Ich spreche aus eiener Erfahrung->Rootkit
Neuaufsetzten hilft nur dann etwas, wenn dein System einigermassen sicher ist.
Es gibt Schädlinge die du durch das Formatieren nicht restlos weg bekommst.
Wenn dein System bereinigt ist kannst es Neuaufsetzen. Gehe dabei genau nach der Anleitung vor.

Antivir etc. schlagen bei vielen Fällen nur noch an, aber sind ab da an Machtlos.

Nachdem nun habe drüberlaufen lassen hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

11.01.2009 22:30:52
mbam-log-2009-01-11 (22-30-52).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 103983
Laufzeit: 1 hour(s), 52 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fci (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ICF (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntio256 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME2 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc5lvj0eva9 (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1lvj0eva9 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{19BC842C-7143-4BA6-A25E-1051B5C4F21E}\RP23\A0005022.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{19BC842C-7143-4BA6-A25E-1051B5C4F21E}\RP24\A0005147.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ati8waxx.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\irq5.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\caa4.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\dlc1.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\ifz4.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\jpy4.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\qcj4.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wbv1.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\yra1.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
         

Beim Beheben der Probleme kam folgende Meldung:

Code: Alles auswählenAufklappen

ATTFilter

Bestimmte Objekte konnten nicht entfernt werden! Die ersten paar Einträge werden unten aufgeführt.Alle Objekte, die nicht entfernt werden konnten wurden der Liste "Löschen bei Neustart" hinzugefügt. Bitte starten Sie Ihren Rechner jetzt neu. Eine Logdatei wurde im Logdateiverzeichnis gespeichert.

HKEY_LOCAL_MACHINE/System/ControlSet001/Services/ati8waxx
HKEY_LOCAL_MACHINE/System/ControlSet002/Services/ati8waxx
HKEY_LOCAL_MACHINE/System/ControlSet003/Services/ati8waxx
HKEY_LOCAL_MACHINE/System/ControlSet004/Services/ati8waxx
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/ati8waxx
         

Der Rechner wurde dann neu gestartet.

Während ich das hier tippe poppt im 2-Sekunden Takt der Avira-Guard auf und meldet diverse Trojaner.

Nachtrag: Ich habe nun auch F-Secure Blacklight drüber laufen lassen, aber hier wurde nichts gefunden.

Neues von der Front:

Heute morgen habe ich den Rechner im abgesicherten Modus gestartet und noch einmal mit Malewarebytes gescant:

Code: Alles auswählenAufklappen

ATTFilter

Scan type: Full Scan (C:\|)
Objects scanned: 102568
Time elapsed: 1 hour(s), 15 minute(s), 47 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\Temp\BN2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
         

Gefunden wurde also "Rootkit.Agent".
Nach dem von Malewarebytes geforderten Neustart (normaler Modus) folgte direkt ein erneuter Scan:

Code: Alles auswählenAufklappen

ATTFilter

12.01.2009 11:52:04
mbam-log-2009-01-12 (11-52-04).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 102764
Laufzeit: 1 hour(s), 36 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati8waxx (Rootkit.Agent) -> Delete on reboot.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\ati8waxx.sys (Rootkit.Agent) -> Delete on reboot.
         

Und Siehe da: Rootkit.Agent ist noch immer vorhanden. (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati8waxx )

Was nun? Gibt es ein Tool?








Nachtrag:
Folgende Infos zu meinem Freund Rootkit.Agent gefunden:

Das Ungeziefer Win32/Rootkit.Agent.DP Trojaner im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\ Windows\ System32) erzeugt folgende Dateien:

* \ drivers\ runtime.sys
* \ drivers\ ip6fw.sys
* \ drivers\ netdtect.sys
* wsys.dll
* ws2_32.dll

* \ drivers\ runtime.sys
* \ drivers\ ip6fw.sys
* \ drivers\ netdtect.sys
* wsys.dll
* ws2_32.dll

Das Ungeziefer Win32/Rootkit.Agent.DP Trojaner Im Temporary-Verzeichnis (Temp) kann weiters folgende Dateien erzeugen:

* svchost.exe
* imapi.exe

* svchost.exe
* imapi.exe

Der Schädling Win32/Rootkit.Agent.DP Trojaner erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis:

* [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ ip6fw]
* [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NetDetect]

* [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ ip6fw]
* [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NetDetect]

Die Viren, Würmer sind in der Lage, Prozesse stoppen zu versuchen, die Bestandteile von Anti-Viren-Programmen bzw- Firewalls sind. Auch das hat ein doppeltes Ziel: Zum einen wird erschwert, dass der Anwender von der Infektion in Kenntnis Gesetz wird, zum anderen kann auch das Herauskommen des Hintertür-Komponenten erleichtert werden. Sie können auch vom bestimmten Verkehr zum Internet ablenken, den Zugriff auf bestimmte Web-Seiten verhindern.

Der Schädling Trojaner überlagert die Routine: IEXPLORER.EXE .

E-Mail Nachrichten
Das vorrangige Ziel der sich durch E-Mail Nachrichten verbreitenden Würmer ist, einen anderen Computer zu infizieren. Das erreichen sie durch die Erzeugung und das Abschicken von E-Mail Nachrichten. Die erzeugten E-Mail Nachrichten enthalten generell den Wurmcode, es kann aber auch vorkommen, dass selbst der Anwender des angegriffenen Computers über die in der Nachricht angegebenen Bezugsadresse ihn herunterlädt. Manche Würmer können E-Mail Nachrichten mit den verschiedensten Parameter generieren und abschicken.

Der Schädling Win32/Rootkit.Agent.DP Trojaner generiert zur eigenen Verbreitung E-Mail Nachrichten und schickt seinen eigenen Code darin weiter.
Um sich noch mehr verbreiten zu können, sammeln die sich über E-Mail Nachrichten verbreitenden Viren, bzw. Würmer E-Mail Adressen in dem angegriffenen Rechner. Diese E-Mail Adressen werden dann verwendet, um den Viren- bzw. Wurmcode weiterzuschicken. Fallweise werden die gefundenen Adressen auch zur Ausfüllung der Absenderfelder verwendet, um die Origin der Nachricht zu verfälschen.

Der Schädling Win32/Rootkit.Agent.DP Trojaner durchsucht die Dateien mit folgender Erweiterung nach E-Mail Adressen:

* adb
* asp
* dbx
* eml
* fpt
* Vollständige Liste...

* adb
* asp
* dbx
* eml
* fpt
* htm
* inb
* mbx
* php
* pmr
* sht
* tbb
* txt
* wab
* zurück...

Der Aufbau der zusammengestellten E-Mail Nachrichten sieht wie folgt aus:
Das Feld Absender

Der Absender wird vom angegriffenen Rechner gesammelt, bzw. wurde von früher angegriffenen Rechnern gesammelt.

Angriff über das Internet
Viele Viren, Würmer sind in der Lage, einen Angriff auf andere Computer über das Internet zu starten und deren Einsatz so unmöglich zu machen.

Das Schädlingsprogramm Trojaner versucht, sich an die Web-Adresse: 63.216.0.5 anzuschließen.

Das Schädlingsprogramm Trojaner lädt Code von den folgenden Web-Adressen herunter und führt sie durch:

* 208.66.194.241
* 66.246.252.213
* 67.18.114.98

* 208.66.194.241
* 66.246.252.213
* 67.18.114.98

Hintertür
Die Viren, Würmer öffnen immer häufiger eine Hintertür auf dem infizierten Rechner. Dadurch können sie voll und ganz die Kontrolle über den Computer übernehmen, der Angreifer kann auf dem Computer machen, was er will: Er kann Anwendungen laufen lassen, Anwendungen stoppen, Dateien herunterladen, Passwörter, Zugriffscode entfremden

Die heruntergeladnen (Download) Dateien werden unter folgenden Bezeichnungen gespeichert:

* C:\ WINDOWS\ systwm32\ <random>_exception.nls
* C:\ WINDOWS\ Temp\ ldrnt.bin
* C:\ WINDOWS\ Temp\ <random>.exe

* C:\ WINDOWS\ systwm32\ <random>_exception.nls
* C:\ WINDOWS\ Temp\ ldrnt.bin
* C:\ WINDOWS\ Temp\ <random>.exe

Die vom Computer gesammelten Informationen werden an die Adresse: h**p://208.66.195.169:3154/post.cgi übermittelt.


So wie es aussieht hast du dir folgendes eingefangen: http://www.sophos.de/security/analys...w32rbotde.html Klick für info.

Du kannst die infizierten Daten per www.virustotal.com auswerten lassen.
Programm-Leiste -> Suchen -> usw..
Allerdings nur um sicher zu gehen.



Danach bitte folgendes:
1. Sofort die Verbindung zum Internet kappen.
2. Keine Daten retten!
3. Neuaufsetzen und anschliessend alle Kennwörter ändern.
http://www.trojaner-board.de/51262-a...sicherung.html Gehe dabei genau nach der Anleitung vor. Halte dein System immer auf dem neusten Stand, auch den IE, zb.