Hallo, ich bin neu hier wegen demselben Problem. Wollte Schritt-für-Schritt nachmachen was John.doe hier erklärt, aber ich stecke fest, kenn mich leider nicht sonderlich gut aus.
Kurz zur vorgeschichte: hab gestern einen Trojaner resycled\ntldr.com mir eingefangen und konnte diesen sowie alle seine autorun.inf mittels Malwarebytes und AutorunEater entfernen.
Gut, dann hat soweit wieder alles Problemlos funktioniert, nur Internetverbindung nicht und updaten von Antivir und AdAware immer noch nicht, obwohl Skype zB funktionierte. Gut, hab dann PeerGuardian deinstalliert -> Internet geht wieder. Als dann auch noch der Update für Malwarebytes funktionierte dachte ich "uff, geschafft".
ABER: Heute funzt update von Antivir und AdAware immer noch nicht.
Habe nun GMER scannen lassen, und GMER hat ROOTKIT Acivity gefunden. Nur, was mach ich jetzt damit?
Was tu ich jetzt mitm Avenger?... Bitte um Hilfe, DANKE Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-22 10:02:55
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF768087E]
SSDT F7D436AC ZwCreateThread
SSDT F7D43698 ZwOpenProcess
SSDT F7D4369D ZwOpenThread
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF7680C10]
SSDT F7D436A7 ZwTerminateProcess
SSDT F7D436A2 ZwWriteVirtualMemory
Code 864DFE78 ZwEnumerateKey
Code 864E0038 ZwFlushInstructionCache
Code 864E0900 ZwQueryValueKey
Code F33FDC80 pIofCallDriver
---- Kernel code sections - GMER 1.0.14 ----
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528A 5 Bytes JMP 864E003C
PAGE ntkrnlpa.exe!ZwQueryValueKey 806201CA 5 Bytes JMP 864E0904
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622950 5 Bytes JMP 864DFE7C
---- Devices - GMER 1.0.14 ----
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Modules - GMER 1.0.14 ----
Module \systemroot\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** ) F33FC000-F3424000 (163840 bytes)
---- Services - GMER 1.0.14 ----
Service C:\WINDOWS\system32\drivers\gaopdxnwnfxixk.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxnwnfxixk.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstmdltuc.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@Class 0x6A 0xB1 0x00 0x19 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-010f-5de0-82f1fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@Class 0x40 0x85 0x79 0x57 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-0c03-6d53-71dffa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@Class 0xBA 0x11 0x3A 0xAE ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6d48-5af9-3a47fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@Class 0x67 0xA9 0xA5 0x6E ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-81dd-576e-85b6fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@Class 0x0A 0x4F 0x73 0x49 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-821d-3341-fc95fa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@Class 0x4C 0x7C 0x10 0x74 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a9cd-84e2-882efa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@Class 0xFA 0x1B 0xC0 0x7B ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-faa4-dc98-a54ffa99cf1f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\gaopdxvx
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxrun 71
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpff 8233
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxaff 3230
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxsrv -1056770279
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpos "xsrzu?n=efhded`ox<jammhkYWB
---- EOF - GMER 1.0.14 ----
Kann ich die 2 Übeltäter nicht einfach löschen?? | 