Hallo Gemeinde,

ich habe einen hartnäckigen Trojaner oder Virus auf dem PC, unter XP SP2.

GMER meldet

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] muyigxtbw

Ich kann diesen Dienst und weitere zugehörige Einträge in der Registry nicht entfernen, da sie sich sofort neu erstellen. Lösche ich den Service erstellt er sich unter anderem Namen neu.

Eine zugehörige Dll bfzbrenk.dll wurde von AVG als Trojaner I-Worm/Generic.CKH erkannt und unschädlich gemacht.

Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw\Parameters@ServiceDll C:\WINDOWS\system32\bfzbrenk.dll

Der Trojaner bewirkt, dass er beim Einloggen wahllos irgendwelche IP`s aufruft und wahrscheinlich versucht sich über Port 445 dort zu verbreiten, im Log steht z.B.

svchost.exe:432 TCP XXX.XXX.XX.XX:4730 29.121.219.4:445

Kennt jemand das Problem oder weiß die Lösung?

Zitat:

Kennt jemand das Problem oder weiß die Lösung?

Das sind typische Conficker Anzeichen. Einzige Lösung ist das Neuinstallieren des System und das gleichzeitige patchen mit allen vorhandenen Softwareflicken.

Zitat:

Zitat von BataAlexander

Das sind typische Conficker Anzeichen. Einzige Lösung ist das Neuinstallieren des System und das gleichzeitige patchen mit allen vorhandenen Softwareflicken.

Danke, aber das wollte ich gerade vermeiden. Der PC läuft sonst perfekt. Man muss doch die Ursache beseitigen können. Ich kann den Trojaner mit dem residenten Schutz unschädlich halten, aber das ist keine Lösung.

Hijack und AVG meldet keine Auffälligkeiten.

Zitat:

Zitat von NB3000

Hijack und AVG meldet keine Auffälligkeiten.

Siehst Du
Im Ernst: Mit den kleinen Tools wie HJT o.Ä. sieht man in der Regel nicht viel.
Gmer zeigt das Problem und frag Dich mal warum

Zitat:

Ich kann diesen Dienst und weitere zugehörige Einträge in der Registry nicht entfernen, da sie sich sofort neu erstellen. Lösche ich den Service erstellt er sich unter anderem Namen neu.

das passiert. Da läuft noch mehr.
Ich an Deiner Stelle würde meine Daten (.doc .xls etc) sichern und dann den Rechner neu aufspielen. Alle bisher benutzten Passwörter kannst Du dann ändern.
Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Zitat:

Zitat von BataAlexander

Siehst Du
Im Ernst: Mit den kleinen Tools wie HJT o.Ä. sieht man in der Regel nicht viel.
Gmer zeigt das Problem und frag Dich mal warum

das passiert. Da läuft noch mehr.
Ich an Deiner Stelle würde meine Daten (.doc .xls etc) sichern und dann den Rechner neu aufspielen. Alle bisher benutzten Passwörter kannst Du dann ändern.
Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Danke, das Tool werde ich versuchen. Neuaufspielen ist die letzte Möglichkeit. Ich habe noch einen 2. Rechner im Heimnetzwerk auf dem der Trojaner auch drauf ist, dann müsste ich gleich 2 Rechner neu bespielen.

Poste mal bitte das komplette GMER logfile.

Zitat:

Zitat von BataAlexander

Poste mal bitte das komplette GMER logfile.

Hallo BataAlexander,

das sieht so aus.

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-12 22:58:32
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF847B818]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreateKey [0xF847B7D0]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF846FA20]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84702A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF847B910]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF847B794]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF84702C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF847B866]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF847B0B0]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 82F74DD0
Device \FileSystem\Fastfat \FatCdrom 8216F180

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Ip ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 82E49E20
Device \FileSystem\Rdbss \Device\FsWrap 82F397B0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 82E1A750
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 82E1A750
Device \Driver\atapi \Device\Ide\IdePort0 82E1A750
Device \Driver\atapi \Device\Ide\IdePort1 82E1A750
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f 82E1A750
Device \Driver\Cdrom \Device\CdRom1 82E49E20
Device \FileSystem\Srv \Device\LanmanServer 8216A818

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82E7EF08
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82E7EF08
Device \FileSystem\Npfs \Device\NamedPipe 82E991F0
Device \FileSystem\Msfs \Device\Mailslot 82EA3150
Device \FileSystem\Fastfat \Fat 8216F180

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 82EBA878
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 82EBA878
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 82EBA878
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 82EBA878
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 82EBA878
Device \FileSystem\Cdfs \Cdfs 82D02C80

---- Modules - GMER 1.0.14 ----

Module _________ F8426000-F843E000 (98304 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] muyigxtbw <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0x87 0xE0 0x4A 0xDA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@DisplayName Shell System
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw@Description Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt au?erdem COM+ Ereignissystembezieher von diesen Ereignissen.
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\muyigxtbw\Parameters@ServiceDll C:\WINDOWS\system32\bfzbrenk.dll
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@DisplayName Shell System
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@Start 4
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw@Description Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt au?erdem COM+ Ereignissystembezieher von diesen Ereignissen.
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\muyigxtbw\Parameters@ServiceDll C:\WINDOWS\system32\bfzbrenk.dll

---- EOF - GMER 1.0.14 ----

Zitat:

Zitat von BataAlexander

Diverse Removal Tools kannst Du auf eigene Verantwortung gerne testen, Stichwort "Downadup Removal Tool".

Das Tool hat nichts gemeldet, aber Anti-Malware hat was gefunden

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1757
Windows 5.1.2600 Service Pack 2

13.02.2009 17:17:33
mbam-log-2009-02-13 (17-17-33).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58918
Laufzeit: 5 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 4
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\testCPV6.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SpeedRunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Webtools (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\gadcom (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\speedrunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
C:\Programme\Mjcore (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\speedrunner\config.cfg (Adware.SurfAccuracy) -> Quarantined and deleted successfully.

Also ich konnte jetzt mit Umstellung der Berechtigungen über regedit die Einträge zu dem Trojaner in der Registry löschen. Ich hoffe dass es so bleibt. Anti-Malware und GMER meldet dazu nichts mehr.

Aber kann mir jemand sagen, was die ntoskrnl.exe mit dem TCPIP-System zu tun hat?

AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)

Irgendwas muss noch drauf sein. Ständig wird über svchost versucht einen Trojaner zu downloaden was AVG glücklicherweise unterbindet.

svchost.exe:1548 TCP XXX.XXX.XXX.XXX:2336 85.121.243.7:9234

Was ist svchost:1548 ?

Ich springe mal kurz ein für den, der meine Kommentare so mag.

Anleitung Avenger (by swandog46)

Lade dir das Tool Gurkenhobel und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
muyigxtbw

Files to delete:
C:\WINDOWS\system32\bfzbrenk.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hallo john.doe,

danke dir! Er hat nichts gefunden, ich hatte ja schon alles entfernen können.

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\muyigxtbw" not found!
Deletion of driver "muyigxtbw" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\bfzbrenk.dll" not found!
Deletion of file "C:\WINDOWS\system32\bfzbrenk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Trotzdem klinkt sich wahrscheinlich ein Trojanerdownloader rein, sobald ich über pppoe und Windowsfirewall im Netz bin.

Das DSL-Log meldet:

Zitat:

System:4 TCP XXX.XXX.XXX.XXX:445 82.19.100.43:3435 Upload 0 kbit/s
svchost.exe:1548 TCP XXX.XXX.XXX.XXX:2336 85.121.243.7:9234

und der residente Schutz von AVG

Zitat:

Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT71M3SV\azawggiu[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:50:21";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 16:48:12";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MNTDZSWU\qigsd[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:43:17";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MNTDZSWU\dyqgsik[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:43:09";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT71M3SV\ptalaz[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:31:02";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: I-Worm/Generic.CJR;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 16:16:09";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT71M3SV\pzkgsfk[1].png";"In Virenquarantäne verschoben";"15.02.2009, 16:15:20";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: I-Worm/Generic.COL;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 15:48:16";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 15:47:32";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: Worm/Downadup;"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MWU58WD2\pail[1].png";"In Virenquarantäne verschoben";"15.02.2009, 15:45:00";"Datei";"C:\WINDOWS\system32\svchost.exe"
Virus identifiziert: I-Worm/Generic.CJX;"C:\WINDOWS\system32\x";"In Virenquarantäne verschoben";"15.02.2009, 15:38:44";"Datei";"C:\WINDOWS\system32\svchost.exe"

1.) Poste bitte ein aktuelles Gmer-Log.

2.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hier ist das Gmer-Log

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-15 18:12:54
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF847B818]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreateKey [0xF847B7D0]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF846FA20]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84702A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF847B910]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF847B794]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF84702C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF847B866]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF847B0B0]

---- Kernel code sections - GMER 1.0.14 ----

? cqehos.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1776] USER32.dll!DialogBoxParamA 77D288E1 5 Bytes JMP 7E38C4D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1776] USER32.dll!DialogBoxIndirectParamW 77D32598 5 Bytes JMP 7E38C510 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1776] USER32.dll!MessageBoxIndirectA 77D3AEF1 5 Bytes JMP 7E38C491 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1776] USER32.dll!MessageBoxExW 77D50559 5 Bytes JMP 7E38C3D9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1776] USER32.dll!MessageBoxExA 77D5057D 5 Bytes JMP 7E38C413 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1776] USER32.dll!DialogBoxIndirectParamA 77D56CED 5 Bytes JMP 7E38C54B C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1776] USER32.dll!MessageBoxIndirectW 77D660B7 5 Bytes JMP 7E38C44D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 82F74A10
Device \FileSystem\Fastfat \FatCdrom 8218BF30

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Ip ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)

Device \Driver\Cdrom \Device\CdRom0 82E11C70
Device \FileSystem\Rdbss \Device\FsWrap 82E7F688
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 82E233D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 82E233D8
Device \Driver\atapi \Device\Ide\IdePort0 82E233D8
Device \Driver\atapi \Device\Ide\IdePort1 82E233D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f 82E233D8
Device \Driver\Cdrom \Device\CdRom1 82E11C70
Device \FileSystem\Srv \Device\LanmanServer 82163220

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp ntoskrnl.exe (NT-Kernel und -System/Microsoft Corporation)

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82E867C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82E867C0
Device \FileSystem\Npfs \Device\NamedPipe 82ECC1D8
Device \FileSystem\Msfs \Device\Mailslot 82E96CE0
Device \FileSystem\Fastfat \Fat 8218BF30

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 82EAFF20
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 82EAFF20
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 82EAFF20
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 82EAFF20
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 82EAFF20
Device \FileSystem\Cdfs \Cdfs 82E61428

---- Modules - GMER 1.0.14 ----

Module _________ F8426000-F843E000 (98304 bytes)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0x87 0xE0 0x4A 0xDA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43@khjeh 0x20 0x02 0x00 0x00 ...

---- EOF - GMER 1.0.14 ----

Man lese in sämtlichen Foren etwas über Conficker / Downadup / Kido und man liest immer, dass ein vertrauenswürdiges System* regelmäßig nur durch neuinstallieren zu erreichen ist (gildt sinngemäß für alle Backdoor Programme, bei denen dritte alles auf meinem Rechner machen könnten)

Hier etwas anderes zu raten, muss schon in den Ausfall einer 24h Produktionskette begründet sein, sorry.

*vertrauenswürdiges System: Hier würde ich Online Banking machen.

Alex

PS: Hier wäre eine "Lösung" für Dein Problem.