Massive Systemauslastung/ Google leitet ungewollt auf andere Webseiten weiter

Hawky

Hallo,

sodele, reihe mich auch mal unter den Betroffenen des (neuen?) Google Fehlverhaltens unter WindowsXP ein. Seit knapp 2 Tagen verhält sich Google auf meinem Hauptrechner enorm seltsam. Jeder 2te angeklickte Link leitet mich auf eine dieser Seiten weiter (kopiert aus http://www.trojaner-board.de/80679-g...ochu-spat.html dieser Topic):

h**p://hochu-spat.com (so hat es angefangen)
h**p://widgetlibrarypieces.com (derzeit am häufigsten)
h**p://scour.com
h**p://searching4all.com
h**p://www.popeo.info
h**p://bcczzoot.com
h**p://widgetlibrarypieces.com
h**p://thewidgetautoparts.com

Nebenher ist das System megamäßig beschäftigt und friert nach einiger Zeit auch komplett ein, so das nur noch ein reset hilft. Über den ProzessMonitor konnte ich herausfinden, das wärend dieser Phase massive Schreibvorgänge im MBR sowie der Konfiguration des Netzwerkadapters geschehen. Ebenso führt das Starten von Firefox zu einem schwall an nicht erklärbaren Systemereignissen.

Da die Festplatte erst von ende Oktober ist, habe ich sozusagend noch die alte Platte mit dem damaligen Windows drauf.

Aber der Reihe nach.

Als erstes wurden die "bekannten" Programme von mir ausgeführt. Avira meldete gar nix, Spybot ebensowenig. In der zwischenzeit hatte sich anscheinend das beschäftigte System im Hintergrund hilfe heruntergeladen, denn es geisterte auf einmal eine a, b sowie c.exe und eine msa.exe herum.
Nächster Schritt war das Ausführen von nod32, welches aus gleich diese 4 Dateien erkannt und gelöscht hat, ansonsten aber keine Funde gemacht wurden. Weitere Scanner die ausgeführt wurden blieben auch Ergebnislos, unter anderem a-squared free, fsecure blacklight, anti malware sowie super antispyware. Nichts wurde gefunden, trotzdem bliebt das seltsame Verhalten von Google und auch die Systemauslastung bis hin zum Freeze.

Der nächste Gedankengang war daraufhin von der alten Platte einfach die C Partition auf die neue Platte zu kopieren. Gesagt, mit Partition Magic getan.

Das frisch "zurückkopierte" Originalsystem (welches auch definitiv sauber ist) lief dann auch beim ersten Start sehr sauber durch. Nach dem 2ten bootvorgang war dann allerdings die Freude zuende, denn alles war wieder beim alten. Der erste (eventuell konfuse) Gedankengang war, das irgendwas in den System Volume Information der anderen Partitionen stecken könnte, woraufhin ich diese entsorgt habe, und die Prozedur mit Partition Magic sowie zurückkopieren des funktionalen Windows wiederholt habe. Aber erneut trat nach dem 2ten booten das seltsame Verhalten auf.

An dieser Stelle habe ich nen verquerten Gedankengang verfolgt, und auf Partition C dateien gesucht in welchen die oben genannten Linknamen vorkamen. Das System wurde fündig, und zwar in einer java scriptdatei welche sich in einem "helper" useraccount befunden hat. Leider kann ich den genauen Namen des Users nicht wiedergeben, hatte mir den ich den 20 Stunden Problembehebungsversuchen gestern dann doch nicht merken können.

Nichtsdestotrotz half natürlich nicht der banale versuch dieses Konto zu löschen, nach jedem Neustart hat das System nach kurzer zeit den verseuchten Zustand wieder hergestellt (scanversuche mit den genannten malwarescannern zwischendurch waren immer ergebnislos).

Bin dann hier in dem Forum gelandet (war bisher nur passiver gelegenheitsleser), und habe gesehen das mehr leute das Problem zu haben scheinen. Bin dabei auch auf den tip mit GMER gestoßen.

Gmer selber will leider nicht laufen, nach wenigen scansekunden bricht es mit einem schweren Fehler ab. Allerdings habe ich von GMER die mbr.exe heruntergeladen und damit getestet. Und siehe da, es hockt etwas im MBR was da nicht hingehört:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x892c56d0
\Driver\atapi -> 0x8a1dcf00
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet -> SendCompleteHandler -> 0x88cd10d0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Gut, da das Windows selber schon wieder kompromitiert war, war der Plan folgender:

System erneut von der Fehlerfreien alten Festplatte erneut auf die neue Platte aufspielen, Windows nicht starten, dafür von der WinXP SetupCD booten und fixmbr ausführen.

Dieses habe ich genauso durchgeführt, und siehe da, das Firefox sowie der Internet Explorer verhalten sich bisher wieder normal!

Allerdings funktioniert GMER immer noch nicht, und mbr.exe zeigt jetzt folgendes an:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A315A50]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8a315a50
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !
Use "Recovery Console" command "fixmbr" to clear infection !

Es scheint also so als wenn das fixmbr zwar das Problem gelöst bzw. der Infektion den Stamm lädiert hat, trotzdem aber noch Reste im MBR hängen.

Lange Rede, kurzer sinn:
Wie bekomme ich den Müll jetzt komplett aus dem MBR, ein erneutes fixmbr, fdisk/mbr oder gar mbr.exe -f bringen nix, der Zustand wie zuletzt von mbr gemeldet bleibt der gleiche.

An dieser Stelle hoffe ich auf Eure Hilfe wie ich meinen MBR jetzt wirklich in einen komplett sauberen Zustand zurückversetzen kann, und vielleicht konnte ich ja den einen oder anderen Anhaltspunkt liefern um anderen Leuten (scheint ja zur Zeit wirklich stark vermehrt aufzutreten) helfen zu können.

Grüße
Andy