Trojaner / Rootkit

Holo

Hilfe gebraucht, wiederkehrende Trojaner, Rootkit?

Seit ca 2 Wochen findet Antivir immer wieder Diverse Trojaner, und alle Versuche diese zu entfernen schlagen fehl. Nach einer Entfernung sind sie nach dem nächsten Pc-Start wieder drauf, vor allem die datein
protect.dll und chkdsk.dll, sowie eine lmn_setup.exe , aber auch andere werden als Trojaner erkannt, gelöscht, und finden sich danach wieder auf dem System.

Eine Auswirkung ist dass mein system mit immer neuen Trojanern einedeckt wird, eine andere dass immer wieder Seltsame Programme im Taskmanager auftauchen, die sich nicht killen lassen bzw sofort wieder gestartet werden, und dass Sämtliche Browser (Ich benutz Opera, Msie, Firefox) beim Anklicken eines Beliebigen Links Umleitungen auf diverse Seiten durchführen, an denen unter anderem irgendwelche Javascripts oder active-x Steuerelemente gestartet werden wollen, die ich natürlich nicht ausführen lasse.

Ich bin nun bei Gott kein experte, aber das hört sich sehr schlecht an oder?

Ich hab nicht viel Erfahrung, aber dieses Forum öfter als Leser besucht um Hilfe zu suchen, aber leider hat dies nicht den gewünschen Erfolg gebracht.

Betriebssystem ist Windows XP Professional mit Service Pack 3.

CCleaner Systembereinigung wurde nach der Anleitung durchgeführt.

Malware bytes findet 7-8 Einträge, Zur Entfernung mancher Dateien ist ein Neustart notwendig, jedoch funktioniert diese Entfernung nicht, da der Pc einfriert oder eine Fehlermeldung nach dem Neustart auftaucht. Ein neuerlicher Scan zeigt die identischen Einträge:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2147
Windows 5.1.2600 Service Pack 3

18.05.2009 17:51:31
mbam-log-2009-05-18 (17-51-31).txt

Scan-Methode: Vollständiger Scan (F:\|)
Durchsuchte Objekte: 115693
Laufzeit: 17 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
F:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> Delete on reboot.
F:\WINDOWS\Temp\msb.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\WINDOWS\system32\autochk.dll (Trojan.Agent) -> Delete on reboot.
F:\Dokumente und Einstellungen\Rob\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Rob\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
F:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> Delete on reboot.
F:\WINDOWS\Temp\msb.dll (Trojan.FakeAlert) -> Delete on reboot.
F:\WINDOWS\system32\lmn_setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.




So des weiteren ein Log von Hijack this:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:34, on 18.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Java\jre6\bin\jusched.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\system32\rundll32.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Java\jre6\bin\jqs.exe
\?\globalroot\F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Opera\Opera.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [autochk] rundll32.exe F:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "F:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] D:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [autochk] rundll32.exe F:\DOKUME~1\Rob\protect.dll,_IWMPEvents@16
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [svc] c:\program Files\ThunMail\testabd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222321500721
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5725 bytes





Das Programm "Gmer" entdeckt ein vermutliches Rootkit , copy und paste:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-18 17:45:08
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code 8965C218 ZwEnumerateKey
Code 89662218 ZwFlushInstructionCache
Code 897061AE IofCallDriver
Code 896FFE76 IofCompleteRequest

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service F:\WINDOWS\system32\drivers\ovfsthxoiseqyfw.sys (*** hidden *** ) [SYSTEM] ovfsthxbntddddy <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Dieses ovfsthx findet sich laut Scan recht oft in der registry, jedoch kann ich diese unter regedit nicht unter dem angegebenen Pfad finden.


In Start - Ausführen - MSconfig hab ich sämtliche autostarteinträge der eventuell schädlichen Dateien (chdsk, protect, autodll) deaktiviert (häkchen weg- übernehmen - Neustarten), seltsamer weise sind sie beim nächsten oder übernächsten Systemstart wieder aktiv.


Ich würd mich riesig freun wenn mir hierjemand helfen kann, mein System wieder sauber zu kriegen! Danke fürs Durchschauen.