Hallo und guten Abend,
ich glaube, mein System hat es diesmal erwischt.
Als ich heute wieder unbesorgt mit meinem FF (3.1 Beta 3) durchs Internet surfte, fiel mir auf einmal auf, dass die Google-Suche nicht mehr funktionierte.
Ich konnte beliebige Begriffe eingeben, sobald ich auf eins der Suchergebnisse klickte, öffnete sich ein neuer Tab mit der gleichen Suchergebnissseite.
Einmal wurde ich, als ich das Firefox-Google aufrufen sollte, auch unendlich lang zwischen google.de und google.com umgeleitet, bis Firefox den Ladevorgang abbrach.
Entnervt startete ich einen Komplettscan mit meinem Antivir (Free). Viren direkt fand es nicht, dafür aber drei versteckte Dateien, darunter
gaopdxcounter
eine .dll mit gaopdx im Namen und
eine .sys mit gaopdx im Namen.
Seit diese in der Quarantäne verschwunden sind, funktioniert die Google-Suche wieder.
Ich habe sie entfernen lassen, aber bei wiederholtem Scannen tauchen sie immer wieder auf :(
Eine Suche nach dem Namen ergab, dass ich mir ein russisches
Rootkit-Spy-Malware-Dings eingefangen habe.
Wie kriege ich's jetzt wieder weg?
Software wie Malware-Bytes Anti-Malware lässt sich nicht starten..
-------------------------------------------------------------------------------------------------------
Der REPORT des RootkitUnhooker
>SSDT State
NtCreateKey
Actual Address 0xBA690EC6
Hooked by: Unknown module filename
NtCreateThread
Actual Address 0xBA690EBC
Hooked by: Unknown module filename
NtDeleteKey
Actual Address 0xBA690ECB
Hooked by: Unknown module filename
NtDeleteValueKey
Actual Address 0xBA690ED5
Hooked by: Unknown module filename
NtEnumerateKey
Actual Address 0xB9EC6CA2
Hooked by: spxy.sys
NtEnumerateValueKey
Actual Address 0xB9EC7030
Hooked by: spxy.sys
NtLoadKey
Actual Address 0xBA690EDA
Hooked by: Unknown module filename
NtOpenKey
Actual Address 0xB9EA80C0
Hooked by: spxy.sys
NtOpenProcess
Actual Address 0xBA690EA8
Hooked by: Unknown module filename
NtOpenThread
Actual Address 0xBA690EAD
Hooked by: Unknown module filename
NtQueryKey
Actual Address 0xB9EC7108
Hooked by: spxy.sys
NtQueryValueKey
Actual Address 0xB9EC6F88
Hooked by: spxy.sys
NtReplaceKey
Actual Address 0xBA690EE4
Hooked by: Unknown module filename
NtRestoreKey
Actual Address 0xBA690EDF
Hooked by: Unknown module filename
NtSetValueKey
Actual Address 0xBA690ED0
Hooked by: Unknown module filename
NtTerminateProcess
Actual Address 0xBA690EB7
Hooked by: Unknown module filename
>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0xBA2499CB
Size: 1589
Unknown page with executable code
Address: 0xBA24B3C4
Size: 3132
>Files
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\fabs_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\mxdba_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\installation.ini Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\MusicMaker.ini Status: Hidden
Suspect File: C:\WINDOWS\system32\drivers\gaopdxfwvymrdhosewswibrxoyyjbiqqnocwnt.sys Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxcounter Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxtrpbpixdoexrmmqsdkyprqtobdwyryxy.dll Status: Hidden
>Hooks
ntkrnlpa.exe-->IofCallDriver, Type: Inline - RelativeJump at address 0x804EF196 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->IofCompleteRequest, Type: Inline - RelativeJump at address 0x804EF226 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->NtFlushInstructionCache, Type: Inline - RelativeJump at address 0x805B6806 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->recv, Type: Inline - RelativeJump at address 0x71A1676F hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->send, Type: Inline - RelativeJump at address 0x71A14C27 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSARecv, Type: Inline - RelativeJump at address 0x71A14CB5 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSASend, Type: Inline - RelativeJump at address 0x71A168FA hook handler located in [unknown_code_page]
[808]explorer.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification at address 0x01001268 hook handler located in [shimeng.dll]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
-------------------------------------------------------------------------------------------------------
Bittet um Hilfe,
Lönie
Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge
Im abgesichertes Modus gehen und dort wieder Regedit, versuchen danach es zu loeschen.
Wegen die obengenannte Schluessel, die lezten einfach loeschen.
So fuer einige gebe ich auch ein beispiel wie die industrie uns fuer Narren haelt.
Unter diesen Link auf englisch wenn ich im Such Fenster "gaopdx" eingebe, kommt das rausim unteren Link.
http://searchg.symantec.com/search?q=gaopdx&charset=utf-8&proxystylesheet=symc_en_US&client=symc_en_US&hitsceil=100&site=symc_en_US&output=xml_no_dtd&context=gbh
Gebe ich aber in symantec.com, "gaopdx" ein aber in Deutsche Sprache, kommt das raus:
http://searchg.symantec.com/search?q=gaopdx&hitsceil=100&entqr=0&output=xml_no_dtd&sort=date%3AD%3AL%3Ad1&lr=lang_de&client=symc_de_DE&charset=utf-8&ud=1&context=gbh&oe=UTF-8&ie=UTF-8&proxystylesheet=symc_de_DE&site=symc_de_DE
Komisch oder ?
English ja und in Deutsch nichts.
Gruss
Sascha