Gut.. ich hatte jetzt vorher schon GMER endlich gedownloadet bekommen und einen scan gemacht.

zudem habe ich mir mein Netzwerk genauer unter die Lupe genommen und die Firewall hatte 2 komische Programme freigegeben. Diese habe ich jetzt raus genommen. Sind auch immer noch weg

Gmer Log1 (Ich arbeite dann jetzt erstmal deine Schritte wieder ab)

Hi,

dem GMER-Log ist zu entnehmen, dass ein u. a. Rootkit drauf ist...
Und zwar wurde die svchost.exe und einige andere Systemdateien geändert!

Weitere Vorgehen:
Combofix auf sauberem Rechner runterladen (u. umbenennen), auf CD brennen.

Infizierten Rechner von XP-CD aus starten (dazu im BIOS die Bootreihenfolge umstellen). In die Rettungskonsole gehen und die die folgenden Dateien aus dem I386-Verzeichnis von der Festplatte in das system32-Verzeichnis kopieren (Alternativ von einem sauberen Rechner besorgen):
Backup der verseuchten svchost.exe:

Kopiere die Datei svchost.exe nach svchost.exe.vir

Code: Alles auswählenAufklappen

ATTFilter

expand c:\WINDOWS\ServicePackFiles\i386\svchost.exe c:\windows\system32\svchost.exe

oder

expand X:\i386\svchost.exe c:\windows\system32\svchost.exe
         

(Wobei X Dein CD-Lfw. ist)

Der eigentliche Rootkittreiber dürfte diese Datei hier sein:
C:\WINDOWS\system32\uwmmqn.dll

Die bitte auch auf C:\WINDOWS\system32\uwmmqn.dll.vir umbenennen.

Zur Sicherheit auch folgende Dateien wie oben beschrieben ersetzten (da passt auch was nicht, lt. GMER):
C:\WINDOWS\system32\drivers\ndis.sys
C:\WINDOWS\system32\drivers\atapi.sys

Danach CD raus, Rechner normal booten, CD mit Combofix rein, Combofix auf Fesplatte kopieren (Desktop) und starten, weiterhin keine Netzwerkanbindung!

Er sollte mindestens folgenden Treiber killen:
HKLM\SYSTEM\CurrentControlSet\Services\gyimwtpi
sowie
HKLM\SYSTEM\CurrentControlSet\Services\tewbijrc

sonst machen wir das nachher per Hand und Regedit...

Noch ein Bitte. Versuche aus Deinem Sohn rauszukitzeln, wo er was versucht hat runterzuladen, das bitte dann als PrivateMail an mich...

chris
Ps.:
Zu combofix:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.

Am Besten vor dem Brennen auf CD auf z.B. Mopps.exe umbenennen...

Hi,

noch was (Du siehst, Du beschäftigst mich etwas...na gut, eher die Frage ob das hier jetzt TDSS V4 ist (oder nicht)):

Anscheinend wird DNS manipuliert und es wird auf "entfernte" Ressourcen zugegriffen (bist Du Dir sicher das sonst nichts verseucht ist?):
H?lt Verkn?pfungen f?r NTFS-Dateien auf einem Computer oder zwischen Computern in einer Netzwerkdom?ne aufrecht.
und
Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.
Bei den beiden "seltsamen" Diensten "gyimwtpi" und "tewbijrc"

chris
Ps. Wenn wir gerade dabei sind, lade Dir gleich noch von einem sauberen Rechner aus das SP3 runter...
http://www.netzwelt.de/download/6407...ce-pack-3.html
Auf CD brennen,....
Entweder wir bekommen den Rechner sauber, falls nicht, setzten wir nochmal mit SP3 neu auf.
Auf jeden Fall will ich vorher die geretteten verseuchten Dateien noch analysieren... daher die ganze Orgie...
-Danke-