Hallo,

Ich habe den scheinbar recht verbreiteten Trojaner TR/Dropper.Gen, und zwar in Form eines Rootkits. So zeigt mir Antivir folgendes an (ich kann das komplette Log nicht kopieren, da ich meinen PC vorsichtshalber vom Internet getrennt habe, aber hier mal das wichtigste):

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK

Beginn des Suchlaufs: Freitag, 8. Mai 2009 00:15

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\Antivir Desktop\PROFILES\AVSCAN-20090508-0018559699AAE0.avp' geschrieben.
c:\windows\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
c:\windows\system32\ovfsthdmfnxvuhbdanabpuwcuvggrpmbeugbpx.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthfbdgsthqaidkpndjjkxgoftklhqvrrcj.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthiuhnjdrseeaoxxsxdowryyytbftmnkem.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!

Ende des Suchlaufs:Frreitag, 8. Mai 2009 00:18
Benötigte Zeit: 3:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
6 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
90002 Objekte wurden beim Rootkitscan durchsucht
14 Versteckte Objekte wurden


Antivir zeigt mir während der Suche nach den versteckten Dateien nach etwa 60% TR\Dropper.Gen an mit dem Hinweis, dass ich den PC neustarten muss, um den Infekt vollständig zu reparieren. Tue ich dies nicht und waehle statt 'OK' 'Abbrechen" hört Antivir nach der Suche nach versteckten Dateien mit der Suche auf, wodurch sich die geringe Suchdauer von 3 Minuten erklärt. Wähle ich dagegen 'OK' startet der PC neu, TR\Dropper.Gen findet Antivir dann aber immernoch und fordert mich wiederrum zum Neustart auf.

Mein Betriebssystem ist Win XP SP3. Eine Suche mit Malwarebytes Anti-Malware sowie AdAware findet nichts, genauso wie Antivir im abgesicherten Modus, also ohne Rootkitsuche.

Meine Frage ist nun, ob es noch irgendwelche Programme ausser den 3 genannten gibt, die den Schädling evtl. beseitigen können. Oder kann ich vielleicht von einer anderen, sauberen Festplatte booten und das Rootkit auf meiner aktuellen Festplatte so beseitigen? Ich würde mir nämlich wirklich gerne eine Neuinstallation von Windows ersparen.

Ich hoffe, ihr könnt mir helfen, und schonmal Danke im Vorraus.

Hi,

zuerst Combofix, dann bitte Gmer:

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe


Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Es ist also okay, den PC zwecks Download der Programme und Kopieren der Berichte kurz ans Internet anzuschliessen?

Hi,

die zweit Schritte aber bitte dann direkt hintereinander ohne Online durchführen... und die Onlinezeiten möglichst kurz halten...

chris

Ok, ich werd das machen sobald meine Datensicherung fertig ist. Ich hab im Moment keine externe Festplatte hier, hoffe aber, es morgen Abend zu schaffen. Danke für die Geduld.

So, erstmal bitte ich um Verzeihung für die lange Wartezeit, es hat doch länger gedauert, an die externe Platte zu kommen, als gedacht.

Ich bin nun jedenfalls mit meiner Datensicherung fertig, habe Combofix auf den Desktop kopiert und ausgeführt. Erst wurde die Wiederherstellungskonsole installiert und danach ging der Scanvorgang los. Bis dahin ging auch alles gut und er zeigte mir die selben Rootkits wie Antivir an, welche ich auf einen Zettel schreiben sollte. Anschliessend wurde Windows neugestartet, doch danach ging plötzlich meine Tastatur nicht mehr. Ich hänge nun in der Benutzeranmeldung, kann aber mein Passwort nicht eingeben, da nichts passiert, egal welche Taste ich drücke. Die "Num Lock" Anzeige leuchtet übrigens, die Tastatur scheint also aktiv zu sein. Wie komm ich nun wieder in Windows und was soll ich dann machen?

Hi,

Stecker etc. kontrolliert?

Wenn Du die Taste "Num Lock" drückst, reagiert der Rechner darauf (LED ein/aus)? Wenn ja läuft er dann ist ev. der Tastaturtreiber zerschossen (Keylogger?), wenn keine Reaktion erfolgt dann ist er abgestürzt ...

Versuche in den abgesicherten Modus zu kommen (F8 beim Booten)...

Hast Du eine Windows-CD von der Du booten kannst und eine Reparaturinstallation versuchen kannst?
(http://www.supportnet.de/faqsthread/878)
Einsatz der Rettungskonsole:
(http://support.microsoft.com/kb/314058/de)

Der Rootkit hat sich wohl nicht so einfach entfernen lassen, obwohl ComboFix das Teil normalerweise eleminieren kann...

chris

Das Tastaturproblem hatte sich nach einem erneuten Neustart zum Glück gelegt, ohne dass ich ausser Stecker aus- und einstecken währenddessen irgendetwas getan hätte, daher hier nun die beiden Logs.

Zuerst das von Combofix:

ComboFix 09-05-13.02 - Shakka 15.05.2009 5:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1657 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\Shakka\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Lˆschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys
c:\windows\system32\ovfsthdmfnxvuhbdanabpuwcuvggrpmbeugbpx.dat
c:\windows\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll
c:\windows\system32\ovfsthfbdgsthqaidkpndjjkxgoftklhqvrrcj.dat
c:\windows\system32\ovfsthiuhnjdrseeaoxxsxdowryyytbftmnkem.dll
c:\windows\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll
c:\windows\system32\test.ttt
c:\windows\system32\uniq.tll
C:\xcrashdump.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthwtjlkawykvopufveefqmoayptoppjcln


((((((((((((((((((((((( Dateien erstellt von 2009-04-15 bis 2009-05-15 ))))))))))))))))))))))))))))))
.

2009-04-27 23:19 . 2009-04-27 23:19 -------- d-----w C:\ERDNT
2009-04-16 14:41 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-16 14:41 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-16 14:41 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-16 14:41 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-16 14:41 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-16 14:41 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-16 14:41 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-16 14:41 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-16 14:41 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-16 14:40 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-14 19:27 . 2007-03-01 16:24 -------- d-----w c:\programme\Steam
2009-05-05 00:10 . 2007-03-06 19:49 -------- d-----w c:\programme\PeerGuardian2
2009-04-28 19:41 . 2008-11-14 20:56 -------- d-----w c:\programme\Hotspot Shield
2009-04-27 23:27 . 2009-01-15 23:27 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-04-27 21:07 . 2009-03-19 14:27 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-23 16:57 . 2007-02-21 21:56 -------- d-----w c:\programme\GetRight
2009-04-16 19:55 . 2006-02-28 12:00 84678 ----a-w c:\windows\system32\perfc007.dat
2009-04-16 19:55 . 2006-02-28 12:00 458924 ----a-w c:\windows\system32\perfh007.dat
2009-04-12 01:30 . 2007-02-19 12:49 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-10 16:58 . 2007-02-22 16:51 -------- d-----w c:\programme\Java
2009-04-07 18:56 . 2007-02-21 23:36 -------- d-----w c:\programme\iTunes
2009-04-07 18:56 . 2009-04-07 18:56 -------- d-----w c:\programme\iPod
2009-04-07 18:56 . 2007-09-12 14:27 -------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-04-06 13:32 . 2009-01-15 23:27 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-01-15 23:27 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-23 21:30 . 2009-03-28 01:39 33256 ----a-w c:\windows\system32\drivers\hssdrv.sys
2009-03-20 15:36 . 2008-04-10 15:30 -------- d-----w c:\programme\Microsoft Silverlight
2009-03-20 05:26 . 2007-03-10 23:55 -------- d-----w c:\programme\Google
2009-03-19 14:32 . 2008-01-29 10:01 23400 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-19 14:27 . 2009-03-19 14:27 -------- d-----w c:\programme\Avira
2009-03-09 03:19 . 2008-11-25 22:24 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-05 22:59 . 2009-03-15 23:13 1900544 ----a-w c:\windows\system32\usbaaplrc.dll
2009-03-05 22:59 . 2007-11-27 16:49 36864 ----a-w c:\windows\system32\drivers\usbaapl.sys
2009-03-03 00:03 . 2006-02-28 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2006-02-28 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2008-03-30 16:25 . 2008-03-26 17:04 72 --sh--w c:\windows\SF240BC02.tmp
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\steam\steam.exe" [2008-10-08 1410296]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"igndlm.exe"="c:\programme\Download Manager\dlm.exe" [2008-08-01 1103216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TalkAndWrite"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2008-01-14 3042816]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-10-09 1036288]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13672448]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-12 86016]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-04-02 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-04-11 56080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-11-12 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\StartmenÅ\Programme\Autostart\
ICQ6.5 (2).lnk - c:\programme\ICQ6.5\ICQ.exe [2009-3-1 172792]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-10-4 692224]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck lsdelete

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^HP Photosmart Premier ñ Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\HP Photosmart Premier ñ Schnellstart.lnk
backup=c:\windows\pss\HP Photosmart Premier ñ Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^hp psc 1000 series.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\hp psc 1000 series.lnk
backup=c:\windows\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^hpoddt01.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\hpoddt01.exe.lnk
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^LUMIX Simple Viewer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\LUMIX Simple Viewer.lnk
backup=c:\windows\pss\LUMIX Simple Viewer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmen¸^Programme^Autostart^Registrierungsprogramm ausf¸hren.lnk]
path=c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\Registrierungsprogramm ausf¸hren.lnk
backup=c:\windows\pss\Registrierungsprogramm ausf¸hren.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart^ChkDisk.dll]
path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart\ChkDisk.dll
backup=c:\windows\pss\ChkDisk.dllStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart^ChkDisk.lnk]
path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart\ChkDisk.lnk
backup=c:\windows\pss\ChkDisk.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart^Logitech-Produktregistrierung.lnk]
path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart\Logitech-Produktregistrierung.lnk
backup=c:\windows\pss\Logitech-Produktregistrierung.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\mIRC\\mirc.exe"=
"c:\\Programme\\Anno 1701\\Anno1701.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"=
"c:\\Programme\\TVersity\\Media Server\\MediaServer.exe"=
"c:\\Programme\\TVersity\\Media Server\\TVersity.exe"=
"c:\\Programme\\WiFiConnector\\NintendoWFCReg.exe"=
"c:\\Programme\\Sierra Online\\FreeStyle Street Basketball(TM)\\FreeStyle.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Dokumente und Einstellungen\\Shakka\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\N Schach 3\\WinSchach.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\RayV\\RayV\\RayV.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\Bethesda Softworks\\Fallout 3\\Fallout3.exe"=
"c:\\Programme\\WBGames\\Monolith Productions\\F.E.A.R. 2 SP Demo\\FEAR2SPDemo.exe"=
"c:\\Programme\\RayV\\RayV\\RayV.dll"=
"c:\\Programme\\Steam\\SteamApps\\common\\peggle deluxe\\Peggle.exe"=
"c:\\Dokumente und Einstellungen\\Shakka\\Lokale Einstellungen\\Anwendungsdaten\\RayV\\RayV.dll"=
"c:\\Programme\\Steam\\SteamApps\\common\\world of goo\\WorldOfGoo.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10243:TCP"= 10243:TCP:Xbox 360 1
"10284:UDP"= 10284:UDP:Xbox 360 2
"10283:UDP"= 10283:UDP:Xbox 360 3
"10282:UDP"= 10282:UDP:Xbox 360 4
"10281:UDP"= 10281:UDP:Xbox 360 5
"10280:UDP"= 10280:UDP:Xbox 360 6
"41952:TCP"= 41952:TCP:tversity
"41952:UDP"= 41952:UDP:tversity2
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 16:27 108289]
R2 HssSrv;Hotspot Shield Helper Service;c:\programme\Hotspot Shield\HssWPR\hsssrv.exe [23.03.2009 23:31 216552]
R3 HssDrv;Hotspot Shield Helper Miniport;c:\windows\system32\drivers\hssdrv.sys [28.03.2009 03:39 33256]
S2 gupdate1c9a91c6c86c0de;Google Update Service (gupdate1c9a91c6c86c0de);c:\programme\Google\Update\GoogleUpdate.exe [20.03.2009 07:26 133104]
S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [29.08.2006 00:54 10664]
S3 pohci13F;pohci13F;\??\c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys --> c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b2d8b32-3f76-11de-a093-001a922b79bd}]
\Shell\AutoRun\command - F:\WDSetup.exe
.
Inhalt des "geplante Tasks" Ordners

2009-05-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2007-06-10 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1100 series5E771253C1676EBED677BF361FDFC537825E15B8173544742.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]

2009-05-15 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-20 05:26]

2009-04-07 c:\windows\Tasks\record.job
- c:\program files\record.bat [2007-11-06 23:02]
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -

HKCU-Run-ICQ - c:\programme\ICQ6\ICQ.exe
HKU-Default-Run-Diagnostic Manager - c:\windows\TEMP\3176919104.exe
HKU-Default-Run-uidenhiufgsduiazghs - c:\windows\TEMP\gx5pk2n2.exe


.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = 131.247.2.241:3127
uInternet Settings,ProxyOverride = *.local
IE: Download with GetRight - c:\programme\GetRight\GRdownload.htm
IE: Open with GetRight Browser - c:\programme\GetRight\GRbrowse.htm
DPF: {3B1E1AB9-98C2-4B7E-AE01-59C84302BBDB} - hxxp://update.rayv.com/viewer/webinstall/ActiveXInstall1.1/rayvactivex.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-15 05:44
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteintr‰ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1078081533-776561741-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:42,81,20,39,5f,e9,0c,d2,1a,19,98,ab,eb,f1,16,47,2f,3f,c4,d0,10,83,2b,
db,4d,15,cb,ad,1f,90,1c,02,7d,0e,aa,6c,ed,92,4d,b2,25,83,37,cc,b8,e4,df,5f,\
"??"=hex:35,c2,6c,72,86,43,ca,ed,91,f1,98,3a,c1,56,c8,d2

[HKEY_USERS\S-1-5-21-1078081533-776561741-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:17,be,95,83,f9,91,ce,b9,29,89,8a,17,e4,ca,a5,f4,1f,7f,6b,5e,98,
36,2b,17,e9,04,f2,37,e6,9b,59,45,3b,a1,fd,86,b0,f7,3d,2d,9d,3e,67,9d,49,9a,\
"rkeysecu"=hex:b0,b6,41,3b,2a,b6,37,b5,e7,3f,9f,b4,8c,b0,6f,22
.
Zeit der Fertigstellung: 2009-05-15 5:47
ComboFix-quarantined-files.txt 2009-05-15 03:46

Vor Suchlauf: 20 Verzeichnis(se), 39.518.752.768 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 40.096.837.632 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

264 --- E O F --- 2009-05-14 23:08

Und hier noch das GMER-Log:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-15 09:45:52
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT BAF05686 ZwCreateKey
SSDT BAF0567C ZwCreateThread
SSDT BAF0568B ZwDeleteKey
SSDT BAF05695 ZwDeleteValueKey
SSDT BAF0569A ZwLoadKey
SSDT BAF05668 ZwOpenProcess
SSDT BAF0566D ZwOpenThread
SSDT BAF056A4 ZwReplaceKey
SSDT BAF0569F ZwRestoreKey
SSDT BAF05690 ZwSetValueKey
SSDT BAF05677 ZwTerminateProcess

Code \??\C:\DOKUME~1\Shakka\LOKALE~1\Temp\catchme.sys pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

? C:\DOKUME~1\Shakka\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !

---- EOF - GMER 1.0.15 ----



Gefragt wurde ich beim Start von GMER übrigens nichts, weshalb ich direkt zum Reiter Rootkit/Malware gegangen bin und den Scan gestartet habe.

Hi,

zumindest die Starteinträge von einigen nette Tierchen sind noch da, Combofix hat wie erwartet mit
dem Rootkit kurzen Prozeß gemacht ;o)...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys
c:\dokumente und einstellungen\Shakka\Startmenü\Programme\Autostart\ChkDisk.dll <- WURM!
c:\windows\pss\ChkDisk.dll
c:\windows\system32\drivers\GEARAspiWDM.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Achtung: Falls die c:\windows\system32\drivers\GEARAspiWDM.sys erkannt wird, unten reinnehmen (unter Files to delete) (Avenger-Script)...
Es gibt einen validen CD-Treiber und leider auch eine gleichnamige Mailware!
Also aufpassen!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\dokume~1\Shakka\LOKALE~1\Temp\pohci13F.sys
c:\dokumente und einstellungen\Shakka\Startmenü\Programme\Autostart\ChkDisk.dll
c:\windows\pss\ChkDisk.dll

Folders to delete:
c:\dokume~1\Shakka\LOKALE~1\Temp
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Folgende Autostarteinträge müssen ebenfalls noch eleminiert werden:

Zitat:

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart ^ChkDisk.dll]
path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart \ChkDisk.dll
backup=c:\windows\pss\ChkDisk.dllStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Shakka^Startmen¸^Programme^Autostart ^ChkDisk.lnk]
path=c:\dokumente und einstellungen\Shakka\Startmen¸\Programme\Autostart \ChkDisk.lnk
backup=c:\windows\pss\ChkDisk.lnkStartup

Dazu z. B. msconfig benutzen (Start->Ausführen msconfig) benutzen:
http://www.dirks-computerecke.de/pc-..._autostart.htm

So,
jetzt bitte MAM anwerfen und einen Fullscan machen und alles bereinigen lassen!

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

chris

Bzgl. Entfernen aus dem Autostart: Reicht es denn, das Häckchen einfach in msconfig zu entfernen, um die Einträge zu entfernen? Ich hatte das nämlich eigentlich schon gemacht, aber die Einträge bleiben ja erhalten, nur halt ohne Häckchen.

Von den von dir genannten Dateien habe ich leider nur die vierte gefunden (versteckte und geschützte Systemdateien werden angezeigt), deren Scan bei Virustotal keinen Fund ergab:

Datei GEARAspiWDM.sys empfangen 2009.05.16 03:53:31 (CET)
Status: Beendet


Ergebnis: 0/40 (0%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.16 -
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 -
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 -
Avast 4.8.1335.0 2009.05.15 -
AVG 8.5.0.336 2009.05.15 -
BitDefender 7.2 2009.05.16 -
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.16 -
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6508 2009.05.16 -
F-Prot 4.4.4.56 2009.05.15 -
F-Secure 8.0.14470.0 2009.05.15 -
Fortinet 3.117.0.0 2009.05.15 -
GData 19 2009.05.16 -
Ikarus T3.1.1.49.0 2009.05.16 -
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.16 -
McAfee 5616 2009.05.15 -
McAfee+Artemis 5616 2009.05.15 -
McAfee-GW-Edition 6.7.6 2009.05.15 -
Microsoft 1.4602 2009.05.15 -
NOD32 4080 2009.05.15 -
Norman 6.01.05 2009.05.16 -
nProtect 2009.1.8.0 2009.05.16 -
Panda 10.0.0.14 2009.05.15 -
PCTools 4.4.2.0 2009.05.15 -
Prevx 3.0 2009.05.16 -
Rising 21.29.44.00 2009.05.15 -
Sophos 4.41.0 2009.05.16 -
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.16 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.16 -
ViRobot 2009.5.15.1737 2009.05.15 -
VirusBuster 4.6.5.0 2009.05.15 -
weitere Informationen
File size: 23400 bytes
MD5...: f2f431d1573ee632975c524418655b84
SHA1..: d1e43b384cb1bee1791d15d9558e873e78da3090
SHA256: 4ae27d0ae3a35ff18df7e341698df62c51698fb964395ddb69c45c778cccc27e
SHA512: 15ee67360675511080f13298dfdf2088aceadbbbc9b3f8f19110cc622af3bbb3
4bf83af174fe540a70b5d609dd687b0cdc0571fd96054bc08fad574dca9e364d
ssdeep: 384:8i4SCGWHWIvKkgTB7tIp2FFyFdg4ytSwPA69xERYJLW0jbK:75FIykgTB72s
F0+x9xJLtbK

PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7089
timedatestamp.....: 0x49c26595 (Thu Mar 19 15:32:37 2009)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x111a 0x1200 6.14 a05e947fa2abb8bbb92c37e8cdfa0bbb
.rdata 0x3000 0x3f3 0x400 4.01 9b8289cf496b03995002458dd2725198
.data 0x4000 0x32c 0x200 1.91 7cb7252c231ec2b1339268b79771215e
PAGE 0x5000 0x1866 0x1a00 6.08 68f565b66313e21816a93149ea690722
INIT 0x7000 0x6f2 0x800 5.10 ceb952cc1f573710fb19913075103f53
.rsrc 0x8000 0x380 0x400 3.00 ec147183706db11394b3ac7b4b2b01e3
.reloc 0x9000 0x28a 0x400 3.91 47a3e3cc56bd548f8cb9e9965e20a8a7

( 1 imports )
> ntoskrnl.exe: KeInitializeEvent, IoCreateSymbolicLink, RtlInitUnicodeString, IoAttachDeviceToDeviceStack, IoCreateDevice, RtlCompareUnicodeString, IoGetDeviceProperty, KeSetEvent, InterlockedIncrement, InterlockedDecrement, IofCompleteRequest, IoGetCurrentProcess, IofCallDriver, KeWaitForSingleObject, IoReportTargetDeviceChange, IoBuildDeviceIoControlRequest, ExFreePool, ExAllocatePoolWithTag, memcpy, RtlQueryRegistryValues, memset, IoDeleteDevice, IoAttachDevice, ZwClose, _wcsnicmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoFreeIrp, IoAllocateIrp, IoDetachDevice, PoStartNextPowerIrp, PoCallDriver, KeTickCount, KeBugCheckEx, MmGetSystemRoutineAddress, ZwSetSecurityObject, ObOpenObjectByPointer, IoDeviceObjectType, RtlGetDaclSecurityDescriptor, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, _snwprintf, RtlLengthSecurityDescriptor, ExFreePoolWithTag, SeCaptureSecurityDescriptor, SeExports, IoIsWdmVersionAvailable, RtlAddAccessAllowedAce, RtlLengthSid, wcschr, RtlAbsoluteToSelfRelativeSD, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ZwOpenKey, ZwCreateKey, ZwQueryValueKey, ZwSetValueKey, RtlFreeUnicodeString

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set



Ich habe allerdings im pss-Ordner eine Datei namens ChkDisk.lnkStartup gefunden, deren Virustotal-Scan aber ebenfalls nichts ergab:

Datei ChkDisk.lnkStartup empfangen 2009.05.16 04:03:36 (CET)
Status: Beendet


Ergebnis: 0/40 (0%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.16 -
AhnLab-V3 5.0.0.2 2009.05.15 -
AntiVir 7.9.0.168 2009.05.15 -
Antiy-AVL 2.0.3.1 2009.05.15 -
Authentium 5.1.2.4 2009.05.15 -
Avast 4.8.1335.0 2009.05.15 -
AVG 8.5.0.336 2009.05.15 -
BitDefender 7.2 2009.05.16 -
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.15 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.16 -
eSafe 7.0.17.0 2009.05.14 -
eTrust-Vet 31.6.6508 2009.05.16 -
F-Prot 4.4.4.56 2009.05.15 -
F-Secure 8.0.14470.0 2009.05.15 -
Fortinet 3.117.0.0 2009.05.16 -
GData 19 2009.05.16 -
Ikarus T3.1.1.49.0 2009.05.16 -
K7AntiVirus 7.10.735 2009.05.14 -
Kaspersky 7.0.0.125 2009.05.16 -
McAfee 5616 2009.05.15 -
McAfee+Artemis 5616 2009.05.15 -
McAfee-GW-Edition 6.7.6 2009.05.15 -
Microsoft 1.4602 2009.05.15 -
NOD32 4080 2009.05.15 -
Norman 6.01.05 2009.05.16 -
nProtect 2009.1.8.0 2009.05.16 -
Panda 10.0.0.14 2009.05.15 -
PCTools 4.4.2.0 2009.05.15 -
Prevx 3.0 2009.05.16 -
Rising 21.29.44.00 2009.05.15 -
Sophos 4.41.0 2009.05.16 -
Sunbelt 3.2.1858.2 2009.05.15 -
Symantec 1.4.4.12 2009.05.16 -
TheHacker 6.3.4.1.326 2009.05.15 -
TrendMicro 8.950.0.1092 2009.05.15 -
VBA32 3.12.10.5 2009.05.16 -
ViRobot 2009.5.15.1737 2009.05.15 -
VirusBuster 4.6.5.0 2009.05.15 -

weitere Informationen
File size: 653 bytes
MD5...: 2ba4f239a5028332d95e21a0b90880a6
SHA1..: 1419ccc1a2479c047cf4ae63323f0c7d1130ceaa
SHA256: f38d1407d6b91f5257f52566a892e78df90ffa2e4b4aa537e0c32354a6732268
SHA512: 22e3c20d67285ba6f8ff843b4c30c6f15fb8d12ee899a37562461671bd6cdda2
aeff7d0587988c46ef34dbe3106e4ccffe9d1e88abd329e4ae73b216acff1007
ssdeep: 12:8i8oVJCOGrV1WlDG2efTWlwyY+vWOZKujdflDmo0n:8MJWUlD/efClwX+RZ9B
4o0

PEiD..: -
TrID..: File type identification
Windows Shortcut (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Im Avenger habe ich, da ich die von dir genannten drei Dateien nicht finden konnte, nur den Temp Ordner löschen lassen. Leider kann ich das Avenger Log nicht mehr finden, kann es sein, dass es durch den MBAM bedingen Neustart gelöscht wurde? Ich kann mich zwar errinern, dass darin stand, dass der Temp Ordner gelöscht wurde und dass keine Rootkits gefunden wurden, aber soll ich zur Sicherheit lieber nochmal mit Avenger scannen?

Wie ich die Autostart-Einträge entfernen kann weiss ich wie gesagt nicht. Die Häckchen davor hatte ich im msconfig schon enfternt bevor ich überhaupt zum ersten Mal hier gepostet hatte, aber das reicht ja scheinbar nicht aus.

Hier nun noch das MBAM-Log:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2139
Windows 5.1.2600 Service Pack 3

16.05.2009 05:31:00
mbam-log-2009-05-16 (05-31-00).txt

Scan-Methode: Vollst‰ndiger Scan (C:\|)
Durchsuchte Objekte: 312049
Laufzeit: 1 hour(s), 11 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B31FE3A2-97D8-4653-8417-75A3A7235F09}\RP0\A0000001.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B31FE3A2-97D8-4653-8417-75A3A7235F09}\RP0\A0000003.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B31FE3A2-97D8-4653-8417-75A3A7235F09}\RP0\A0000004.dll (Trojan.TDSS) -> Quarantined and deleted successfully.



Danke übrigens nochmals für deine Mühe, den Virus doch noch zu entfernen - im Forum von Avira wurde mir daegegen direkt gesagt, dass ich formatieren muss, daher weiss ich deine Bemühungen wirklich zu schätzen.

Hi,

im Avengerscript noch folgende Zeile ergänzen, um den Treibereintrag zu löschen...

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
pohci13F
         

chris

Avenger Log:


Logfile of The Avenger Version 2.0, (c) by Swandog46

h**tp://swandog46.geekstogo.com



Platform: Windows XP



*******************



Script file opened successfully.

Script file read successfully.



Backups directory opened successfully at C:\Avenger



*******************



Beginning to process script file:



Rootkit scan active.

No rootkits found!



Driver "pohci13F" deleted successfully.



Completed script processing.



*******************



Finished! Terminate.