Tagchen, ich glaube ich habe mir irgendeinen bosen Trojaner oder änliches eingefangen. Ich hab keine Ahnung was ich dagegen jetzt genau tun muss und hab deswegen hier ein wenig rumgestöbert. GMER runtergeladen und durchlaufen lassen. der hat auch gleich etwas gefunden. Ich hoffe doch mal ich poste das hier richtig und irgendwer kann mir weiterhelfen!

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2010-01-07 18:14:50
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

INT 0x62 ? 8A8C9BF8
INT 0x63 ? 8A6F3F00
INT 0x63 ? 8A6F3F00
INT 0x73 ? 8A8CCBF8
INT 0x82 ? 8A8C9BF8
INT 0x83 ? 8A6F3F00
INT 0x84 ? 8A6F3F00
INT 0xA4 ? 8A6F3F00
INT 0xB4 ? 8A8C9BF8
INT 0xB4 ? 8A8C9BF8
INT 0xB4 ? 8A6F3F00
INT 0xB4 ? 8A8C9BF8

Code 8A23DC98 ZwEnumerateKey
Code 8A657E18 ZwFlushInstructionCache
Code 8A23DCCE IofCallDriver
Code 8A4DA35E IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 8A23DCD3
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A4DA363
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6814 5 Bytes JMP 8A657E1C
PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF2 5 Bytes JMP 8A23DC9C
? sppi.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B75178AC 5 Bytes JMP 8A6F34E0

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[3536] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02BD000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3536] WS2_32.dll!connect 71A14A07 5 Bytes JMP 02BC000A
.text C:\Programme\Mozilla Firefox\firefox.exe[3536] WS2_32.dll!send 71A14C27 5 Bytes JMP 02BE000A

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EB6042] sppi.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EB613E] sppi.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EB60C0] sppi.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EB6800] sppi.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EB66D6] sppi.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8A8571F8
Device \Driver\PCI_PNP2824 \Device\00000041 sppi.sys
Device \Driver\usbuhci \Device\USBPDO-0 8A6B51F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A8591F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A8591F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A8591F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A8591F8
Device \Driver\usbuhci \Device\USBPDO-1 8A6B51F8
Device \Driver\usbehci \Device\USBPDO-2 8A69E1F8
Device \Driver\usbuhci \Device\USBPDO-3 8A6B51F8
Device \Driver\usbuhci \Device\USBPDO-4 8A6B51F8
Device \Driver\usbuhci \Device\USBPDO-5 8A6B51F8
Device \Driver\usbehci \Device\USBPDO-6 8A69E1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A8CA1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{BF28E0C1-3752-4F91-AA40-29F026B77CBB} 8A0881F8
Device \Driver\sptd \Device\445266574 sppi.sys
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A8CA1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A0881F8
Device \Driver\NetBT \Device\NetbiosSmb 8A0881F8
Device \Driver\usbuhci \Device\USBFDO-0 8A6B51F8
Device \Driver\usbuhci \Device\USBFDO-1 8A6B51F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A0AF1F8
Device \Driver\usbehci \Device\USBFDO-2 8A69E1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A0AF1F8
Device \Driver\usbuhci \Device\USBFDO-3 8A6B51F8
Device \Driver\usbuhci \Device\USBFDO-4 8A6B51F8
Device \Driver\Ftdisk \Device\FtControl 8A8CA1F8
Device \Driver\usbuhci \Device\USBFDO-5 8A6B51F8
Device \Driver\usbehci \Device\USBFDO-6 8A69E1F8
Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8A8581F8
Device \Driver\az7csx3s \Device\Scsi\az7csx3s1Port5Path0Target0Lun0 8A65C1F8
Device \Driver\az7csx3s \Device\Scsi\az7csx3s1 8A65C1F8
Device \Driver\JRAID \Device\Scsi\JRAID1 8A8581F8
Device \FileSystem\Cdfs \Cdfs 8A020500

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\H8SRTgxtxnsujct.sys (*** hidden *** ) B4C85000-B4CA2000 (118784 bytes)
---- Processes - GMER 1.0.14 ----

Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [252] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [392] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1052] 0x02720000
Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1164] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1372] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1548] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1700] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2748] 0x10000000

---- EOF - GMER 1.0.14 ----

Hallo und

Du hast da wohl das H8SRT-Rootkit drin
Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken genau unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
c:\windows\system32\drivers\H8SRTgxtxnsujct.sys
c:\windows\system32\H8SRTeylrgpppfm.dll
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Unmittelbar danach eine Analyse mit Malwarebytes machen (halt dich genau an die Anleitung) und poste das Log. Etwaige Funde entfernen lassen, Signaturen vorher aktualisieren)

Erstmal danke für deinen Post, ihr seid ja richtige Profis! Das Avengerlog is mir irgendwie abhanden gekommen, sorry. aber Malwarebytes hat das hier ausgespuckt:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3517
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.01.2010 17:11:44
mbam-log-2010-01-08 (17-11-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 160636
Laufzeit: 30 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\H8SRTeylrgpppfm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTiyaqmmnamy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRTgxtxnsujct.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTxjbaqjexii.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.

Das Avenger-Log findest Du in c:\avenger.txt oder in der backup.zip in c:\avenger - die backup.zip kannst Du auch gerne bei file-upload.net hochladen und hier verlinken.