Seit Anfang Mai hatte ich den Eindruck, dass mein Internetanschluß immer langsamer wird.

Virenscanner konnten nichts entdecken, so dachte ich das Problem läge am Provider.

Am letzen Wochenende habe ich nun festgestellt, dass einer meiner PC`s ständig Daten empfängt und sendet, obwohl kein Browser geöffnet ist (In 20 Minuten ca. 40.000 Pakete gesendet und nahezu ebensoviele empfangen).

Ich habe den PC mit dem Avira AntiVir (V 10), dem Spybot und einigen Onlinescannern durchsucht aber nichts gefunden.

Nach einigem hin und her habe ich dann den PC im abgesicherten Modus gestartet und den AntiVir nochmals suchen lassen, wobei das einzige Ergebniss eine Warnung war, dass eine Datei nicht geöffnet werden konnte.

Es handelte sich um die Datei C:\Windows\System32\drivers\mhpccj.sys

Die Datei ist 738 KB groß und es gibt sie auf meinen anderen beiden PC's nicht.

In Google ist nichts darüber zu finden.

Alle anderen Dateien mit der Endung *.sys ließen sich problemlos scannen, darum versuchte ich die Datei weg zu kopieren und als das nicht funktionierte wollte ich sie löschen. Das funktionierte auch nicht.
Selbst del /F brachte keinen Erfolg (seither hat die Datei das heutige Datum - vorher das vom 05.05.2010).

Kann mir jemand sagen was hier zu tun ist, bzw. was diese Datei auf meinem PC treibt?

Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Danke für die Tips.

Hier die drei Ergebnisse:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2010.05.19 23:04:08 | 000,755,200 | ---- | M] () -- C:\WINDOWS\System32\drivers\mhpccj.sys
[2010.05.05 06:22:22 | 000,000,016 | ---- | C] () -- C:\Dokumente und Einstellungen\schneider\Anwendungsdaten\qvjsge.dat
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo cosinus,

anbei die Ergebnisdatei.

Hast Du den Doppelpunkt vor dem OTL mitkopiert? Das Script fängt mit ":OTL" an!

Hallo cosinus,

Du hattest natürlich recht.

Hier nun das Korrekte Log-File.


Nach dem reboot ist nun die Datei "qvjsge.dat" nicht mehr vorhanden, die Datei "mhpccj.sys" aber immer noch.

Das könnte ein Rootkit sein. Poste bitte GMER und OSAM Logfiles.

Hallo cosinus,

hier nun das Ergebnis von GMER.

Es war mir nicht möglich die Ergebnisdatei (html) von OSAM so zu konvertieren dass ich sie hier anhängen konnte.
Html geht nicht und die PDF-Datei ist 80 Kb groß - geht also auch nicht (außerdem nur schwarz/weiß)

OSAM erstellt eine Textdatei!! Wie kommst Du da auf HTML?

Weil ich eine html-Datei als Ausgabe bekommen habe. Ich lass das ganze heute nochmal laufen, vielleicht habe ich nur auf den falschen Button geklickt.

Hallo cosinus,


hier nun das Ergebnis von OSAM:

Zitat:

"mhpccj" (mhpccj) - ? - C:\WINDOWS\system32\drivers\mhpccj.sys (Hidden file | Hidden registry entry, rootkit activity | File found, but it contains no detailed information)

Bitte mit OSAM deaktivieren + löschen (delete from storage, siehe Anleitung zu osam )

Hallo cosinus,


hier der Report von OSAM.

Es sieht gut aus. Der PC sendet und empfängt nun nicht mehr irgendwelche Daten.
Die Datei "mhpccj.sys" war nach der Aktion noch in dem Verzeichnis vorhanden, wurde aber sofort vom AntiVir als Root-Kit erkannt und entfernt.


Vielen Dank nochmals für die schnelle und professionelle Hilfe.