update:
AntiVir und AVG haben beide nichts gefunden. Ich brauche glaube ich irgendwas, dass Kernelmode hooks entfernt.

Ich habe mit Rootkit Unhooker alle nicht zuordenbaren Treiber gedumpt, als .txt, das nach .rar umbenannt werden muss, angehängt.

Combofix hängt sich übrigens bei Installation mit einer Fehlermeldung in prep.com auf.

Ich habe gerade versucht, mit Malwarebytes im Abgesicherten Modus zu scannen, hier das log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

03.01.2009 20:01:03
mbam-log-2009-01-03 (20-01-03).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 46569
Laufzeit: 11 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
         

Offensichtlich wurde etwas seit dem letzten Scan hinzugekommenes gefunden, was auch entfernt wurde, ich denke, der eigentlich Schädlich hat einen zweiten heruntergeladen und gespeichert.

Mit RkUnhooker kann ich eine bestimmte jedesmal per Zufallsgenerator erstellte .sys datei aus diversen Systemfunktionen aushooken, kommt jedoch nach Neustart wieder (s.Anhang)

Ich weiss echt nicht mehr weiter, weiss einer von euch Rat?

Hallo und

Durch deine Aktionen machst du es uns nicht wirklich leichter. Stoppe jede eigene Aktion.

GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Doppelklick auf gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Sir yes Sir,
tue wie mir befohlen

hier das Log (hochgeladen, da zu lang):
File-Upload.net - gmer_log.txt

Diese zwei Einträge waren rot unterlegt:

Code: Alles auswählenAufklappen

ATTFilter

Service   C:\WINXP\system32\svchost.exe (*** hidden *** )                                                        [AUTO] qslipmwcn                                                                                                                                                                                                                                                                               <-- ROOTKIT !!!
Service   C:\WINXP\system32\svchost.exe (*** hidden *** )                                                        [AUTO] zogulkwu
         

Danke für Deine Zeit.

Oha, nicht gut, gar nicht gut.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINXP\system32\svchost.exe
C:\WINXP\system32\drivers\wpsdrvnt.sys
         

Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei nicht zu finden sein, dann markiere hier eine Zeile, kopiere, wechsel auf Virustotal, klicke in das lange weiße Feld und füge ein.

ciao, andreas

Ich würde das schon gerne machen, nur leider kann ich virustotal nicht aufrufen, wie oben schon beschrieben; der Umweg über den Web Proxy funktioniert hier irgendwie nicht.
Alle Dateien anzeigen mach ich immer gleich bei Installation von Windows.

Ich habe die erste Datei jetzt stattdessen angehängt.
Die zweite war zu gross, deswegen über rapidshare:
http://rapidshare.com/files/193514731/wpsdrvnt.sys.html

wpsdrvnt.sys ist aber eine Systemkomponente von Sygate Personal Firewall Pro.

Systemanalyse by undoreal

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Starte den Rechner neu. Öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  
• Alle AntiViren Programme und Wächter sollten weiterhin deaktiviert sein!
  
• Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Deaktiviere den AVZGuard!
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

ciao, andreas