Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

PC mit Gaopdx und Co. infiziert? Hilfe bei Entfernung!

Lönie / 9 Antworten / Flachansicht Nickles

Hallo und guten Abend,

ich glaube, mein System hat es diesmal erwischt.
Als ich heute wieder unbesorgt mit meinem FF (3.1 Beta 3) durchs Internet surfte, fiel mir auf einmal auf, dass die Google-Suche nicht mehr funktionierte.

Ich konnte beliebige Begriffe eingeben, sobald ich auf eins der Suchergebnisse klickte, öffnete sich ein neuer Tab mit der gleichen Suchergebnissseite.
Einmal wurde ich, als ich das Firefox-Google aufrufen sollte, auch unendlich lang zwischen google.de und google.com umgeleitet, bis Firefox den Ladevorgang abbrach.

Entnervt startete ich einen Komplettscan mit meinem Antivir (Free). Viren direkt fand es nicht, dafür aber drei versteckte Dateien, darunter

gaopdxcounter
eine .dll mit gaopdx im Namen und
eine .sys mit gaopdx im Namen.

Seit diese in der Quarantäne verschwunden sind, funktioniert die Google-Suche wieder.
Ich habe sie entfernen lassen, aber bei wiederholtem Scannen tauchen sie immer wieder auf :(

Eine Suche nach dem Namen ergab, dass ich mir ein russisches
Rootkit-Spy-Malware-Dings eingefangen habe.

Wie kriege ich's jetzt wieder weg?
Software wie Malware-Bytes Anti-Malware lässt sich nicht starten..

-------------------------------------------------------------------------------------------------------
Der REPORT des RootkitUnhooker

>SSDT State
NtCreateKey
Actual Address 0xBA690EC6
Hooked by: Unknown module filename

NtCreateThread
Actual Address 0xBA690EBC
Hooked by: Unknown module filename

NtDeleteKey
Actual Address 0xBA690ECB
Hooked by: Unknown module filename

NtDeleteValueKey
Actual Address 0xBA690ED5
Hooked by: Unknown module filename

NtEnumerateKey
Actual Address 0xB9EC6CA2
Hooked by: spxy.sys

NtEnumerateValueKey
Actual Address 0xB9EC7030
Hooked by: spxy.sys

NtLoadKey
Actual Address 0xBA690EDA
Hooked by: Unknown module filename

NtOpenKey
Actual Address 0xB9EA80C0
Hooked by: spxy.sys

NtOpenProcess
Actual Address 0xBA690EA8
Hooked by: Unknown module filename

NtOpenThread
Actual Address 0xBA690EAD
Hooked by: Unknown module filename

NtQueryKey
Actual Address 0xB9EC7108
Hooked by: spxy.sys

NtQueryValueKey
Actual Address 0xB9EC6F88
Hooked by: spxy.sys

NtReplaceKey
Actual Address 0xBA690EE4
Hooked by: Unknown module filename

NtRestoreKey
Actual Address 0xBA690EDF
Hooked by: Unknown module filename

NtSetValueKey
Actual Address 0xBA690ED0
Hooked by: Unknown module filename

NtTerminateProcess
Actual Address 0xBA690EB7
Hooked by: Unknown module filename

>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0xBA2499CB
Size: 1589
Unknown page with executable code
Address: 0xBA24B3C4
Size: 3132
>Files
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\fabs_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\mxdba_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\installation.ini Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\MusicMaker.ini Status: Hidden
Suspect File: C:\WINDOWS\system32\drivers\gaopdxfwvymrdhosewswibrxoyyjbiqqnocwnt.sys Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxcounter Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxtrpbpixdoexrmmqsdkyprqtobdwyryxy.dll Status: Hidden
>Hooks
ntkrnlpa.exe-->IofCallDriver, Type: Inline - RelativeJump at address 0x804EF196 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->IofCompleteRequest, Type: Inline - RelativeJump at address 0x804EF226 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->NtFlushInstructionCache, Type: Inline - RelativeJump at address 0x805B6806 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->recv, Type: Inline - RelativeJump at address 0x71A1676F hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->send, Type: Inline - RelativeJump at address 0x71A14C27 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSARecv, Type: Inline - RelativeJump at address 0x71A14CB5 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSASend, Type: Inline - RelativeJump at address 0x71A168FA hook handler located in [unknown_code_page]
[808]explorer.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification at address 0x01001268 hook handler located in [shimeng.dll]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

-------------------------------------------------------------------------------------------------------

Bittet um Hilfe,

Lönie

bei Antwort benachrichtigen
Lönie shrek3 „ Hört sich fast so an, als wäre dies nicht die erste Infektion. Da würde ich...“
Optionen

Hallo.

Das ist höchstwahrscheinlich nicht die erste Infektion, aber mein Betriebssystem hat in den Anfangsmonaten meines neuen Computers so oft verkackt (einmal zerstörte ein BackUp-Programm irgendeine wichtige .sys-Datei, einmal fand er die Festplatte nicht mehr etc), dass ich das mit dem neu Aufsetzen fast schon gewöhnt bin.

Dieses System läuft jetzt allerdings seit einem halben Jahr rund. Wäre traurig, es zu verlieren. Ich markiere den Thread erstmal als beantwortet, danke für eure Hilfe!

Interessant, was für verschiedene Ansichten es über reale und erfundene Gefahren im Internet so alles gibt. Die ideale Lösung wären doch eigentlich zwei voneinander unabhängige Computer, der eine zum Arbeiten und die Eigenen Dateien (OHNE Internet) und der andere zur Unterhaltung und Internetanbindung..

bei Antwort benachrichtigen