Hallo Trojaner-Board Community,

seit einigen Tagen werde ich beim Anklicken von Google-Ergebnissen mitunter auf andere Webseiten umgeleitet (über search-tracker.net). Eine Überprüfung meines Notebooks mit Malwarebytes' Anti-Malware ergab zwei Trojaner und das Rootkit MSIVX. Die Trojaner ließen sich von Malwarebytes' löschen, das Rootkit leider nicht. Nach einigem googlen (und "bingen" ;-) bin ich nun hier gelandet, da in dem Thread

http://www.trojaner-board.de/74221-a...agent-xps.html

das Thema gerade erst behandelt wurde. Nur befürchte ich, daß die darin aufgeführten Skripts bei mir nicht 1 zu 1 übernommen werden können.

System: Windows Vista Home Premium 32-Bit, SP2, Avira Antivir, CCleaner, Windows-Firewall)

Bisher habe ich an Programmen laufen lassen:

- Malwarebytes Anti-Malware (lief erst nach Umbenennung der Exe-Datei)
- Gmer
- HijackThis (lief ebenfalls erst nach Umbenennung der Exe-Datei)

RootRepeal crasht bereits mit Fehlermeldung beim Start.

Vorsorglich habe ich mir schon aktuelle Versionen von Combofix und "Hopsassa" runtergeladen.

Anbei das Log von Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 6.0.6002 Service Pack 2

12.07.2009 18:15:15
mbam-log-2009-07-12 (18-15-11).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 73757
Laufzeit: 3 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\MSIVXcount (Trojan.Agent) -> No action taken.

Leider überschreitet der vollständige Logbericht von GMER die maximal zulässige Länge sowohl dieser Nachricht als auch für das Hochladen von Anhängen. Reicht es aus wenn ich den Scan auf bestimmte Punkte einschränke (z.B. Dateien und Registry)?

Für Hilfe wäre ich riesig dankbar, da mich das Rootkit langsam zur Verzweiflung treibt.

Gruß,

jcw108

Hallo und

Zitat:

Leider überschreitet der vollständige Logbericht von GMER die maximal zulässige Länge sowohl dieser Nachricht als auch für das Hochladen von Anhängen. Reicht es aus wenn ich den Scan auf bestimmte Punkte einschränke (z.B. Dateien und Registry)?

Lade ihn bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link.

1.) Laden, laufenlassen und die beiden Logs posten => http://www.trojaner-board.de/74910-a...tion-tool.html

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Erst einmal vielen Dank an Euch für die schnelle Rückmeldung auf meine Frage.

Hier der Link für das GMER Log:

http://www.materialordner.de/ZLxQUfR...KRYjVRkXE.html

Die beiden anderen Logs finden sich hier:

http://www.materialordner.de/jp2fiK7...xTdoBi4ps.html

und hier:

http://www.materialordner.de/L5qTkcy...H4uEMvo37.html

Leider gab es Schwierigkeiten mit Combofix. Ich habe es nach Umbenennung der Exe-datei zwar zum Laufen gebracht, aber es endete mit einer Fehlermeldung a la "Some files could not be created...".

Gruß,

jcw108

Lade ComboFix noch einmal neu herunter. Der Programmierer hat es zeitweise auf Eis gelegt, um einen Fehler zu entfernen. Notfalls nutzen wir Avenger, falls das wieder nicht klappen sollte.

ciao, andreas

Zitat:

Zitat von john.doe

Lade ComboFix noch einmal neu herunter. Der Programmierer hat es zeitweise auf Eis gelegt, um einen Fehler zu entfernen. Notfalls nutzen wir Avenger, falls das wieder nicht klappen sollte.

ciao, andreas

Hallo Andreas,

auch der zweite Versuch mit ComboFix hat leider nicht geklappt, gleiches Ergebnis wie zuvor.

Schon einmal vielen Dank im Voraus für Deine Hilfe,

jcw108

Dann nehmen wir halt den Holzhammer.

1.) Deinstalliere:

• Bonjour
• Google Update Helper
• Google Updater
• Java(TM) 6 Update 7
• uTorrent (Virenschleuder)

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
MSIVXserv.sys 
gusvc
gupdate1c98578a93c413f
rootrepeal
cpuz130
cpuz132_x32.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\MSIVXserv.sys

Files to delete:
C:\Windows\system32\drivers\cpuz132_x32.sys
C:\Windows\tasks\Google Software Updater.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\System32\drivers\MSIVXpdpppcmtsetrxccerurwwjyvswxdrilh.sys
C:\Windows\System32\MSIVXcount
C:\Windows\System32\MSIVXewefcnuboveweiepxheelipnxogvbxmx.dll
C:\Windows\System32\MSIVXsilisyaonpbxslyripsdfsteqobkyvcu.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

hi

Falls ja, kannst du das Log von GMER auch als ZIP-Archiv-Datei direkt hier hochladen oder das Log aufteilen...