Ntoskrnl-hook II
 

Liebe Community,

hoffe, dass Ihr mir weiterhelfen könnt:

Hatte den Trojaner Ntoskrnl-hook drauf, der von McAffeee erkannt un gelöscht wurde, bei Neustart immer wieder erschien. Habe folgendes gemacht.

1. Rootrepeal heruntergeladen
2. Files in Avenger kopiert
3. Neustart

Fast alles wurde gelöscht, nur folgendes nicht:

C:\WINDOWS\system32\drivers\ gxvxcxumhskdkbiuwqerfvdpulkdxfkjmylyf.sys

Wenn ich dies in Avenger eingebe, startet Windows nach Neustart nicht mehr

Im Gerätemanager ist der Treiber auch nicht bei den ausgeblendeten zu finden.

Wie bekomme ich diesen Eintrag weg? Danke!!!

Versuch es mal mit dem hier.

und füge das in die Avenger Codebox ein.


Ich würde zudem noch Malwarebytes durchlaufen lassen und ein Hijackthis Logfile posten.

Das klappt leider auch nicht:

Mein System startet dann nicht mehr und ich muss zu den "letzten bekannten funktionierenden Einstellungen " zurückkehren.

Der Avenger-Report:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gxvxcxumhskdkbiuwqerfvdpulkdxfkjmylyf" not found!
Deletion of driver "gxvxcxumhskdkbiuwqerfvdpulkdxfkjmylyf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Hijackthis findet folgendes:

O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.179,85.255.112.61
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.179,85.255.112.61


Malwarebytes findet nach dem zweiten Suchlauf nichts mehr

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

oweh... an combofix traue ich mich nicht ran... irgendwlche anderen ideen?

Da du einen DNSChanger befall hattest mit Rootkits würde ich dir sowieso zum Neu Aufsetzen des Systems raten.
Da deine Passwörter wahrscheinlich gelesen wurden.
Du sollstest unverzüglich kein Online Banking mehr machen, eBay oder Amazon udn die Passwörter von einem 100% sauberen rechner aus ändern.

Hier ist ein Link zum richtigen Neu Aufsetzen des PCs: http://www.trojaner-board.de/51262-a...sicherung.html

Musik, Bilder und Dokumentdatein kannst du Absichern auf eine Externe Festplatte oder anderer ext. Datenträger.
Bevor diese aber auf deinem frischen System gelangen würde ich empfehlen einen AV-Scanner drüberlaufen zu lassen.
Wenn alles okay ist, dann kannst du sie auf deinem PC Zurückspielen.
Bitte beim Anstecken des Datenträgers die SHIFT-Taste (Großschreibtaste) gedrückt halten um den Autostart dessen zu vermeiden.

MfG

Danke für die Info!!!!! Habe doch Combofix durchlaufen lassen und nun wird weder von Hijackthis noch von RootRepeal etwas erkannt..... werde wohl aber doch um ein Neuaufsetzen des Sytsems nicht herum kommen ( siehe Passwörter ) Vielen Dank für die Hilfe, Angel

Bitteschön, sicher ist dort bei sowas sicher.

... und doch noch etwas: Habe gerade in der Registry gesucht und Folgenden Schlüssel fefunden, der sich nicht löschen lässt:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gxvxcserv.sys

Heisst das, dasss der Trojaner noch da ist? Rootrepeal und Combofiox entecken nichts mehr

Ich würde wie gesagt bei solch einer Infektion Neuaufsetzen, wer weiß wie lange Du den Kram schon drauf hattest und was schon alles "erspäht" worden ist.

mach ich auch... ich frag mich nur, warum ich den Schlüssel nicht wegbekomme bzw. wieso er noch da ist, wenn Rootrepeal keinen Prozess mehr erkennt

das wird hinfällig, wenn du neu aufsetzen würdest :)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gxvxcserv.sys

Den Schlüssel kann ich weder umbenennen noch löschen. Beim Binärdaten ändern kommt die Meldung: Fehler beim Lesen des Schlüssels.

Hat jemand noch eine Idee, wie ich diesen Reg Eintrag wegbekomme? Danke!

Der verschwindet wenn du endlich neuaufsetzen würdest.