hi
ich hab schon gesehen dass das thema es hier öfter gibt nur trotzdem konnte ich mein problem nicht lösen. Dieses combofix kann ich irgentwie nicht downloaden und einige andere programme die hier als link empfohlen werden auch nicht. Eins aber ging:GMER 1.0.14 . ICh hab das programm dann laufen lassen und er schreibt mir das er etwas gefunden hat. ich kopier jetzt mal das teil da beim program.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-31 10:11:59
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F7E5DE6C ZwCreateThread
SSDT F7E5DE58 ZwOpenProcess
SSDT F7E5DE5D ZwOpenThread
SSDT F7E5DE67 ZwTerminateProcess
SSDT F7E5DE62 ZwWriteVirtualMemory

Code E188940E ZwEnumerateKey
Code E18894EE ZwFlushInstructionCache
Code 851197B0 ZwQueryValueKey
Code F4D2FEAB pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE ntoskrnl.exe!ZwQueryValueKey 8056A1F2 5 Bytes JMP 851197B4
PAGE ntoskrnl.exe!ZwEnumerateKey 80570D64 5 Bytes JMP E1889412
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80577693 5 Bytes JMP E18894F2

---- User code sections - GMER 1.0.14 ----

.text F:\Programme\Mozilla Firefox\firefox.exe[552] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00B9000A
.text F:\Programme\Mozilla Firefox\firefox.exe[552] WS2_32.dll!connect 71A14A07 5 Bytes JMP 00B8000A
.text F:\Programme\Mozilla Firefox\firefox.exe[552] WS2_32.dll!send 71A14C27 5 Bytes JMP 00BA000A
.text F:\Programme\ICQ6.5\ICQ.exe[1552] kernel32.dll!ReadFile 7C801812 6 Bytes JMP 5F160F5A
.text F:\Programme\ICQ6.5\ICQ.exe[1552] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, B6, 84 ]
.text F:\Programme\ICQ6.5\ICQ.exe[1552] kernel32.dll!CloseHandle 7C809BD7 6 Bytes JMP 5F130F5A
.text F:\Programme\ICQ6.5\ICQ.exe[1552] kernel32.dll!CreateFileW 7C8107F0 6 Bytes JMP 5F100F5A
.text F:\Programme\ICQ6.5\ICQ.exe[1552] kernel32.dll!GetFileSize 7C810B07 6 Bytes JMP 5F190F5A
.text F:\Programme\ICQ6.5\ICQ.exe[1552] USER32.dll!DispatchMessageW 7E368A01 6 Bytes JMP 5F040F5A
.text F:\Programme\ICQ6.5\ICQ.exe[1552] USER32.dll!SetParent 7E37C7F9 3 Bytes [ FF, 25, 1E ]
.text F:\Programme\ICQ6.5\ICQ.exe[1552] USER32.dll!SetParent + 4 7E37C7FD 2 Bytes [ 1D, 5F ]
.text F:\Programme\ICQ6.5\ICQ.exe[1552] USER32.dll!CreateWindowExW 7E37D0A3 6 Bytes JMP 5F0A0F5A
.text F:\Programme\ICQ6.5\ICQ.exe[1552] ole32.dll!CoCreateInstance 774D057E 6 Bytes JMP 5F0D0F5A
.text F:\WINDOWS\explorer.exe[2496] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00AC000A
.text F:\WINDOWS\explorer.exe[2496] WS2_32.dll!connect 71A14A07 5 Bytes JMP 00AB000A
.text F:\WINDOWS\explorer.exe[2496] WS2_32.dll!send 71A14C27 5 Bytes JMP 00AD000A
? F:\WINDOWS\svchost.exe[2764] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;
.text F:\Programme\Internet Explorer\iexplore.exe[3024] WININET.dll!HttpSendRequestA 77196099 5 Bytes JMP 00174318
.text F:\Programme\Internet Explorer\iexplore.exe[3024] WININET.dll!HttpSendRequestW 771E2F74 5 Bytes JMP 00174355
.text F:\Programme\Internet Explorer\iexplore.exe[3024] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00C9000A
.text F:\Programme\Internet Explorer\iexplore.exe[3024] WS2_32.dll!connect 71A14A07 5 Bytes JMP 00C8000A
.text F:\Programme\Internet Explorer\iexplore.exe[3024] WS2_32.dll!send 71A14C27 5 Bytes JMP 00CA000A

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Tcp nfr.sys (nfr/nfr)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\TDSSpxoe.sys (*** hidden *** ) F4D2E000-F4D40000 (73728 bytes)
Module \systemroot\system32\drivers\gaopdxtlmtjlkj.sys (*** hidden *** ) F4D40000-F4D68000 (163840 bytes)

---- Threads - GMER 1.0.14 ----

Thread 4:288 F4D30D66

---- Services - GMER 1.0.14 ----

Service F:\WINDOWS\system32\drivers\gaopdxtlmtjlkj.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!
Service F:\WINDOWS\system32\drivers\TDSSpxoe.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@imagepath \systemroot\system32\drivers\gaopdxtlmtjlkj.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxt lmtjlkj.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv. sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxbobayxrq. dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s@imagepath \systemroot\system32\drivers\TDSSpxoe.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@TDSSserv \systemroot\system32\drivers\TDSSpxoe.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@TDSSl \systemroot\system32\TDSSoitu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@tdssservers \systemroot\system32\TDSSmtpe.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@tdssmain \systemroot\system32\TDSScrxx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@tdsslog \systemroot\system32\TDSSyavu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@tdssadw \systemroot\system32\TDSSnpur.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@tdssinit \systemroot\system32\TDSSqxgx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@tdsserrors \systemroot\system32\TDSSehys.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sy s\modules@TDSSproc \systemroot\system32\TDSSwkod.log
Reg HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys@ start 1
Reg HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys@ type 1
Reg HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys@ imagepath \systemroot\system32\drivers\gaopdxtlmtjlkj.sys
Reg HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys@ group file system
Reg HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys\ modules
Reg HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys\ modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxt lmtjlkj.sys
Reg HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys\ modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxbobayxrq. dll
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys@st art 1
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys@ty pe 1
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys@im agepath \systemroot\system32\drivers\TDSSpxoe.sys
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys@gr oup file system
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@TDSSserv \systemroot\system32\drivers\TDSSpxoe.sys
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@TDSSl \systemroot\system32\TDSSoitu.dll
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@tdssservers \systemroot\system32\TDSSmtpe.dat
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@tdssmain \systemroot\system32\TDSScrxx.dll
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@tdsslog \systemroot\system32\TDSSyavu.dll
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@tdssadw \systemroot\system32\TDSSnpur.dll
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@tdssinit \systemroot\system32\TDSSqxgx.dll
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@tdsserrors \systemroot\system32\TDSSehys.log
Reg HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys\mo dules@TDSSproc \systemroot\system32\TDSSwkod.log
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@affid 95
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@subid 406
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@control 0x09 0x19 0x1F 0x16 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@prov 10010
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@googleadserver pagead2.googlesyndication.com
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@flagged 1
Reg HKLM\SOFTWARE\Classes\gaopdxvx
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxrun 70
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpff 7962
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxaff 3293
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxsrv -1056770279
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxpos "xIrzu?N=efRded`oX<j[mmhkYWb
Reg HKLM\SOFTWARE\Classes\gaopdxvx@gaopdxff 8299
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{120A45CF-6199-3679-D7BD-74D94DE795D8}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{120A45CF-6199-3679-D7BD-74D94DE795D8}@hamkebcfbpjeaklb 0x67 0x61 0x64 0x65 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{120A45CF-6199-3679-D7BD-74D94DE795D8}@iaaiapcghaacimlpnl 0x63 0x61 0x68 0x65 ...

---- EOF - GMER 1.0.14 ----


ich hoffe ihr könnt mir helfen.

Werbung

Moin,

Lies erstmal hier die ersten 4 Absätze: PrevX findet Trojaner, AV nicht?

Aufgrund einer schlechten Erfahrung eine Warnung vorweg: Sollte ich auf dem Rechner geklaute Software finden, egal ob es nun Warez, Patches, Cracks oder Keygens sind, dann werde ich dich gnadenlos vorführen.

Du hast gleich zwei fiese Rootkits am Laufen, du sparst dir eine Menge Zeit, wenn du gleich neuaufsetzt. Vorher muss trotzdem bereinigt werden, ansonsten ist die Neuinstallation nämlich sinnlos.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:
gaopdxserv.sys
TDSSserv.sys

Registry Keys to delete:
HKLM\SYSTEM\ControlSet004\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet004\Services\TDSSserv.sys
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
HKLM\SOFTWARE\Classes\gaopdxvx
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{120A45CF-6199-3679-D7BD-74D94DE795D8}

Files to delete:
F:\WINDOWS\system32\drivers\TDSSpxoe.sys
F:\WINDOWS\system32\drivers\gaopdxtlmtjlkj.sys
F:\WINDOWS\system32\gaopdxbobayxrq.dll
F:\WINDOWS\system32\TDSSoitu.dll
F:\WINDOWS\system32\TDSSmtpe.dat
F:\WINDOWS\system32\TDSScrxx.dll
F:\WINDOWS\system32\TDSSyavu.dll
F:\WINDOWS\system32\TDSSnpur.dll
F:\WINDOWS\system32\TDSSqxgx.dll
F:\WINDOWS\system32\TDSSnmxh.log
F:\WINDOWS\system32\TDSSsahc.dll
F:\WINDOWS\system32\TDSSehys.log
F:\WINDOWS\system32\TDSSwkod.log

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag.

Nachdem du das durchgeführt hast, wird es deinem Rechner spürbar besser gehen. Mache nicht den Fehler hier abzubrechen. Du bist noch nicht geheilt!

Erstelle auch gleich noch ein neues Gmer-Log um sicher zu gehen, dass ich nichts übersehen habe.

ciao, andreas

Zitat:

Zitat von IchGoogleAlles

dann werde ich dich gnadenlos vorführen.

Auch wenn du schlechte Erfahrungen gemacht hast, solltest du dich an die Forenregeln halten, zu denen ein angemesener Ton gehört.

Grüße

Irgendwie wird hier mit ungleichen Maßen gemessen? Lass mich raten, wer das gemeldet hat.

Sorry Dima, aber das war nun völlig daneben.

ciao, andreas

Zitat:

Zitat von IchGoogleAlles

Sorry Dima, aber das war nun völlig daneben.

Deine Meinung. Ich meine es durchaus ernst. Und jetzt bitte zurück zum Topic.

Zitat:

Ich meine es durchaus ernst.

Du solltest einem, der sich hier sowieso schon verabschiedet hatte, nicht auch noch drohen. Zudem warst du es, der anstatt das ganze per PN zu klären, meintest diesen Weg wählen zu müssen.

Verwarn mich, sperr mich, darauf warte ich doch geradezu. Nur das zu begründen wird nicht ganz so einfach.

Zitat:

Und jetzt bitte zurück zum Topic.

Ich war es nicht, der mit OT begonnen hat. Lösch doch einfach alles ab dem zweiten Post.

ciao, andreas

Zitat:

Zitat von IchGoogleAlles

Nur das zu begründen wird nicht ganz so einfach.

Doch wird es, denn du hast mich eben danach gebeten. Und dein Hauch von Arroganz setzt dem die Krone auf. Hätte ich deine arrogante Art früher bemerkt (so krass), dann hätte ich dich auf deiner Abreise nicht "aufgehalten"

Zitat:

Lösch doch einfach alles ab dem zweiten Post.

Nö, aber ab diesem Post wird Off-Topic gelöscht.