Hallo liebe Forumsmitglieder,
ich bin über Onkel-Google auf folgenden Thread in eurem Forum gekommen.

Ich habe das selbe Problem.

Mit Tralala gescannt ergibt folgende Meldung und folgenden Log

Meldung:



Log:

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-06-14 16:51:27
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT 8A5D67D0 ZwAllocateVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwClose [0xBAB893B0]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwCreateKey [0xBAB8A090]
SSDT 8A5D7958 ZwCreateProcess
SSDT 8A51F208 ZwCreateProcessEx
SSDT 8A5A00F8 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteKey [0xBAB8A1B2]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteValueKey [0xBAB8A1D4]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenKey [0xBAB8A118]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenProcess [0xBAB892D6]
SSDT 8A5D6848 ZwQueueApcThread
SSDT 8A5B4648 ZwReadVirtualMemory
SSDT 8A58A1E8 ZwRenameKey
SSDT 8A5BFC58 ZwSetContextThread
SSDT 8A5A2B50 ZwSetInformationKey
SSDT 8A5A02D8 ZwSetInformationProcess
SSDT 8A5D7C00 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwSetValueKey [0xBAB8A184]
SSDT 8A55F530 ZwSuspendProcess
SSDT 8A5BFBE0 ZwSuspendThread
SSDT 8A5DE420 ZwTerminateProcess
SSDT 8A5C0238 ZwTerminateThread
SSDT 8A5B46C0 ZwWriteVirtualMemory

Code 8A2C44F0 ZwEnumerateKey
Code 8A2C3D30 ZwFlushInstructionCache
Code 8A2F376E IofCallDriver
Code 8A2F439E IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 8A2F3773
.text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 8A2F43A3
.text ntkrnlpa.exe!ZwCallbackReturn + 2768 80501FA0 6 Bytes [ 20, E4, 5D, 8A, 38, 02 ]
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC4 5 Bytes JMP 8A2C3D34
PAGE ntkrnlpa.exe!ZwEnumerateKey 8061AB70 5 Bytes JMP 8A2C44F4
? eynadqmf.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\WINDOWS\system32\svchost.exe[324] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 14, 84 ]
.text C:\WINDOWS\system32\winlogon.exe[628] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 74, 84 ]
.text C:\WINDOWS\system32\svchost.exe[860] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 5A, 84 ]
.text C:\WINDOWS\system32\svchost.exe[924] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 57, 84 ]
.text C:\WINDOWS\System32\svchost.exe[1108] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 48, 84 ]
.text ...
.text C:\Programme\Webroot\WebrootSecurity\SpySweeperUI.exe[1856] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes [ 7B, 00, C4, 83 ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [BAB422FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [BAB42326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [BAB42062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [BAB420D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs ssfs0bbc.sys (Spy Sweeper FileSystem Filter Driver/Webroot Software, Inc. (www.webroot.com))

Device \Driver\Tcpip \Device\Ip 8A31E730
Device \Driver\Tcpip \Device\Ip 8A1C43D0
Device \Driver\Tcpip \Device\Ip 8A250A08
Device \Driver\Tcpip \Device\Ip 89478680
Device \Driver\Tcpip \Device\Ip 8A090260
Device \Driver\Tcpip \Device\Ip 89939678
Device \Driver\Tcpip \Device\Ip GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Tcp 8A31E730
Device \Driver\Tcpip \Device\Tcp 8A1C43D0
Device \Driver\Tcpip \Device\Tcp 8A250A08
Device \Driver\Tcpip \Device\Tcp 89478680
Device \Driver\Tcpip \Device\Tcp 8A090260
Device \Driver\Tcpip \Device\Tcp 89939678
Device \Driver\Tcpip \Device\Tcp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Udp 8A31E730
Device \Driver\Tcpip \Device\Udp 8A1C43D0
Device \Driver\Tcpip \Device\Udp 8A250A08
Device \Driver\Tcpip \Device\Udp 89478680
Device \Driver\Tcpip \Device\Udp 8A090260
Device \Driver\Tcpip \Device\Udp 89939678
Device \Driver\Tcpip \Device\Udp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\RawIp 8A31E730
Device \Driver\Tcpip \Device\RawIp 8A1C43D0
Device \Driver\Tcpip \Device\RawIp 8A250A08
Device \Driver\Tcpip \Device\RawIp 89478680
Device \Driver\Tcpip \Device\RawIp 8A090260
Device \Driver\Tcpip \Device\RawIp 89939678
Device \Driver\Tcpip \Device\RawIp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\IPMULTICAST 8A31E730
Device \Driver\Tcpip \Device\IPMULTICAST 8A1C43D0
Device \Driver\Tcpip \Device\IPMULTICAST 8A250A08
Device \Driver\Tcpip \Device\IPMULTICAST 89478680
Device \Driver\Tcpip \Device\IPMULTICAST 8A090260
Device \Driver\Tcpip \Device\IPMULTICAST 89939678
Device \Driver\Tcpip \Device\IPMULTICAST GDTdiIcpt.sys (G DATA Software AG)

AttachedDevice \FileSystem\Fastfat \Fat ssfs0bbc.sys (Spy Sweeper FileSystem Filter Driver/Webroot Software, Inc. (www.webroot.com))
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Processes - GMER 1.0.14 ----

Library \\?\globalroot\systemroot\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [860] 0x10000000

---- EOF - GMER 1.0.14 ----

Ich habe leider garkeine Ahnung und viel zu viel Koffeein Intuss, das ich irgendetwas mit dieser Information anfangen kann. Wenn jemand mir erklären könnte wodrauf ich achten muss oder die relevanten Stellen heraussuchen könnte wäre ich diesem sehr Dankbar.
Neu gekaufte Anti-Virus Software bringt leider nix - wenn mann sie nicht updaten kann.

Viele Grüße

Torben

Hallo und

Zitat:

Neu gekaufte Anti-Virus Software bringt leider nix - wenn mann sie nicht updaten kann.

Ein Update würde auch nichts helfen, der ist neu, den kennen die sicher noch nicht.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hey,
vielen Dank für die schnelle Antwort.

Ich die Datei erfolgreich gelöscht. In dem Logfile stand drinne, dass er noch ein Rootkit entdeckt hat -> gleicher Name nur *.sys am Ende. Genauso geschlöscht wie die Datei davor - mit Hopsassa.

Das Problem besteht leider weiterhin und ich bekomme beim restart die Fehlermeldung:



Vielen Dank für die Bemühungen - vlt. bekommen wir es ja noch hin.

Viele Grüße
Torben

P.s.: Btw. das ach so tolle GDATA findet keine Rootkits - nen bissle frech ;D


EDIT: Bei einem erneuten Scan findet GMER die angesprochene *.sys-Datei. Ich versuche sie nochmal zu löschen

Neues Skript für Avenger:

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
MSIVXserv.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys
HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys
HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys
HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys

Files to delete:
C:\WINDOWS\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll
         

Bitte anschliessend Log posten.

Start => Ausführen => c:\avenger.txt => OK

ciao, andreas

Moin Moin,

Hier das Logfile wie bestellt!

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\MSIVXserv.sys" not found!
Deletion of driver "MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll" not found!
Deletion of file "C:\WINDOWS\system32\MSIVXqppkbftitlwhplvdnbfrorowqbdipuxs.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Funktioniert immer noch nicht. Und das Windows Update auch nicht. Was ist das denn für nen perverser Virus.

Liebe Grüße
Torben

Zitat:

Funktioniert immer noch nicht. Und das Windows Update auch nicht.

Das mag schon sein, aber den Rootkit bist du los.

1.) Lade die Dateien backup().zip aus dem Ordner c:\avenger bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir die Links als PN (Private Nachricht).

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas