Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
globalroot/systemroot/system32/gasvkyviextpqs.dll

globalroot/systemroot/system32/gasvkyviextpqs.dll


Plagegeister aller Art und deren Bekämpfung: globalroot/systemroot/system32/gasvkyviextpqs.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.10.2009, 19:57   #1
Laura_Keiko
 
globalroot/systemroot/system32/gasvkyviextpqs.dll - Standard

globalroot/systemroot/system32/gasvkyviextpqs.dll


datei ist zu lang zum reinkopieren und auch zu groß um sie anzuhängen. also ist hier wieder der link: http://www.file-upload.net/download-1924222/Neues-Textdokument--2-.txt.html
ist aber diesmal ein .txt file.

Alt 03.10.2009, 20:08   #2
Angel21
 
globalroot/systemroot/system32/gasvkyviextpqs.dll - Standard

globalroot/systemroot/system32/gasvkyviextpqs.dll


EDIT: es geht doch. Zwar ist kein Rootkit mehr zu sehen im neuen GMER Log aber möchte noch paar Online Scans etc. loslassen um auch komplett sicher zu gehen.

1.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

3.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
__________________

__________________
Geändert von Angel21 (03.10.2009 um 20:16 Uhr)

Alt 04.10.2009, 00:15   #3
Angel21
 
globalroot/systemroot/system32/gasvkyviextpqs.dll - Standard

globalroot/systemroot/system32/gasvkyviextpqs.dll


Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services
    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

Rootkitsuche mit SysProt
  • Lade dir SysProt auf den Desktop und starte das Tool
  • Gehe dort auf den Reiter "Log"
  • Setze nun einen Haken bei:
    • Kernel Modules
    • Kernel Hooks
    • Hidden Files
    • Und unten bei "Hidden Objects Only"
  • Drücke nun auf "Create Log"
  • Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
  • Wenn der Scan abgeschlossen ist, beende SysProt.
  • Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.
__________________
__________________
Alt 05.10.2009, 19:11   #4
Laura_Keiko
 
globalroot/systemroot/system32/gasvkyviextpqs.dll - Standard

globalroot/systemroot/system32/gasvkyviextpqs.dll


also der kaspersky online scanner hat irgendwie nicht richtig funktioniert... am ende hat er mir eine liste von files gezeigt und bei alle stand daneben: objekt ist gesperrt - übersprungen... und das protokoll hat sich nicht speichern lassen... ich habs 2mal versucht.

prevx hat nichts gefunden.

export von panda active scan:

;*********************************************************
ANALYSIS: 2009-10-06 20:08:49
PROTECTIONS: 1
MALWARE: 12
SUSPECTS: 1
;*********************************************************
PROTECTIONS
Description Version Active Updated
;=========================================================
McAfee VirusScan Yes Yes
;=========================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;=========================================================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@tradedoubler[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@mediaplex[1].txt
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@statcounter[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@ad.yieldmanager[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@apmebf[1].txt
00168076 Cookie/BurstNet TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@burstnet[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@bs.serving-sys[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@adtech[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@advertising[2].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@questionmarket[1].txt
;=========================================================
SUSPECTS
Sent Location
;=========================================================
No C:\Windows\Screensavers\Acer\VistaGetS3S4Reg.exe
;=========================================================
VULNERABILITIES
Id Severity Description
;=========================================================
;=========================================================

Alt 05.10.2009, 19:13   #5
Angel21
 
globalroot/systemroot/system32/gasvkyviextpqs.dll - Standard

globalroot/systemroot/system32/gasvkyviextpqs.dll


Mach weiter unten mit der Anleitung der Rootkitscanner.

Panda fand nur Tracking Cookies, die kannste löschen. Die sind nicht schlimm.

__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 05.10.2009, 19:28   #6
Laura_Keiko
 
globalroot/systemroot/system32/gasvkyviextpqs.dll - Standard

globalroot/systemroot/system32/gasvkyviextpqs.dll


der report von rootrepeal

Alt 05.10.2009, 19:36   #7
Laura_Keiko
 
globalroot/systemroot/system32/gasvkyviextpqs.dll - Standard

globalroot/systemroot/system32/gasvkyviextpqs.dll


und sysprot

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_iaStor.sys
Service Name: ---
Module Base: 8D000000
Module End: 8D0DB000
Hidden: Yes

******************************************************************************************
******************************************************************************************
Kernel Hooks:
Hooked Function: ZwCreateUserProcess
At Address: 81FCBDCA
Jump To: 807BC4C6
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwYieldExecution
At Address: 81E2A18C
Jump To: 807BC52C
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwUnmapViewOfSection
At Address: 82027D75
Jump To: 807BC556
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwTerminateProcess
At Address: 81FE5F80
Jump To: 807BC56F
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwSetInformationProcess
At Address: 82037644
Jump To: 807BC4DA
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwSetContextThread
At Address: 82097C7B
Jump To: 807BC4EE
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwRestoreKey
At Address: 82058402
Jump To: 807BC597
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwReplaceKey
At Address: 8205944E
Jump To: 807BC5AB
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwProtectVirtualMemory
At Address: 8203989E
Jump To: 807BC516
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwOpenThread
At Address: 820051CA
Jump To: 807BC488
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwOpenProcess
At Address: 82014B06
Jump To: 807BC474
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwNotifyChangeKey
At Address: 81FC417C
Jump To: 807BC583
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwMapViewOfSection
At Address: 8202771E
Jump To: 807BC540
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwCreateProcessEx
At Address: 820971BC
Jump To: 807BC4B0
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwCreateProcess
At Address: 82097171
Jump To: 807BC49C
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: ZwCreateFile
At Address: 82029F86
Jump To: 807BC502
Module Name: C:\Windows\system32\drivers\mfehidk.sys

Hooked Function: PsSetContextThread
At Address: 82097C7B
Jump To: 807BC4EE
Module Name: C:\Windows\system32\drivers\mfehidk.sys

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\SPP
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\Windows Backup
Status: Access denied

Object: C:\System Volume Information\{040576dc-b101-11de-ad87-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{44592e9e-aae7-11de-9954-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{479ad370-addd-11de-ac1f-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{4de461db-b0ed-11de-ae59-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{70a2f152-aa25-11de-bda7-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{70a2f199-aa25-11de-bda7-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{70a2f3c6-aa25-11de-bda7-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{86e9939f-af4b-11de-8ad3-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{a70a0315-ab97-11de-91f9-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{b016c9b3-b002-11de-98cb-001e331d8fea}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
Status: Access denied

Alt 05.10.2009, 20:50   #8
Angel21
 
globalroot/systemroot/system32/gasvkyviextpqs.dll - Standard

globalroot/systemroot/system32/gasvkyviextpqs.dll


Hallo Laura


Der Rootkit scheint weg zu sein, ich würde dich gerne nochmal deinen normalen AVP Scanner, den du auf deinem PC hast durchlaufen lassen + Report
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Antwort

Themen zu globalroot/systemroot/system32/gasvkyviextpqs.dll
ausführung, betriebssystem, datei, durcheinander, erhalte, erneut, fehler, forum, gesucht, mcafee, namen, neu, neue, neuen, problem, programm, rootkit, scan, scannen, systemadministrator, systemstart, trojaner, verschiedene, virus, virus gefunden, windows, wirklich


« Deeinstallations Problem | Antivir Update nicht möglich »


Ähnliche Themen: globalroot/systemroot/system32/gasvkyviextpqs.dll


  1. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  2. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  3. SystemRoot - file missing
    Log-Analyse und Auswertung - 05.10.2011 (3)
  4. Auswertung Logfile - Komische Einträge mit systemroot
    Log-Analyse und Auswertung - 22.06.2011 (1)
  5. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  6. Bei Start blauer Bildschirm für 5 sek. .../Systemroot/.../Autochk.exe
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (11)
  7. Trojan.Generic.2913791 in <System>=>globalroot\systemroot\system32\H8SRTumybfdopyx.dl
    Plagegeister aller Art und deren Bekämpfung - 07.01.2010 (1)
  8. Conficer-A in Globalroot ? ? ?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2009 (23)
  9. globalroot\systemroot\system32\SKYNETueityvjt.dll
    Plagegeister aller Art und deren Bekämpfung - 07.09.2009 (28)
  10. \\?\globalroot\systemroot\system32\... infos nötig
    Diskussionsforum - 07.09.2009 (4)
  11. Trojan.TDSS \\?\globalroot\systemroot\system32\geye krepmqjpwq.dll
    Plagegeister aller Art und deren Bekämpfung - 24.08.2009 (17)
  12. virus in //?/globalroot/systemroot/
    Log-Analyse und Auswertung - 25.07.2009 (18)
  13. rootkit? ähnliches Problem wie "virus in //?/globalroot/systemroot/"
    Log-Analyse und Auswertung - 22.07.2009 (4)
  14. globalroot/systemroot/system32/SKYNETvrdltpu.dll ist das ein Virus?
    Log-Analyse und Auswertung - 12.07.2009 (1)
  15. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  16. Backroundimage %SystemRoot%
    Alles rund um Windows - 06.05.2005 (1)
  17. Bitte um Hilfe! Was ist : %systemroot%\system32\dumprep 0 -k
    Log-Analyse und Auswertung - 15.12.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema globalroot/systemroot/system32/gasvkyviextpqs.dll - datei ist zu lang zum reinkopieren und auch zu groß um sie anzuhängen. also ist hier wieder der link: http://www.file-upload.net/download-1924222/Neues-Textdokument--2-.txt.html ist aber diesmal ein .txt file. - globalroot/systemroot/system32/gasvkyviextpqs.dll...
Archiv
Du betrachtest: globalroot/systemroot/system32/gasvkyviextpqs.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131