, 14:25   #3
awayu
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



Zitat:
Zitat von Angel21 Beitrag anzeigen
Versuch es mal mit dem hier.

Code:
ATTFilter
Drivers to delete:
gxvxcxumhskdkbiuwqerfvdpulkdxfkjmylyf
         
und füge das in die Avenger Codebox ein.


Ich würde zudem noch Malwarebytes durchlaufen lassen und ein HijackThis Logfile posten.
Das klappt leider auch nicht:

Mein System startet dann nicht mehr und ich muss zu den "letzten bekannten funktionierenden Einstellungen " zurückkehren.

Der Avenger-Report:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gxvxcxumhskdkbiuwqerfvdpulkdxfkjmylyf" not found!
Deletion of driver "gxvxcxumhskdkbiuwqerfvdpulkdxfkjmylyf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Hijackthis findet folgendes:

O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.179,85.255.112.61
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.179,85.255.112.61


Malwarebytes findet nach dem zweiten Suchlauf nichts mehr
__________________

Geändert von awayu (06.06.2009 um 14:39 Uhr)

Alt 06.06.2009, 14:43   #4
Angel21
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 06.06.2009, 15:18   #5
awayu
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



oweh... an combofix traue ich mich nicht ran... irgendwlche anderen ideen?


Alt 06.06.2009, 15:28   #6
Angel21
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



Da du einen DNSChanger befall hattest mit Rootkits würde ich dir sowieso zum Neu Aufsetzen des Systems raten.
Da deine Passwörter wahrscheinlich gelesen wurden.
Du sollstest unverzüglich kein Online Banking mehr machen, eBay oder Amazon udn die Passwörter von einem 100% sauberen rechner aus ändern.

Hier ist ein Link zum richtigen Neu Aufsetzen des PCs: http://www.trojaner-board.de/51262-a...sicherung.html

Musik, Bilder und Dokumentdatein kannst du Absichern auf eine Externe Festplatte oder anderer ext. Datenträger.
Bevor diese aber auf deinem frischen System gelangen würde ich empfehlen einen AV-Scanner drüberlaufen zu lassen.
Wenn alles okay ist, dann kannst du sie auf deinem PC Zurückspielen.
Bitte beim Anstecken des Datenträgers die SHIFT-Taste (Großschreibtaste) gedrückt halten um den Autostart dessen zu vermeiden.

MfG
__________________
--> Ntoskrnl-hook II

Alt 06.06.2009, 16:08   #7
awayu
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



Danke für die Info!!!!! Habe doch Combofix durchlaufen lassen und nun wird weder von HijackThis noch von RootRepeal etwas erkannt..... werde wohl aber doch um ein Neuaufsetzen des Sytsems nicht herum kommen ( siehe Passwörter ) Vielen Dank für die Hilfe, Angel

Alt 06.06.2009, 16:14   #8
Angel21
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



Bitteschön, sicher ist dort bei sowas sicher.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 07.06.2009, 11:21   #9
awayu
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



... und doch noch etwas: Habe gerade in der Registry gesucht und Folgenden Schlüssel fefunden, der sich nicht löschen lässt:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gxvxcserv.sys

Heisst das, dasss der Trojaner noch da ist? Rootrepeal und Combofiox entecken nichts mehr

Alt 07.06.2009, 11:24   #10
Angel21
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



Ich würde wie gesagt bei solch einer Infektion Neuaufsetzen, wer weiß wie lange Du den Kram schon drauf hattest und was schon alles "erspäht" worden ist.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 07.06.2009, 11:52   #11
awayu
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



mach ich auch... ich frag mich nur, warum ich den Schlüssel nicht wegbekomme bzw. wieso er noch da ist, wenn Rootrepeal keinen Prozess mehr erkennt

Alt 07.06.2009, 11:55   #12
Angel21
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



das wird hinfällig, wenn du neu aufsetzen würdest
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 10.06.2009, 07:34   #13
awayu
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gxvxcserv.sys

Den Schlüssel kann ich weder umbenennen noch löschen. Beim Binärdaten ändern kommt die Meldung: Fehler beim Lesen des Schlüssels.

Hat jemand noch eine Idee, wie ich diesen Reg Eintrag wegbekomme? Danke!

Alt 10.06.2009, 07:46   #14
Angel21
 
Ntoskrnl-hook II - Standard

Ntoskrnl-hook II



Der verschwindet wenn du endlich Neuaufsetzen würdest.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Antwort

Themen zu Ntoskrnl-hook II
avenger, community, eingebe, eintrag, erkannt, files, folge, folgendes, gelöscht, gerätemanager, immer wieder, liebe, neustart, ntoskrnl-hook, starte, startet, system, system32, treiber, troja, trojaner, weiterhelfen, windows



Ähnliche Themen: Ntoskrnl-hook II


  1. Windows 7: ntoskrnl.exe (system langsam)
    Plagegeister aller Art und deren Bekämpfung - 21.11.2014 (3)
  2. Windows 8.1 stürzt ab mit ntoskrnl.exe und athw8x.sys
    Alles rund um Windows - 21.06.2014 (2)
  3. Bluescreen (ntoskrnl.exe) bei Nutzung von DVBT Software!
    Alles rund um Windows - 17.06.2014 (6)
  4. Pc startet ohne Vorwarnung selber neu. ntoskrnl.exe
    Alles rund um Windows - 08.03.2013 (3)
  5. NtMapViewOfSection-Hook
    Log-Analyse und Auswertung - 11.06.2012 (3)
  6. hook.dll in System 32
    Plagegeister aller Art und deren Bekämpfung - 25.10.2011 (18)
  7. NTOSKRNL-HOOK Hilfe
    Plagegeister aller Art und deren Bekämpfung - 20.09.2009 (14)
  8. Ntoskrnl-hook
    Plagegeister aller Art und deren Bekämpfung - 04.06.2009 (32)
  9. ntoskrnl.exe defekt durch 2. Betriebssystems Installation...
    Alles rund um Windows - 26.05.2009 (1)
  10. RootKit Hook Analyzer zeigt Hook an
    Plagegeister aller Art und deren Bekämpfung - 04.02.2009 (3)
  11. Änderungen in C:\WINDOWS\system32\ntoskrnl.exe
    Plagegeister aller Art und deren Bekämpfung - 30.10.2008 (16)
  12. AVG meldet ntoskrnl.exe Brauche Hilfe!
    Log-Analyse und Auswertung - 11.06.2007 (1)
  13. AVG meldet ntoskrnl.exe Brauche Hilfe!
    Log-Analyse und Auswertung - 02.04.2007 (16)
  14. Ntoskrnl.exe - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2007 (2)
  15. PC startet während des Spielens neu. >>Fehler in ntoskrnl.exe<<
    Alles rund um Windows - 10.03.2006 (1)
  16. ntoskrnl.exe
    Alles rund um Windows - 17.05.2005 (5)
  17. Sygate-Firewall blockt ntoskrnl.exe
    Antiviren-, Firewall- und andere Schutzprogramme - 29.10.2003 (16)

Zum Thema Ntoskrnl-hook II - Liebe Community, hoffe, dass Ihr mir weiterhelfen könnt: Hatte den Trojaner Ntoskrnl-hook drauf, der von McAffeee erkannt un gelöscht wurde, bei Neustart immer wieder erschien. Habe folgendes gemacht. 1. Rootrepeal - Ntoskrnl-hook II...
Archiv
Du betrachtest: Ntoskrnl-hook II auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.