Hallo zusammen,

die den Regeln folgenden Schritte habe ich intensiv gelesen und auch versucht, diese umzusetzen.

Ergebnis:

- Defogger funktioniert und gibt auch ein Log aus, dann Neustart.

- Beide Varianten des DDS funktionieren nur bis der Fortschrittsbalken ca. 70 % erreicht hat, dann hängt sich das System komlett auf ( nur Mauszeiger funktioniert noch). => Resettaste

- Habe dennoch GMER versucht ( Bitdefender soweit wie möglich deaktiviert und Malewarebytes geschlossen, alle anderen Programme geschlossen). GMER ( hat bei mir den Namen Theodor.exe bekommen) hängt sich und das System nach ca. 15 Sekunden auf. Kurz vorher versucht GMER auf die DVD- Laufwerke zuzugreifen. => Resettaste Anmerkung: Habe gestern bereits in verschiedenen Foren nachgelesen und auch von GMER bei mir die MBR.exe gestartet: Kurz vor Einfrieren erfolgt im Fenster die Meldung "EA- Geraetefehle"; die Logs bleiben leer. Beim Start im abgesicherten Modus gleiches Ergebnis.

Kurze Info zu meinem System:

- Windows XP SP3 32Bit mit allen aktuellen Updates
- Verwendung des IE8
- Virenscanner Total Scurity 2010 von Bitdefender, aktuell
- Seit 18.02. aktuelle Version von Malwarebytes installiert, dafür Spybot deinstalliert.
- Festplatten und 2 CD- Laufwerke sind SCSI
- Internetzugang erfolgt über Fritz!- Software


Nun zu meinem Problem:

Vor 10 Tagen habe ich bei einer Google- Suche auf einer renommierten Seite einen Scriptangriff erlebt (Script.SWF.Cxx). Mein Bitdefender hat dieses erkannt und gesperrt. Habe sofort die Internetverbindung gekappt = Kabel gezogen. Nichts destotrotz versuchte anschließend eine Anwendung unter verschiedenen Namen wie renovator.exe oder licensevalidator.exe usw. im 20 Sekunden- Rythmus sich in der Registry einzutragen. Killen der Prozesse brachte nichts. Bitdefender hat dies jedoch alles geblockt. Nur eine Betätigung des Ausschaltknopfes konnte dies beenden. Nach erneutem Hochfahren war Ruhe. Habe ungefähr 20 Dateien in meinen Dokumentenverzeichnissen mit diesen verschiedenen Namen gefunden und mit Safeerase gelöscht. Ein Registryscan zeigte keinerlei Einträge o.ä. dieser Dateien. Komisch war nur, dass in der Wiederherstellungskonsole alle bisherigen Sicherungen weg waren und ich das System nicht auf ein älteres Datum zurücksetzen konnte. Habe die Wiederherstellungskonsole dann für alle Laufwerke deaktiviert und ist seitdem deaktiviert.

Habe anschließend einen tiefen Systemscan mit Bitdefender und Spybot durchgeführt. Keine Auffälligkeiten. Somit war es für mich erst mal gut.

Seit Freitag habe ich dann ungewöhnliche eigenständige Internetaktivitäten im Fritzfenster festgestellt. Es wurden jeweils Dateien in der Größenordnung von ca. 3-5 MB heruntergeladen. Bitdefender oder der I.E. waren dies nicht. Ein Komplettscan des Systemlaufwerkes ergab keinerlei Hinweis auf eine erstellte oder geänderte Datei im fraglichen Zeitraum. Da wurde ich stutzig.

Habe dann Spybot entfernt und Malwarebytes Vollversion installiert. Beim ersten System- Vollcheck wurde dann in einem ewig nicht benutzten Verzeichnis die Malware "Worm.Koobface" gefunden und in Quarantäne gestellt. Prompt hat dann auch Bitdefender diesen erkannt und aktiv gemault.

Danach ging meine Suche los:

1.) Malwarebytes: Keine Risiken bzw. Befunde

2.) Bitdefender Online- Scanner durchlaufen lassen: Keine Risiken bzw. Befunde

3.) Sophos Antirootkit, Ergebnis = SP3- Dateien als "Hidden files" in einer wenig benutzten Partition im Service Pack- Verzeichnis von SP3 deklariert. Habe keine Aktion getätigt.

4.) TDSS- Killer: Keine Risiken bzw. Befunde

5.) McAfee Stinger: Keine Risiken bzw. Befunde

6.) GMER und MBR ( Ergebnis siehe oben)

7.) Netstat- Batch- Schleife geschrieben und heute folgende Auffälligkeit gefunden: static.175.73.40.188.clients.your-server.de:http wartend. Diese statische IP gehört zu einem Server in China.

(Alle verwendeten Programme entsprachen dem letzten Aktualisierungsstand.)

Zusatzinfo:

Habe vor einer Woche mit Gparted meine Systempartition erweitert. Hat alles bestens funktioniert, nur der Grafiktreiber hatte sich selbst repariert. ???

Vor ca. 1 Jahr hatte ich Probleme mit der 2. ( nicht System-) SCSI- Festplatte. Diese blieb häufig beim Datenzugriff für einige Sekunden "stehen" und erlaubte dann wieder den Zugriff. Habe dann alle Daten von dort auf eine IDE- Platte gesichert. Nach einigen Wochen war das Problem von selber weg und die Platte läuft seitdem wie am Schnürchen.


Abschließend meine Fragen:

a.) Funktioniert ggfs. GMER aufgrund meiner erweiterten SCSI- Systempartition oder der Verwendung von Gparted nicht richtig?

b.) Habe ich mir ein echt fieses MBR- Rootkit eingefangen?

c.) Ist die gefundene statische IP-Adresse bereits hinsichtlich Rootkits bekannt oder doch ganz harmlos?


Vielen Dank im voraus für Eure Unterstützung und Entschuldigung für die doch sehr detaillierte und lange Beschreibung.


Gruß

Maeusegreis

Liebe Kolleginnen und Kollegen,

dieses Thema bitte schließen.

Habe mein System aus Zeitgründen in professionelle Hände gegeben. Läuft wieder ohne Probleme.

Danke und Gruß


Maeusegreis

hi,
dein thema ist uns irgendwie entgangen, sorry dafür und beim nächsten mal gerne wieder melden :-)