Tool.Obfuscator und Alureon

GriM_ReaPer

Hallo zusammen,

hab zwar hier schon ein paar Infos zu meinem Problem gefunden, aber ein paar Fragen hätte ich trotzdem noch dazu:

Habe gestern festgestellt das in meiner Taskliste ein Programm aufgetaucht ist, noch dazu doppelt, das sich hartnäckig jedem Versuch den Prozess abzuschiessen widersetzt hat. Das Teil hatte einen zufälligen Namen ete*******.exe und war dann in Windows/Temp zu finden, allerdings nicht sichtbar.
Avira förderte dann bei der Suche nach versteckten Dateien noch unter windows/system32/ 4 dll´s und 2 dat´s zutage namens kbiwkm*****.
In drivers war dann noch eine sys selben namens zu finden.
Wie bereits vermutet waren die auch nicht sichtbar und natürlich nicht zu löschen. Auch in der Registry tauchten die Namen versteckt auf.

Naja, als erstes hab ich den Netzwerkstecker gezogen und dann probiert... interessanterweise liess sich weder Knoppix noch Knoppicillin starten, beide blieben während des Hochfahrens hängen, obwohl Knoppix und Suse schon auf dem Rechner gelaufen sind.
Ausserdem ist kein Benutzerwechsel mehr möglich, da sofort nach dem anklicken des anderen Icons unter diesem "Abmelden" zu lesen steht und der Auswahldialog wieder erscheint.

Heute morgen bevor ich auf die Arbeit bin hab ich noch ein paar Sachen durchprobiert und auch einen Komplettscan von Avira nochmal hab machen lassen wobei noch ein Agent.FV.17 zutage gefördert wurde, den ich aber nicht zuordnen kann, da keine Pfadangabe dabei war.
Avira bot an die verdächtigen Sachen in Quarantäne zu verschieben, was aber die Problematik ja nicht beseitigt.

Nach verschiedenen Aktionen mit GMER scheint ein Teilerfolg zu verzeichnen, die ***.exe ist nicht mehr in der Taskliste zu finden und auch die dat´s und dll´s scheinen zumindest vorübergehend verschwunden zu sein. Allerdings hält sich die *.sys in drivers hartnäckig, den Status konnte ich zwar auf Disabeled verstellen, jedoch löschen lässt sich der Service nicht.

Ich nehm mal an das liegt an der Registry. Gibt es da eine Möglichkeit wie man de Einträge sichtbar bekommt um die Zweige komplett rauszulöschen?

Logs kann ich jetzt schlecht anhängen, da ich auf der Arbeit bin und ich wenn ich dann wieder heim komm den Rechner auch nicht allzugern wieder ins Netz hängen würde solange nicht alles soweit wieder sauber ist.

Im Protokoll tauchen am Schluss noch verschiedene Einträge zum MBR auf, die teilweise Rootkit behavior -> copy of MBR oder so ähnlich lauten.

Würde hier ein mbr /fix was bringen oder hab ich damit gute Karten mir alles zu verschiessen?

Hab ich da jetzt bisher schon etwas erreicht durch das eliminieren der verschiedenen Teile oder hängt das alles an der Registry und dieser *.sys?
Bzw. ist es vertretbar den Rechner in diesem Zustand wieder ins Netz zu hängen um das live weiterzuverfolgen?

Wär nett wenn mir da jemand sagen könnte wie am sinnvollsten weiter zu verfahren wäre. Passwörter für Ebay und Mailkonten hab ich zumindest mal vorsorglich hier von der Arbeit aus ausgewechselt, das da keiner Unfug damit treiben kann, Onlinebanking hab ich eh noch nie recht vertraut! ;-)