Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

PC mit Gaopdx und Co. infiziert? Hilfe bei Entfernung!

Lönie / 9 Antworten / Flachansicht Nickles

Hallo und guten Abend,

ich glaube, mein System hat es diesmal erwischt.
Als ich heute wieder unbesorgt mit meinem FF (3.1 Beta 3) durchs Internet surfte, fiel mir auf einmal auf, dass die Google-Suche nicht mehr funktionierte.

Ich konnte beliebige Begriffe eingeben, sobald ich auf eins der Suchergebnisse klickte, öffnete sich ein neuer Tab mit der gleichen Suchergebnissseite.
Einmal wurde ich, als ich das Firefox-Google aufrufen sollte, auch unendlich lang zwischen google.de und google.com umgeleitet, bis Firefox den Ladevorgang abbrach.

Entnervt startete ich einen Komplettscan mit meinem Antivir (Free). Viren direkt fand es nicht, dafür aber drei versteckte Dateien, darunter

gaopdxcounter
eine .dll mit gaopdx im Namen und
eine .sys mit gaopdx im Namen.

Seit diese in der Quarantäne verschwunden sind, funktioniert die Google-Suche wieder.
Ich habe sie entfernen lassen, aber bei wiederholtem Scannen tauchen sie immer wieder auf :(

Eine Suche nach dem Namen ergab, dass ich mir ein russisches
Rootkit-Spy-Malware-Dings eingefangen habe.

Wie kriege ich's jetzt wieder weg?
Software wie Malware-Bytes Anti-Malware lässt sich nicht starten..

-------------------------------------------------------------------------------------------------------
Der REPORT des RootkitUnhooker

>SSDT State
NtCreateKey
Actual Address 0xBA690EC6
Hooked by: Unknown module filename

NtCreateThread
Actual Address 0xBA690EBC
Hooked by: Unknown module filename

NtDeleteKey
Actual Address 0xBA690ECB
Hooked by: Unknown module filename

NtDeleteValueKey
Actual Address 0xBA690ED5
Hooked by: Unknown module filename

NtEnumerateKey
Actual Address 0xB9EC6CA2
Hooked by: spxy.sys

NtEnumerateValueKey
Actual Address 0xB9EC7030
Hooked by: spxy.sys

NtLoadKey
Actual Address 0xBA690EDA
Hooked by: Unknown module filename

NtOpenKey
Actual Address 0xB9EA80C0
Hooked by: spxy.sys

NtOpenProcess
Actual Address 0xBA690EA8
Hooked by: Unknown module filename

NtOpenThread
Actual Address 0xBA690EAD
Hooked by: Unknown module filename

NtQueryKey
Actual Address 0xB9EC7108
Hooked by: spxy.sys

NtQueryValueKey
Actual Address 0xB9EC6F88
Hooked by: spxy.sys

NtReplaceKey
Actual Address 0xBA690EE4
Hooked by: Unknown module filename

NtRestoreKey
Actual Address 0xBA690EDF
Hooked by: Unknown module filename

NtSetValueKey
Actual Address 0xBA690ED0
Hooked by: Unknown module filename

NtTerminateProcess
Actual Address 0xBA690EB7
Hooked by: Unknown module filename

>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0xBA2499CB
Size: 1589
Unknown page with executable code
Address: 0xBA24B3C4
Size: 3132
>Files
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\fabs_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\mxdba_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\installation.ini Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\MusicMaker.ini Status: Hidden
Suspect File: C:\WINDOWS\system32\drivers\gaopdxfwvymrdhosewswibrxoyyjbiqqnocwnt.sys Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxcounter Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxtrpbpixdoexrmmqsdkyprqtobdwyryxy.dll Status: Hidden
>Hooks
ntkrnlpa.exe-->IofCallDriver, Type: Inline - RelativeJump at address 0x804EF196 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->IofCompleteRequest, Type: Inline - RelativeJump at address 0x804EF226 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->NtFlushInstructionCache, Type: Inline - RelativeJump at address 0x805B6806 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->recv, Type: Inline - RelativeJump at address 0x71A1676F hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->send, Type: Inline - RelativeJump at address 0x71A14C27 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSARecv, Type: Inline - RelativeJump at address 0x71A14CB5 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSASend, Type: Inline - RelativeJump at address 0x71A168FA hook handler located in [unknown_code_page]
[808]explorer.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification at address 0x01001268 hook handler located in [shimeng.dll]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

-------------------------------------------------------------------------------------------------------

Bittet um Hilfe,

Lönie

bei Antwort benachrichtigen
Prosseco shrek3 „ Hört sich fast so an, als wäre dies nicht die erste Infektion. Da würde ich...“
Optionen

Seit mehr als 5 Jahren habe ich alle Fiesslinge zur Leibe gerrueckt. Habe alles versucht und auch ausprobiert. Wenn die Schluessel weg sind, dann kann es nicht initialisiert werden. Vielleicht habe ich aus Zeitnot nicht alles fertig geschrieben.

Nur nach dem loeschen wie ich in den Links von Symantec postete, steht auch drauf was man tun sollte.

Diese alte Zerkratzte Cd (das ewige wiederholen) von Neuinstall oder kein Vertrauenwuerdiges System und das bla bla seit eh und je, wird langsam alt wie meine Uroma.

Viele leiden immer noch unter Paranoia. Kein Hacker der Welt interresiert ein PC von ein Ottonormalverbraucher. Fertig aus und Basta. Das gleiche wie mit Firewall, sei es Hard oder Soft. Das war und ist die Masche der Industrie damit die Leute schoen Geld ausgeben.

Aber wenn die Industrie von der Decke springt, springen dann alle hinterher. Ich habe noch nie fuer mich sei es ein antivir Programm oder Firewall benuetzt. Geschweige eine Internet Security Proggy. Ich surfe wie eh und je und kriege auch nichts dabei. Seit der Panik mache vom Blaster odet Netsky, sprangen alle wie Heuschrecken rum wegen die Sicherheit.

Ein befall kriegt man nur wenn man was von Mail unbekannt runterlaedt, wenn man fragwuerdigen Seiten besucht, wenn man Cd von der Schule (Hausaufgaben)an sein PC installiert, oder wenn man ein versuechten PC schoen Brav weiterhin rumsurft.

Gruss
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen