Fehlercode 0x80070424 || Vermute ZeroAccess / Max++ / Smiscer Crimeware Rootkit

Kosch1

Topic:
Fehlercode 0x80070424 || Vermute ZeroAccess / Max++ / Smiscer Crimeware Rootkit

System:
i7-950, 24gig-Ram, 2,9TB interne HDD, 1TB & 400MB(Treiber, Programmsicherungungen usw.) externe HDD, Windows 7 Pro (x64) MSDNAA-Studentenlizenz

Beschreibung:
Seit etwa 2-3 Wochen habe ich das Problem, dass sich beim Öffnen von Firefox (damals Version 10.0.0, jetzt 10.0.2) ein zusätzlicher Tab mit der Seite: „*truedig*dragonflym.c**/c/DE/hier_war_meistens_eine_seltsame_weiterleitungsseite?k=*hier_war_ein_mehrstelliger_zahlencode" aufgegangen ist. Ich habe das damals auf das neue Update von Firefox bezogen, und augenblicklich No-Script, Flashblock und ABP aktualisiert, ohne Erfolg. Jedes Mal, wenn ich einen Tab öffne oder etwas in die Searchbar eingebe öffnet sich besagte Seite, bzw. nach einiger Zeit stelle ich ein Redirecting mit ähnlichem Inhalt fest. Zeitgleich fiel mir auf, dass die CPU-Auslastung überdurchschnittlich hoch auffällt. Da ich für mein Studium gerade sehr viel am PC arbeite und wenig spiele ist mir auch nicht aufgefallen, dass sich sämtliche Spiele nicht mehr starten lassen. AVG Internet Security 2011 (lizensiert, ständig geupdated, ein Scan die Woche) spuckte, neben den üblichen Warnungen aber keine Fehler aus.
Als ich den Rechner vor 11 Tagen am Morgen starten wollte, konnte Windows nicht mehr geladen werden. Ich hatte lediglich die Möglichkeit, die Systemwiederherstellungskonsole zu benutzen, diese hat sich dann einfach aufgehängt. Ein Neustart im „abgesicherten Modus“ und das Deinstallieren des Nvidia Treibers, ich habe vor 12 Tagen eine 2. Grafikkarte für 3 Monitore installiert, sollte das Problem lösen. Nach 2 Tagen konnte ich AVG, das ich mehr aus Zufall deinstalliert habe, reproduzierbar als den Übeltäter ausmachen. Der Rechner bootete wieder ganz normal.

Da ich gerade in meiner „heißen Projektphase“ bin, wollte ich eine Neuinstallation auf Ende Februar verschieben und hab halt in Kauf genommen, dass ich keinen Virenscanner habe. Eine zeitweise Installation von Avira AntiVir Free brachte zwar schön im 10 Minutentakt die Meldung, dass 2 Trojaner in SysWOW64 [win32.exe] und [TR/Crypt.XPACK.Gen] gefunden und gelöscht, bzw. in Quarantäne gebracht worden seien, am Verhalten des Browsers änderte sich nichts. Überhaupt wurden in diesem Ordner allerhand Sachen gefunden. So wurde zum Beispiel auch der VPN-Client für unseren Uni-Server also mittlere Bedrohung gleich mal geblockt.

Mittlerweile bin ich mit meinen Film-Projekten soweit fortgeschritten, dass ich den Terabyte-Bereich erreicht habe, der Rechner aber quälend langsam wird, teilweise freezen Prozesse und Programme, ein Kick-Off ist manchmal die einzige Lösung.
In den letzten Tagen habe ich immer wieder halbherzige Versuche gestartet, das System wenigstens soweit stabil zu halten, dass ich meine Filmprojekte abschließen kann. Dabei hab ich vermutlich so ziemlich sämtliche Lösungen auf eurem Board durchgearbeitet, nahezu jedes der beschriebenen Programme ausprobiert, eine Lösung hab ich bis dato nicht.
Durch das fortwährende Deinstallieren der Scanner hab ich leider auch die meisten Logs verloren, kann also nicht wirklich viel mehr vorweißen, als eine momentane Bestandsaufnahme. Ich bin durchaus erfahren im Umgang mit Internet und PCs, auch in Hinblick auf Sicherheit, Ports und Dienste werden nach dem Neuaufsetzen des Rechners als erstes gesichert und angepasst, aber dieses Mal hats mich wirklich böse erwischt. Ich würde lügen, wenn ich behaupten würde, dass ich noch nie auf einer zweifelhaften Seite war, allerdings, seit ich den PC vor etwa 4 Monaten neu aufgesetzt hab, kann ich das nahezu ausschließen. Eine mögliche Ansteckungsgefahr sehe ich an unseren studieninternen Rechnern – wir sind durch die Größe unserer Projekte oft dazu gezwungen mit externen Speichermedien zu arbeiten, und nicht nur einmal hatte mein AVG danach alle Hände voll zu tun. (Autorun ist übrigens mittlerweile bei den externen Platten und beim Handy deaktiviert.)
Heute Morgen hab ich mit CCleaner folgende Programmen und die dazugehörigen Schlüssel entfernt:

C:\user\***\appdata\logal\akimai\netsession_win.exe [Ist ein Download-Programm für ein Free2play-Spiel, das ich vor langem mal spielen wollte]
c:\ProgramFiles (x86)\Internet\akimai\Netsession Client\ [dito]
DTLite [DaemonToolsLight vollständig, weil der Treiber beim Systemscan Probleme machen könnte, TDS hats auch prompt als mittlere Bedrohung eingestuft und wollte „sptd.sys“ löschen]
Ati2evxx.exe [und dazügehörigen Dienst, hatte beim Testen mit den Grakas auch eine ATI im Rechner]
Außerdem habe ich einige Autostarts, wie JavaUpdate und Mobile-Unterstützung deaktiviert, ich denke aber nicht, dass das besonders relevant ist, ein gänzlich unbekannter Dienst, Prozess oder gar ein Programm, das ich nicht kenne, ist mir nicht über den Weg gelaufen. Mir ist aufgefallen dass in letzter Zeit sehr sehr häufig PING.EXE lief und auch ordentlich gearbeitet hat. Da es sich aber in System32 befindet, hab ich das nicht so sehr beachtet.

Bei der Reinigungsaktion heute ist mir auch das erste Mal aufgefallen, dass keine bordeigenen Sicherheits-Werkzeuge von Windows aktivierbar sind. Das Windows-Update geht als einziger Service noch, alles andere spuckt besagten Fehlercode 0x80070424 aus.

Nach einer Bearbeitung mit Rkill, TDSS-Killer, Anti-Maleware, und CCleaner[/B] scheint das meiste verschwunden, allerdings, ist der Rechner immer noch laggie, Windowssicherheitsdienste wie Bitdefender und die Firewall lassen sich nicht aktivieren und Internet ist gefühlt langssam, sprich, ich trau dem nicht für 5 Cent, auch wenn keiner der Scanner mitlerweile mehr anschlägt.

Was ich mir von euch erhoffe:
Eine Lösung die im Optimalfall bis zum Ende des Monats durchhält, eine Neuinstallation ist durch die Verteilung der Projekt-Materialien nahezu unmöglich ohne meine Filme ernsthaft zu gefährden. Außerdem werde ich definitiv Hilfe dabei brauchen, das System neu aufzuspielen, wenn es so weit ist. Ich mach mir Sorgen, weil ich weiß, dass vermutetes Rootkit auch MBR-resistent und aber auch kaskadierend zu sein scheint, ich also nicht mal ausschließen könnte, dass es sich auf meinen Platten versteckt, auf denen nur Studien-Unterlagen und Material, also keine ausführbaren Daten gespeichert sind und ich die nicht einfach mal löschen kann.

Anbei Logs, die ich noch finden konnte, bzw. heute aktuell mit dds und mbam und Sophos tools angefertigt habe.
Ich steh euch natürlich rund um die Uhr zur Verfügung, sollten Fragen und Anregungen auftauchen.
Ich entschuldige mich für die sehr ausführliche Beschreibung, ich dachte, da ich keine wirklich aussagekräftigen Logs liefern kann, versuche ich so präzise wie möglich, die Situation zu beschreiben.
Und ein ganz fettes Dankeschön im Voraus, ich bin der PC-Heilemacher in meinem Umfeld und weiß, wie anstrengend es ist, Probleme aus der Ferne zu diagnostizieren und dafür nichts als einen imaginären, warmen Händedruck zu bekommen! ^.^

Kosch, ein klein wenig verzweifelt.

PS: Aktuelle Sophos_Logs kommen nach, ich schick das mal ab, dann kann mal jemand reinschauen, wenn Zeit ist... ^^