Trojaner-Board
Seite 2 von 5 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Festplattenzugriff nur über Explorer; Virensoftware JEDER Art kann nicht zu starten! (https://www.trojaner-board.de/71737-festplattenzugriff-nur-explorer-virensoftware-art-starten.html)

Redwulf 06.04.2009 01:19
Zitat:
Zitat von smuggle (Beitrag 426440)
Edit:Ich bin guter Dinge, dass das GMER noch 2 Std. läuft...
Dann bin ich immer noch hier :) und Angel wahrscheinlich auch noch....

Angel21 06.04.2009 01:21
Ehhh ja, falls ich mit dem Kopf net auf der Tastatur liege dann schon ;)

smuggle 06.04.2009 01:31
Okay,

die Schritte CCleaner und Malwarebytes sind fertig.
Das LOG von mbam hier

Code:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1942
Windows 5.1.2600 Service Pack 3

06.04.2009 02:15:25
mbam-log-2009-04-06 (02-15-25).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 79708
Laufzeit: 6 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.

Angel21 06.04.2009 01:36
Wie sieht es mit Gmer aus, scannt dieser immer noch?

Redwulf 06.04.2009 01:36
:)****Engelchen war schneller

smuggle 06.04.2009 01:47
Ja, leider... er war schon ziemlich durch und dann kam leider der Reboot von Malwarebytes....

Da er außer auf C:\ nichts gefunden hatte, läuft jetzt nur C:\ durch. Sollte nicht mehr so lange dauern, sorry :headbang:

Angel21 06.04.2009 01:49
Wie gesagt das Logfile davon hier rein.

smuggle 06.04.2009 03:06
So jetzt der LOG - File aus GMEN:

Code:
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-06 04:02:40
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwAdjustPrivilegesToken [0xF3B3B224]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwClose [0xF3B3B7F8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwConnectPort [0xF3B3D234]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwCreateFile [0xF3B3CBE6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwCreateKey [0xF3B3A99A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwCreateSymbolicLinkObject [0xF3B3EBC6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwCreateThread [0xF3B3B5F8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwDeleteKey [0xF3B3ADDC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwDeleteValueKey [0xF3B3AFDC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwDeviceIoControlFile [0xF3B3CEF6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwDuplicateObject [0xF3B3F0CE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwEnumerateKey [0xF3B3B0F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwEnumerateValueKey [0xF3B3B15A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwFsControlFile [0xF3B3CDA8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwLoadDriver [0xF3B3E66A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwOpenFile [0xF3B3CA42]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwOpenKey [0xF3B3AAFC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwOpenProcess [0xF3B3B3FC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwOpenSection [0xF3B3EBF0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwOpenThread [0xF3B3B348]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwQueryKey [0xF3B3B1C2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwQueryMultipleValueKey [0xF3B3AEC6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwQueryValueKey [0xF3B3ACA4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwQueueApcThread [0xF3B3E8D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwReplaceKey [0xF3B3A61C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwRequestWaitReplyPort [0xF3B3DABE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwRestoreKey [0xF3B3A77E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwResumeThread [0xF3B3EFA0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwSaveKey [0xF3B3A41A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwSecureConnectPort [0xF3B3D0D6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwSetContextThread [0xF3B3B6F6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwSetSecurityObject [0xF3B3E764]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwSetSystemInformation [0xF3B3EC1A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwSetValueKey [0xF3B3AB52]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwSuspendProcess [0xF3B3ECFE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwSuspendThread [0xF3B3EE2A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwSystemDebugControl [0xF3B3E596]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwTerminateProcess [0xF3B3B4C8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        ZwWriteVirtualMemory [0xF3B3B53A]

Code            8717CFD8                                                                                  ZwFlushInstructionCache
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)        IoIsOperationSynchronous
Code            8717C846                                                                                  IofCallDriver
Code            8717C0AE                                                                                  IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text          ntoskrnl.exe!IofCallDriver                                                                804E13A7 5 Bytes  JMP 8717C84B
.text          ntoskrnl.exe!IofCompleteRequest                                                            804E17BD 5 Bytes  JMP 8717C0B3
.text          ntoskrnl.exe!ZwYieldExecution + 346                                                        804E4B80 4 Bytes  CALL 92C43F38
.text          ntoskrnl.exe!ZwYieldExecution + 46A                                                        804E4CA4 12 Bytes  [FE, EC, B3, F3, 2A, EE, B3, ...]
PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                      80587BFB 5 Bytes  JMP 8717CFDC

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\system32\svchost.exe[684] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 0075000A
.text          C:\WINDOWS\system32\svchost.exe[684] WS2_32.dll!WSARecv                                    71A14CB5 5 Bytes  JMP 0078000A
.text          C:\WINDOWS\system32\svchost.exe[684] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 0076000A
.text          C:\WINDOWS\system32\svchost.exe[684] WS2_32.dll!WSASend                                    71A168FA 5 Bytes  JMP 0077000A
.text          C:\WINDOWS\system32\svchost.exe[1292] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 0075000A
.text          C:\WINDOWS\system32\svchost.exe[1292] WS2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 0078000A
.text          C:\WINDOWS\system32\svchost.exe[1292] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 0076000A
.text          C:\WINDOWS\system32\svchost.exe[1292] WS2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 0077000A
.text          C:\WINDOWS\system32\svchost.exe[1384] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 0075000A
.text          C:\WINDOWS\system32\svchost.exe[1384] WS2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 0078000A
.text          C:\WINDOWS\system32\svchost.exe[1384] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 0076000A
.text          C:\WINDOWS\system32\svchost.exe[1384] WS2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 0077000A
.text          C:\WINDOWS\System32\svchost.exe[1520] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 0075000A
.text          C:\WINDOWS\System32\svchost.exe[1520] WS2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 0078000A
.text          C:\WINDOWS\System32\svchost.exe[1520] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 0076000A
.text          C:\WINDOWS\System32\svchost.exe[1520] WS2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 0077000A
.text          C:\WINDOWS\system32\svchost.exe[1636] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 0075000A
.text          C:\WINDOWS\system32\svchost.exe[1636] WS2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 0078000A
.text          C:\WINDOWS\system32\svchost.exe[1636] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 0076000A
.text          C:\WINDOWS\system32\svchost.exe[1636] WS2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 0077000A
.text          C:\WINDOWS\system32\svchost.exe[1764] WS2_32.dll!send                                      71A14C27 5 Bytes  JMP 0075000A
.text          C:\WINDOWS\system32\svchost.exe[1764] WS2_32.dll!WSARecv                                  71A14CB5 5 Bytes  JMP 0078000A
.text          C:\WINDOWS\system32\svchost.exe[1764] WS2_32.dll!recv                                      71A1676F 5 Bytes  JMP 0076000A
.text          C:\WINDOWS\system32\svchost.exe[1764] WS2_32.dll!WSASend                                  71A168FA 5 Bytes  JMP 0077000A
.text          C:\Programme\Mozilla Firefox\firefox.exe[2876] WS2_32.dll!send                            71A14C27 5 Bytes  JMP 00A9000A
.text          C:\Programme\Mozilla Firefox\firefox.exe[2876] WS2_32.dll!WSARecv                          71A14CB5 5 Bytes  JMP 00AC000A
.text          C:\Programme\Mozilla Firefox\firefox.exe[2876] WS2_32.dll!recv                            71A1676F 5 Bytes  JMP 00AA000A
.text          C:\Programme\Mozilla Firefox\firefox.exe[2876] WS2_32.dll!WSASend                          71A168FA 5 Bytes  JMP 00AB000A

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice]                        [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                    [F7178DF0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice]                        [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                    [F7178DF0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice]                          [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice]                        [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice]                        [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice]                        [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\USBSTOR.SYS[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\HIDCLASS.SYS[ntoskrnl.exe!IoCreateDevice]                    [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\arp1394.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\Wdf01000.sys[ntoskrnl.exe!IoCreateDevice]                    [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\kbdhid.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\mouhid.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice]                        [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice]                          [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice]                    [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice]                      [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT            \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice]                        [F7178D40] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                  kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                  kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                  kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module          \systemroot\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys (*** hidden *** )  F3AF7000-F3B0C000 (86016 bytes)                                                       

---- Services - GMER 1.0.15 ----

Service        C:\WINDOWS\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys (*** hidden *** )  [SYSTEM] gaopdxserv.sys                                                                <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                            \systemroot\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                file system
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                             
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                  \\?\globalroot\systemroot\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                      \\?\globalroot\systemroot\system32\gaopdxtkatemfifbgdvppeqjjddvkaoyktjecd.dll
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys                                         
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start                                    1
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type                                    1
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath                                \systemroot\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group                                    file system
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules                                 
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv                      \\?\globalroot\systemroot\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl                          \\?\globalroot\systemroot\system32\gaopdxtkatemfifbgdvppeqjjddvkaoyktjecd.dll

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys                    37888 bytes executable                                                                  <-- ROOTKIT !!!
File            C:\WINDOWS\system32\drivers\gaopdxhwdtruutukijsnamkodhworyaackjkpp.sys                    40960 bytes executable
File            C:\WINDOWS\system32\drivers\gaopdxlcdqjnlmomylvmyybivmlkxjbgrrsjkd.sys                    40960 bytes executable
File            C:\WINDOWS\system32\drivers\gaopdxnvnpareotqpkroyjndgwqfjuljxcxttj.sys                    34304 bytes executable
File            C:\WINDOWS\system32\gaopdxtkatemfifbgdvppeqjjddvkaoyktjecd.dll                            13312 bytes executable
File            C:\WINDOWS\system32\config\system.LOG                                                      (size mismatch) 16384/1024 bytes

---- EOF - GMER 1.0.15 ----

Redwulf 06.04.2009 03:15
Lade schon mal den Avenger

Angel21 06.04.2009 03:26
Gleich bin ich soweit :).....gleich kann der Ernst beginnen.

smuggle 06.04.2009 03:29
Ich hab mir schon Mut angetrunken :taenzer:


Nimm Dir Zeit...

Angel21 06.04.2009 03:31
Öffne jetzt das Programm Avenger.

Du siehst jetzt ein weißen Scriptfeld.
Dort Steht INPUT SCRIPT HERE:


Code:
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sysC:\WINDOWS\system32\drivers\gaopdxhwdtruutukijsnamkodhworyaackjkpp.sys
C:\WINDOWS\system32\drivers\gaopdxlcdqjnlmomylvmyybivmlkxjbgrrsjkd.sys
C:\WINDOWS\system32\drivers\gaopdxnvnpareotqpkroyjndgwqfjuljxcxttj.sys
C:\WINDOWS\system32\gaopdxtkatemfifbgdvppeqjjddvkaoyktjecd.dll
C:\WINDOWS\system32\gaopdxcounter

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
Kopiere jetzt den Inhalt der Codebox mit Strg +C

und füge das ganze mit Strg + V in dieses Scriptfeld ein.
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst.

Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows Vista in einen Bluescreen. Auch dann kein Grund zur Sorge.

smuggle 06.04.2009 03:36
Okay, habe ich gemacht...

Mein Avengerfester hat unterhalb der Scriptbox noch ein Häckchen gesetzt bei Scan for rootkits, soll das alles so bleiben?

Redwulf 06.04.2009 03:37
HALT !!

Kleiner Fehler beim kopieren passiert


Richtig muss es so sein:

[Code]
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys
C:\WINDOWS\system32\drivers\gaopdxhwdtruutukijsnamkodhworyaackjkpp.sys
C:\WINDOWS\system32\drivers\gaopdxlcdqjnlmomylvmyybivmlkxjbgrrsjkd.sys
C:\WINDOWS\system32\drivers\gaopdxnvnpareotqpkroyjndgwqfjuljxcxttj.sys
C:\WINDOWS\system32\gaopdxtkatemfifbgdvppeqjjddvkaoyktjecd.dll
C:\WINDOWS\system32\gaopdxcounter

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys

smuggle pass beim kopieren auf das keine Lücken zwischen den Buchstaben sind, das passiert manchmal hier...ist mir auch grad passiert....

smuggle 06.04.2009 03:38
Zitat:
Zitat von Redwulf (Beitrag 426456)
HALT !!

Kleiner Fehler beim kopieren passiert


Richtig muss es so sein:

[Code]
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxgoaftsvairxoelnxrxwxtqtcasmnoqde.sys
C:\WINDOWS\system32\drivers\gaopdxhwdtruutukijsnamkodhworyaackjkpp.sys
C:\WINDOWS\system32\drivers\gaopdxlcdqjnlmomylvmyybivmlkxjbgrrsjkd.sys
C:\WINDOWS\system32\drivers\gaopdxnvnpareotqpkroyjndgwqfjuljxcxttj.sys
C:\WINDOWS\system32\gaopdxtkatemfifbgdvppeqjjddvkaoyktjecd.dll
C:\WINDOWS\system32\gaopdxcounter

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
Wo genau ist da nun der Unterschied?
Leerzeichen vor der ersten Zeile und Code?


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:57 Uhr.
Seite 2 von 5 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55