Viren, Spyware, Datenschutz 11.250 Themen, 94.778 Beiträge

Verfolgung starten Optionen

PC mit Gaopdx und Co. infiziert? Hilfe bei Entfernung!

Lönie / 9 Antworten / Baumansicht Nickles

Hallo und guten Abend,

ich glaube, mein System hat es diesmal erwischt.
Als ich heute wieder unbesorgt mit meinem FF (3.1 Beta 3) durchs Internet surfte, fiel mir auf einmal auf, dass die Google-Suche nicht mehr funktionierte.

Ich konnte beliebige Begriffe eingeben, sobald ich auf eins der Suchergebnisse klickte, öffnete sich ein neuer Tab mit der gleichen Suchergebnissseite.
Einmal wurde ich, als ich das Firefox-Google aufrufen sollte, auch unendlich lang zwischen google.de und google.com umgeleitet, bis Firefox den Ladevorgang abbrach.

Entnervt startete ich einen Komplettscan mit meinem Antivir (Free). Viren direkt fand es nicht, dafür aber drei versteckte Dateien, darunter

gaopdxcounter
eine .dll mit gaopdx im Namen und
eine .sys mit gaopdx im Namen.

Seit diese in der Quarantäne verschwunden sind, funktioniert die Google-Suche wieder.
Ich habe sie entfernen lassen, aber bei wiederholtem Scannen tauchen sie immer wieder auf :(

Eine Suche nach dem Namen ergab, dass ich mir ein russisches
Rootkit-Spy-Malware-Dings eingefangen habe.

Wie kriege ich's jetzt wieder weg?
Software wie Malware-Bytes Anti-Malware lässt sich nicht starten..

-------------------------------------------------------------------------------------------------------
Der REPORT des RootkitUnhooker

>SSDT State
NtCreateKey
Actual Address 0xBA690EC6
Hooked by: Unknown module filename

NtCreateThread
Actual Address 0xBA690EBC
Hooked by: Unknown module filename

NtDeleteKey
Actual Address 0xBA690ECB
Hooked by: Unknown module filename

NtDeleteValueKey
Actual Address 0xBA690ED5
Hooked by: Unknown module filename

NtEnumerateKey
Actual Address 0xB9EC6CA2
Hooked by: spxy.sys

NtEnumerateValueKey
Actual Address 0xB9EC7030
Hooked by: spxy.sys

NtLoadKey
Actual Address 0xBA690EDA
Hooked by: Unknown module filename

NtOpenKey
Actual Address 0xB9EA80C0
Hooked by: spxy.sys

NtOpenProcess
Actual Address 0xBA690EA8
Hooked by: Unknown module filename

NtOpenThread
Actual Address 0xBA690EAD
Hooked by: Unknown module filename

NtQueryKey
Actual Address 0xB9EC7108
Hooked by: spxy.sys

NtQueryValueKey
Actual Address 0xB9EC6F88
Hooked by: spxy.sys

NtReplaceKey
Actual Address 0xBA690EE4
Hooked by: Unknown module filename

NtRestoreKey
Actual Address 0xBA690EDF
Hooked by: Unknown module filename

NtSetValueKey
Actual Address 0xBA690ED0
Hooked by: Unknown module filename

NtTerminateProcess
Actual Address 0xBA690EB7
Hooked by: Unknown module filename

>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0xBA2499CB
Size: 1589
Unknown page with executable code
Address: 0xBA24B3C4
Size: 3132
>Files
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\fabs_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Common\Database\FABS\mxdba_service.log Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\installation.ini Status: Hidden
Suspect File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\mm2008_silver\MusicMaker.ini Status: Hidden
Suspect File: C:\WINDOWS\system32\drivers\gaopdxfwvymrdhosewswibrxoyyjbiqqnocwnt.sys Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxcounter Status: Hidden
Suspect File: C:\WINDOWS\system32\gaopdxtrpbpixdoexrmmqsdkyprqtobdwyryxy.dll Status: Hidden
>Hooks
ntkrnlpa.exe-->IofCallDriver, Type: Inline - RelativeJump at address 0x804EF196 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->IofCompleteRequest, Type: Inline - RelativeJump at address 0x804EF226 hook handler located in [unknown_code_page]
ntkrnlpa.exe-->NtFlushInstructionCache, Type: Inline - RelativeJump at address 0x805B6806 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->recv, Type: Inline - RelativeJump at address 0x71A1676F hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->send, Type: Inline - RelativeJump at address 0x71A14C27 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSARecv, Type: Inline - RelativeJump at address 0x71A14CB5 hook handler located in [unknown_code_page]
[4092]firefox.exe-->ws2_32.dll-->WSASend, Type: Inline - RelativeJump at address 0x71A168FA hook handler located in [unknown_code_page]
[808]explorer.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification at address 0x01001268 hook handler located in [shimeng.dll]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

-------------------------------------------------------------------------------------------------------

Bittet um Hilfe,

Lönie

bei Antwort benachrichtigen
Prosseco Lönie „PC mit Gaopdx und Co. infiziert? Hilfe bei Entfernung!“
Optionen

Es ist der W32.Tidserv.G.

Loesche diese Eintraege

start
ausfuehren
Regedit eintippen unddann danach diese Schleussel suchen.

HKEY_LOCAL_MACHINE\SOFTWARE\gaopdx
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\services\gaopdxserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\enum\root\legacy_gaopdxserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\"PendingFileRenameOperations" = "[RANDOM HEXADECIMAL CHARACTERS]"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSISERVER\0000\Control\"ActiveService" = "MSIServer"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\"PendingFileRenameOperations" = "[RANDOM HEXADECIMAL CHARACTERS]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSISERVER\0000\Control\"ActiveService" = "MSIServer"

Wegen dein surfen wechselt der Fiesslind die DNS wie hier:

85.255.112.67
85.255.112.170
85.255.112.60
85.255.112.82


Damit kann man auch sehen wie ein Antivirus funktioniert. Dein Antivir meldet nichts aber er findet versteckte Dateien, wie zum Kuckcuck kann ein User wissen oder diese Versteckte Dateien Gut oder boese sind.

Solltest mal ein anderes Antivirus nehmen und den System Restore auswschalten, dann im Abgesichertes Modus scannen lassen.

Gruss
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Lönie Prosseco „Es ist der W32.Tidserv.G. Loesche diese Eintraege start ausfuehren Regedit...“
Optionen

Danke für die schnelle Hilfe!

Das mit der DNS hab ich mit HijackThis relativ schnell nach Absenden des Beitrags herausgefunden und gefixt.
Per RootkitUnhooker hab ich die Dateien des Trojaners dann ausfindig gemacht und per "Wipe File" unschädlich gemacht (hoffe ich).

Das Anti-Malware-Programm lässt sich ebenfalls wieder starten, während des Scanvorgangs beschwerte sich mein Antivir wiederholt über einen Trojaner namens TR/TDss.xwm in irgendeiner Datei des RECYCLER-Ordners von WINDOWS. Hängt der irgendwer mit meinem Erstschädling zusammen?

Bzgl. deiner Registry-Tipps: Was soll ich denn nun machen? Die betreffenden Einträge löschen, ändern oder was?
Ich hab löschen versucht, aber der Schlüssel "legacy_gaopdxserv.sys" lässt sich nicht löschen...

Lönie

bei Antwort benachrichtigen
Prosseco Lönie „Danke für die schnelle Hilfe! Das mit der DNS hab ich mit HijackThis relativ...“
Optionen

Im abgesichertes Modus gehen und dort wieder Regedit, versuchen danach es zu loeschen.

Wegen die obengenannte Schluessel, die lezten einfach loeschen.
So fuer einige gebe ich auch ein beispiel wie die industrie uns fuer Narren haelt.

Unter diesen Link auf englisch wenn ich im Such Fenster "gaopdx" eingebe, kommt das rausim unteren Link.

http://searchg.symantec.com/search?q=gaopdx&charset=utf-8&proxystylesheet=symc_en_US&client=symc_en_US&hitsceil=100&site=symc_en_US&output=xml_no_dtd&context=gbh

Gebe ich aber in symantec.com, "gaopdx" ein aber in Deutsche Sprache, kommt das raus:

http://searchg.symantec.com/search?q=gaopdx&hitsceil=100&entqr=0&output=xml_no_dtd&sort=date%3AD%3AL%3Ad1&lr=lang_de&client=symc_de_DE&charset=utf-8&ud=1&context=gbh&oe=UTF-8&ie=UTF-8&proxystylesheet=symc_de_DE&site=symc_de_DE

Komisch oder ?

English ja und in Deutsch nichts.

Gruss
Sascha


Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Lönie Prosseco „Im abgesichertes Modus gehen und dort wieder Regedit, versuchen danach es zu...“
Optionen

Hallo!

Die Industrie ist nicht vertrauenswürdig..

Im abgesicherten Modus (mit Netzwerktreibern) lässt sich gaopdxserv.sys auch nicht löschen, immer die gleiche Meldung: "Fehler beim Löschen des Schlüssels".

Wie stellt man die Systemwiederherstelllung denn jetzt aus?
Als Administrator finde ich auch nichts..

Mein Antivir und auch die anderen Sachen melden allerdings keinen Befall mehr! :)
Aber die Industrie ist ja bekanntlich nicht vertrauenswürdig.
Ich check in zwei Tagen nochmal alles nach, dann markiere ich den Thred hier als gelöst.
Schon mal ein großes Dankeschön an dich, Sascha.

Lönie (Lennart)

bei Antwort benachrichtigen
shrek3 Lönie „Hallo! Die Industrie ist nicht vertrauenswürdig.. Im abgesicherten Modus mit...“
Optionen
Im abgesicherten Modus (mit Netzwerktreibern) lässt sich gaopdxserv.sys auch nicht löschen

So ist das oft mit den Informationen, die man auf den Webseiten der "nicht vertrauenswürdigen" Anti-Virenhersteller findet.

Vor allem deren Reinigungsanweisungen gehören dazu...

Wenn du auf den Link zu Symantec klickst, den Prosecco weiter oben gegeben hat, dann wirst du sehen, dass Symantec erst seit dem 22.03.09 überhaupt Kenntnis von diesem Schädling und am 25.03.09 quasi erste Erkenntnisse über ihn veröffentlicht hat.

Umso erstaunter (und skeptischer!) war ich, dass da jetzt schon so eine Art "kompletter Lösung" dieses Problems angeboten wird.

Wie "komplett" diese Lösung ist - sehen wir ja schon daran, dass es mit dem Löschen der Schlüssel in der Wirklichkeit doch noch ein wenig anders aussieht. :-(

Bedeutet u.U., dass die Programmierer dieser Schadsoftware bereits "nachgebessert" haben und diesen Schlüssel im Vergleich zu den anderen Schlüsseln besonders schützen wollen, weil er unverzichtbarer ist.

Ja, wenn dieser Schädling bereits seit 2 Jahren bekannt wäre und die letzte Info-Aktualisierung Symantecs zu diesem Schädling schon bsp. 6 Monate zurückläge - dann könnte man vermuten, dass da nichts Wesentliches mehr hinzukommt, weil die kriminellen Programmierer dieses Schädlings diesen nicht mehr weiterentwickeln.

Aber so...

Hinzu kommt - Prosseco schlägt dir im Gegensatz zu Symantec exakt die umgekehrte Reihenfolge vor, wie diesem Schädling zu Leibe zu rücken sei...

Während Symantec davon ausgeht, dass durch den Scan mit Norton erst sämtliche Schädlinge gelöscht werden sollen, bevor man in der Registry die dort vorhandenen Schlüssel entfernt, fängt Prosseco mit den Registry-Schlüsseln an und empfiehlt dir eher nebenbei, im abgesicherten Modus es mit einem anderen Virenprogramm zu versuchen.

Dass das Entfernen der Schlüssel hier eher als abschließender Akt zu bewerten ist, der durchgeführt werden kann, um "verwaiste" Registry-Einträge zu entfernen, scheint ihm entgangen zu sein.

Wann aber ist ein Registry-Eintrag "verwaist"?
Wenn es die dazugehörenden Dateien/Programme nicht mehr gibt.

Grundsätzlich gilt für Registry-Einträge im Zusammenhang (nicht nur) mit Schädlingen das hier:
Registry-Schlüssel alleine bewirken nicht, dass ein Programm (egal, ob schädlich oder nützlich) seine Tätigkeit entfalten kann.

Dies geht nur, wenn es auch das entsprechende Programm dazu auf dem Computer gibt.

Schlüssel also zu löschen kann zwar im allergünstigsten Fall bewirken, dass die dazugehörenden Dateien nicht mehr initialisiert werden können.

Doch gilt dies auch nur dann, wenn es nicht noch andere Schädlinge gibt, die dafür Sorge tragen, dass gelöschte Schädlinge und deren Registry-Einträge erneuert werden.

Hintermänner liegen hier aber eindeutig vor - sonst hättest du nicht feststellen müssen, dass die gelöschten Dateien dennoch wieder auftauchen.

Je nachdem, worauf sich die zitierten Registry-Schlüssel beziehen, kann das Löschen der Schlüssel genauso witzlos wie das Löschen der Dateien sein, solange es noch andere Schädlinge auf dem Rechner gibt, deren Aufgabe es ist, durch Kontakt mit dem Internet "nachzuladen".

Da ich bis jetzt auch nicht ansatzweise etwas darüber gelesen habe, dass Hintermänner entfernt wurden und ich auch sonst bis jetzt eher Hilflosigkeit (seitens des Fragestellers) und oberflächliche Reinigungsvorschläge (Prosseco) als KnowHow erkennen kann, bleibt mir nur dieses Zwischenfazit:

Schädlinge wurden entweder nicht oder nur oberflächlich bekämpft - der gegenwärtige Zustand ist eher eine Art "Zwittertum" und es bleibt die Unsicherheit, auf einen infiltrierten Rechner zu sitzen.

Ich finde das Ganze ja durchaus spannend und schaue selber gerne mal in infizierte Rechner hinein, um mitzubekommen, wie sich Schädlinge festsetzen - aber bevor man sich zur manuellen Entfernung anbietet, sollte man erst mal für sich geklärt haben, ob das eigene Wissen sowie die persönliche Bereitschaft, seine Hilfe auch sorgsam durchzuführen das auch hergibt.

Sonst kommt nur Stückwerk heraus.

Um einen gesperrten Registry-Schlüssel dennoch zu löschen, schaue dir auf dieser Seite ganz unten den Abschnitt "Zugriffsberechtigungen anpassen" an.

http://www.wintotal.de/Artikel/registry/registry.php

Kann dir aber nur empfehlen, die Daten zu sichern und das System neu aufzusetzen.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Lönie shrek3 „ So ist das oft mit den Informationen, die man auf den Webseiten der nicht...“
Optionen

Wäääh.. :(

Nicht schon wieder..

gaopdxserv lässt sich übrigens jetzt löschen.
Die Virendateien selbst hab ich ja bereits mit RootkitUnhooker entfernt.

Jetzt muss ich meinen Vater schon wieder um seine EXT anbetteln..

Traurig,

Lönie

bei Antwort benachrichtigen
shrek3 Lönie „Wäääh.. : Nicht schon wieder.. gaopdxserv lässt sich übrigens jetzt...“
Optionen
Jetzt muss ich meinen Vater schon wieder um seine EXT anbetteln..

Hört sich fast so an, als wäre dies nicht die erste Infektion.

Da würde ich erstens mein Verhalten im Netz überprüfen und zweitens über eine Image-Lösung nachdenken.

Zum sichereren Surfen könnte das hier weiterhelfen:
http://sicher-ins-netz.info/schutz/schutz.html

Ein Image-Programm hingegen ermöglicht es, ein sauberes Vollbackup des Betriebssystems innerhalb weniger Minuten wiederherzustellen.

Siehe auch hier:
http://www.nickles.de/v3/php_jobs/glossar.php3?id=1387

Bei Ebay gibt es die Vorgängerversion (Acronis True Image 10, bzw. 11) schon für kleines Geld.

gaopdxserv lässt sich übrigens jetzt löschen.
Die Virendateien selbst hab ich ja bereits mit RootkitUnhooker entfernt.

Tja, was kann man dazu sagen?
Natürlich kannst du die Schädlinge losgeworden sein - diese Möglichkeit besteht natürlich.
Gewissheit sieht jedoch anders aus.

Wie bist du überhaupt an diesen Schädling geraten?

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Prosseco shrek3 „ Hört sich fast so an, als wäre dies nicht die erste Infektion. Da würde ich...“
Optionen

Seit mehr als 5 Jahren habe ich alle Fiesslinge zur Leibe gerrueckt. Habe alles versucht und auch ausprobiert. Wenn die Schluessel weg sind, dann kann es nicht initialisiert werden. Vielleicht habe ich aus Zeitnot nicht alles fertig geschrieben.

Nur nach dem loeschen wie ich in den Links von Symantec postete, steht auch drauf was man tun sollte.

Diese alte Zerkratzte Cd (das ewige wiederholen) von Neuinstall oder kein Vertrauenwuerdiges System und das bla bla seit eh und je, wird langsam alt wie meine Uroma.

Viele leiden immer noch unter Paranoia. Kein Hacker der Welt interresiert ein PC von ein Ottonormalverbraucher. Fertig aus und Basta. Das gleiche wie mit Firewall, sei es Hard oder Soft. Das war und ist die Masche der Industrie damit die Leute schoen Geld ausgeben.

Aber wenn die Industrie von der Decke springt, springen dann alle hinterher. Ich habe noch nie fuer mich sei es ein antivir Programm oder Firewall benuetzt. Geschweige eine Internet Security Proggy. Ich surfe wie eh und je und kriege auch nichts dabei. Seit der Panik mache vom Blaster odet Netsky, sprangen alle wie Heuschrecken rum wegen die Sicherheit.

Ein befall kriegt man nur wenn man was von Mail unbekannt runterlaedt, wenn man fragwuerdigen Seiten besucht, wenn man Cd von der Schule (Hausaufgaben)an sein PC installiert, oder wenn man ein versuechten PC schoen Brav weiterhin rumsurft.

Gruss
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Lönie shrek3 „ Hört sich fast so an, als wäre dies nicht die erste Infektion. Da würde ich...“
Optionen

Hallo.

Das ist höchstwahrscheinlich nicht die erste Infektion, aber mein Betriebssystem hat in den Anfangsmonaten meines neuen Computers so oft verkackt (einmal zerstörte ein BackUp-Programm irgendeine wichtige .sys-Datei, einmal fand er die Festplatte nicht mehr etc), dass ich das mit dem neu Aufsetzen fast schon gewöhnt bin.

Dieses System läuft jetzt allerdings seit einem halben Jahr rund. Wäre traurig, es zu verlieren. Ich markiere den Thread erstmal als beantwortet, danke für eure Hilfe!

Interessant, was für verschiedene Ansichten es über reale und erfundene Gefahren im Internet so alles gibt. Die ideale Lösung wären doch eigentlich zwei voneinander unabhängige Computer, der eine zum Arbeiten und die Eigenen Dateien (OHNE Internet) und der andere zur Unterhaltung und Internetanbindung..

bei Antwort benachrichtigen