Sir yes Sir,
tue wie mir befohlen

hier das Log (hochgeladen, da zu lang):
File-Upload.net - gmer_log.txt

Diese zwei Einträge waren rot unterlegt:

Code: Alles auswählenAufklappen

ATTFilter

Service   C:\WINXP\system32\svchost.exe (*** hidden *** )                                                        [AUTO] qslipmwcn                                                                                                                                                                                                                                                                               <-- ROOTKIT !!!
Service   C:\WINXP\system32\svchost.exe (*** hidden *** )                                                        [AUTO] zogulkwu
         

Danke für Deine Zeit.

Oha, nicht gut, gar nicht gut.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINXP\system32\svchost.exe
C:\WINXP\system32\drivers\wpsdrvnt.sys
         

Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei nicht zu finden sein, dann markiere hier eine Zeile, kopiere, wechsel auf Virustotal, klicke in das lange weiße Feld und füge ein.

ciao, andreas

Ich würde das schon gerne machen, nur leider kann ich virustotal nicht aufrufen, wie oben schon beschrieben; der Umweg über den Web Proxy funktioniert hier irgendwie nicht.
Alle Dateien anzeigen mach ich immer gleich bei Installation von Windows.

Ich habe die erste Datei jetzt stattdessen angehängt.
Die zweite war zu gross, deswegen über rapidshare:
http://rapidshare.com/files/193514731/wpsdrvnt.sys.html

wpsdrvnt.sys ist aber eine Systemkomponente von Sygate Personal Firewall Pro.

Systemanalyse by undoreal

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Starte den Rechner neu. Öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  
• Alle AntiViren Programme und Wächter sollten weiterhin deaktiviert sein!
  
• Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Deaktiviere den AVZGuard!
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

ciao, andreas

- Systemwiederherstellung ist deaktiviert
- cCleaner ausgeführt
- Wächter laufen nie bei mir, nehme ich sofort mit HJT raus.
- AVZ habe ich von http://www.softpedia.com/progDownloa...ad-113572.html geladen, da deine Seite bei mir nicht aufrufbar ist
- Treiber installiert, neu gestartet, AVZ Guard gestartet, DB updated, gescannt, gespeichert, AVZ Guard deaktiviert
- hier das Resultat: http://rapidshare.com/files/19353414...sinfo.zip.html

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
qslipmwcn
zogulkwu

Files to delete:
C:\WINXP\system32\dgmqdvl.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Dein Avenger Link zeigte auf Gmer, deshalb hab ich Avenger von hier geladen:
http://filepony.de/download-the_avenger/

Hier das Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "qslipmwcn" deleted successfully.
Driver "zogulkwu" deleted successfully.
File "C:\WINXP\system32\dgmqdvl.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Erste Tests zeigen: Ich bin clean
- Antivirenseiten /Tech Support /Microsoft kann ich öffnen
- Gmer zeigt keinen Rootkit mehr an
- Mein PC öffnet keine TCP Connections zu wahllosen IPs mehr

Leider sind die vorher von mir erwähnten Hooks in RkUnhooker noch vorhanden, vielleicht bedeuten die aber auch nichts.

Ich habe noch einige Fragen:

1. Wie verhindere ich in Zukunft das auftreten eines solchen Virus? Ich habe nichts angeklickt, alle Sicherheitsupdate und eine gute Firewall. Die meisten unsicheren Dienste sind auch beendet. Der Virus kam übers LAN.

2. Bei meinem Kumpel muss ich dieselben Schritte durchführen wie hier, er hat das ja auch; ich denke aber, die Namen werden andere sein. Wie komme ich vom AVZ Log auf das Avenger Script, ohne hier zu posten?

Und echt .. danke nochmal, du hast mir sehr geholfen!

Gruss,

GF