Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

Verfolgung starten Optionen

PC mit Gaopdx und Co. infiziert? Hilfe bei Entfernung!

Lönie / 9 Antworten / Flachansicht Nickles

Hallo und guten Abend,

ich glaube, mein System hat es diesmal erwischt.
Als ich heute wieder unbesorgt mit meinem FF (3.1 Beta 3) durchs Internet surfte, fiel mir auf einmal auf, dass die Google-Suche nicht mehr funktionierte.

Ich konnte beliebige Begriffe eingeben, sobald ich auf eins der Suchergebnisse klickte, öffnete sich ein neuer Tab mit der gleichen Suchergebnissseite.
Einmal wurde ich, als ich das Firefox-Google aufrufen sollte, auch unendlich lang zwischen google.de und google.com umgeleitet, bis Firefox den Ladevorgang abbrach.

Entnervt startete ich einen Komplettscan mit meinem Antivir (Free). Viren direkt fand es nicht, dafür aber drei versteckte Dateien, darunter

gaopdxcounter
eine .dll mit gaopdx im Namen und
eine .sys mit gaopdx im Namen.

Seit diese in der Quarantäne verschwunden sind, funktioniert die Google-Suche wieder.
Ich habe sie entfernen lassen, aber bei wiederholtem Scannen tauchen sie immer wieder auf :(

Eine Suche nach dem Namen ergab, dass ich mir ein russisches
Rootkit-Spy-Malware-Dings eingefangen habe.

Wie kriege ich's jetzt wieder weg?
Software wie Malware-Bytes Anti-Malware lässt sich nicht starten..

-------------------------------------------------------------------------------------------------------
Der REPORT des RootkitUnhooker

>SSDT State
NtCreateKey
Actual Address 0xBA690EC6
Hooked by: Unknown module filename

NtCreateThread
Actual Address 0xBA690EBC
Hooked by: Unknown module filename

NtDeleteKey
Actual Address 0xBA690ECB
Hooked by: Unknown module filename

NtDeleteValueKey
Actual Address 0xBA690ED5
Hooked by: Unknown module filename

NtEnumerateKey
Actual Address 0xB9EC6CA2
Hooked by: spxy.sys

NtEnumerateValueKey
Actual Address 0xB9EC7030
Hooked by: spxy.sys

NtLoadKey
Actual Address 0xBA690EDA
Hooked by: Unknown module filename

NtOpenKey
Actual Address 0xB9EA80C0
Hooked by: spxy.sys

NtOpenProcess
Actual Address 0xBA690EA8
Hooked by: Unknown module filename

NtOpenThread
Actual Address 0xBA690EAD
Hooked by: Unknown module filename

NtQueryKey
Actual Address 0xB9EC7108
Hooked by: spxy.sys

NtQueryValueKey
Actual Address 0xB9EC6F88
Hooked by: spxy.sys

NtReplaceKey
Actual Address 0xBA690EE4
Hooked by: Unknown module filename

NtRestoreKey
Actual Address 0xBA690EDF
Hooked by: Unknown module filename

NtSetValueKey
Actual Address 0xBA690ED0
Hooked by: Unknown module filename

NtTerminateProcess
Actual Address 0xBA690EB7
Hooked by: Unknown module filename

>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0xBA2499CB
Size: 1589
Unknown page with executable code
Address: 0xBA24B3C4
Size: 3132
>Files
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\fabs_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\mxdba_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\installation.ini Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\MusicMaker.ini Status: Hidden
Suspect File: C:\WINDOWS\system32\drivers\gaopdxfwvymrdhosewswibrxoyyjbiqqnocwnt.sys Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxcounter Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxtrpbpixdoexrmmqsdkyprqtobdwyryxy.dll Status: Hidden
>Hooks
ntkrnlpa.exe-->IofCallDriver, Type: Inline - RelativeJump at address 0x804EF196 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->IofCompleteRequest, Type: Inline - RelativeJump at address 0x804EF226 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->NtFlushInstructionCache, Type: Inline - RelativeJump at address 0x805B6806 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->recv, Type: Inline - RelativeJump at address 0x71A1676F hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->send, Type: Inline - RelativeJump at address 0x71A14C27 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSARecv, Type: Inline - RelativeJump at address 0x71A14CB5 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSASend, Type: Inline - RelativeJump at address 0x71A168FA hook handler located in [unknown_code_page]
[808]explorer.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification at address 0x01001268 hook handler located in [shimeng.dll]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

-------------------------------------------------------------------------------------------------------

Bittet um Hilfe,

Lönie

bei Antwort benachrichtigen
Es ist der W32.Tidserv.G. Loesche diese Eintraege start ausfuehren Regedit ... Prosseco
Danke für die schnelle Hilfe! Das mit der DNS hab ich mit HijackThis ... Lönie
Im abgesichertes Modus gehen und dort wieder Regedit, versuchen danach es zu ... Prosseco
Hallo! Die Industrie ist nicht vertrauenswürdig.. Im abgesicherten Modus ... Lönie
shrek3 Lönie „Hallo! Die Industrie ist nicht vertrauenswürdig.. Im abgesicherten Modus mit...“
Optionen
Im abgesicherten Modus (mit Netzwerktreibern) lässt sich gaopdxserv.sys auch nicht löschen

So ist das oft mit den Informationen, die man auf den Webseiten der "nicht vertrauenswürdigen" Anti-Virenhersteller findet.

Vor allem deren Reinigungsanweisungen gehören dazu...

Wenn du auf den Link zu Symantec klickst, den Prosecco weiter oben gegeben hat, dann wirst du sehen, dass Symantec erst seit dem 22.03.09 überhaupt Kenntnis von diesem Schädling und am 25.03.09 quasi erste Erkenntnisse über ihn veröffentlicht hat.

Umso erstaunter (und skeptischer!) war ich, dass da jetzt schon so eine Art "kompletter Lösung" dieses Problems angeboten wird.

Wie "komplett" diese Lösung ist - sehen wir ja schon daran, dass es mit dem Löschen der Schlüssel in der Wirklichkeit doch noch ein wenig anders aussieht. :-(

Bedeutet u.U., dass die Programmierer dieser Schadsoftware bereits "nachgebessert" haben und diesen Schlüssel im Vergleich zu den anderen Schlüsseln besonders schützen wollen, weil er unverzichtbarer ist.

Ja, wenn dieser Schädling bereits seit 2 Jahren bekannt wäre und die letzte Info-Aktualisierung Symantecs zu diesem Schädling schon bsp. 6 Monate zurückläge - dann könnte man vermuten, dass da nichts Wesentliches mehr hinzukommt, weil die kriminellen Programmierer dieses Schädlings diesen nicht mehr weiterentwickeln.

Aber so...

Hinzu kommt - Prosseco schlägt dir im Gegensatz zu Symantec exakt die umgekehrte Reihenfolge vor, wie diesem Schädling zu Leibe zu rücken sei...

Während Symantec davon ausgeht, dass durch den Scan mit Norton erst sämtliche Schädlinge gelöscht werden sollen, bevor man in der Registry die dort vorhandenen Schlüssel entfernt, fängt Prosseco mit den Registry-Schlüsseln an und empfiehlt dir eher nebenbei, im abgesicherten Modus es mit einem anderen Virenprogramm zu versuchen.

Dass das Entfernen der Schlüssel hier eher als abschließender Akt zu bewerten ist, der durchgeführt werden kann, um "verwaiste" Registry-Einträge zu entfernen, scheint ihm entgangen zu sein.

Wann aber ist ein Registry-Eintrag "verwaist"?
Wenn es die dazugehörenden Dateien/Programme nicht mehr gibt.

Grundsätzlich gilt für Registry-Einträge im Zusammenhang (nicht nur) mit Schädlingen das hier:
Registry-Schlüssel alleine bewirken nicht, dass ein Programm (egal, ob schädlich oder nützlich) seine Tätigkeit entfalten kann.

Dies geht nur, wenn es auch das entsprechende Programm dazu auf dem Computer gibt.

Schlüssel also zu löschen kann zwar im allergünstigsten Fall bewirken, dass die dazugehörenden Dateien nicht mehr initialisiert werden können.

Doch gilt dies auch nur dann, wenn es nicht noch andere Schädlinge gibt, die dafür Sorge tragen, dass gelöschte Schädlinge und deren Registry-Einträge erneuert werden.

Hintermänner liegen hier aber eindeutig vor - sonst hättest du nicht feststellen müssen, dass die gelöschten Dateien dennoch wieder auftauchen.

Je nachdem, worauf sich die zitierten Registry-Schlüssel beziehen, kann das Löschen der Schlüssel genauso witzlos wie das Löschen der Dateien sein, solange es noch andere Schädlinge auf dem Rechner gibt, deren Aufgabe es ist, durch Kontakt mit dem Internet "nachzuladen".

Da ich bis jetzt auch nicht ansatzweise etwas darüber gelesen habe, dass Hintermänner entfernt wurden und ich auch sonst bis jetzt eher Hilflosigkeit (seitens des Fragestellers) und oberflächliche Reinigungsvorschläge (Prosseco) als KnowHow erkennen kann, bleibt mir nur dieses Zwischenfazit:

Schädlinge wurden entweder nicht oder nur oberflächlich bekämpft - der gegenwärtige Zustand ist eher eine Art "Zwittertum" und es bleibt die Unsicherheit, auf einen infiltrierten Rechner zu sitzen.

Ich finde das Ganze ja durchaus spannend und schaue selber gerne mal in infizierte Rechner hinein, um mitzubekommen, wie sich Schädlinge festsetzen - aber bevor man sich zur manuellen Entfernung anbietet, sollte man erst mal für sich geklärt haben, ob das eigene Wissen sowie die persönliche Bereitschaft, seine Hilfe auch sorgsam durchzuführen das auch hergibt.

Sonst kommt nur Stückwerk heraus.

Um einen gesperrten Registry-Schlüssel dennoch zu löschen, schaue dir auf dieser Seite ganz unten den Abschnitt "Zugriffsberechtigungen anpassen" an.

http://www.wintotal.de/Artikel/registry/registry.php

Kann dir aber nur empfehlen, die Daten zu sichern und das System neu aufzusetzen.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Wäääh.. : Nicht schon wieder.. gaopdxserv lässt sich übrigens jetzt ... Lönie
Jetzt muss ich meinen Vater schon wieder um seine EXT anbetteln.. Hört sich ... shrek3
Seit mehr als 5 Jahren habe ich alle Fiesslinge zur Leibe gerrueckt. Habe ... Prosseco
Hallo. Das ist höchstwahrscheinlich nicht die erste Infektion, aber mein ... Lönie