Hallo allerseits. Ich habe wahrscheinlich einen für mich nicht auffindbaren und identifizierbaren Virus. Da ich euer Forum erst jetzt gefunden habe, konnte ich eure vorgeschlagene Vorgehensweise leider nicht in der richtigen Reihenfolge ausführen. Es scheint sich um ein Rootkit-Trojaner zu handeln (siehe GERM-log).

Damit ihr wisst, worauf ich hinaus will:
Meine Fragen:
Kann jemand diesen Virus identifizieren?
Kann man ihn ohne allzu großen Aufwand entfernen?
Ich habe vor, demnächst Windows7 aufzuspielen. Überlebt dieser Virus ein Format C:?
Kann ich Sicherungskopien meiner Daten machen, auf die ich mit Windows7 nach Virenscannerinstallation und Vollupdate sicher zugreifen kann?

Symptome:
Ich habe mir wohl etwas größeres eingefangen. Aufmerksam wurde ich darauf, als mein Downloadmanager nichts mehr herunterladen konnte [bevor ich ihm mitteilte dass er die Proxyeinstellungen von Firefox (ich habe keinen Proxy) übernehmen soll]. Außerdem konnten Avira, Windows, etc. sich nicht mehr updaten. Dementsprechend gehe ich, ohne Kenntnisse in Sachen Viren, davon aus, dass ich einen Virus habe, der die Internetverbindung sperrt, und nur Mozilla über einen Proxy (sich selbst) ins Internet gehen lässt.
Zudem sind Seiten von Virenscannern, etc. gesperrt, weshalb ich momentan nicht alle von euch empfohlenen Programme (insbes. Hijackthis) benutzen kann.

Bisherige Vorgehensweise:
Bevor ich euer Forum fand, liess ich Avira(veraltet da kein Update), Adaware und Trojan Remover über die Platte laufen. Diese fanden nichts. Daraufhin benutzte ich eine aktuelle Avira-CD (Ubuntu-CD mit Virenscanner). Diese fand 3 Java Viren in derselben Datei und 2 Trojaner (Ich habe leider nicht aufgezeichnet was er gefunden hat).
Ich gehe davon aus, dass sich der Virus nicht mehr von innerhalb des Systems bekämpfen lässt. Dementsprechend weiss ich nicht ob weiteres Scannen sinnvoll sein kann.

Logs:

Zitat:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit quick scan 2010-08-01 04:22:29
Windows 6.0.6000
Running: 50yd0d9x.exe; Driver: C:\Users\***\AppData\Local\Temp\pfldqpod.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service System32\Drivers\VDRV1000.SYS (*** hidden *** ) [SYSTEM] vdrv1000 <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Malware Log:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4375

Windows 6.0.6000
Internet Explorer 7.0.6000.16916

01.08.2010 04:09:16
mbam-log-2010-08-01 (04-09-16).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135018
Laufzeit: 7 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ein darauffolgender vollständiger Scan im abgesicherten Modus hat nichts weiter gefunden.
Da ich wie gesagt sowieso demnächst Windows7 aufspielen will, hat ein Entfernen des Virus nicht allzu hohe Priorität. Wenn ihr dennoch weitere logs o.ä. braucht/wollt, kann ich diese gerne nachreichen.

Vielen Dank im Voraus und mit freundlichen Grüßen, Andi

Zitat:

Ich habe vor, demnächst Windows7 aufzuspielen. Überlebt dieser Virus ein Format C:?

Nein, wenn du formatierst.

Zitat:

Kann ich Sicherungskopien meiner Daten machen, auf die ich mit Windows7 nach Virenscannerinstallation und Vollupdate sicher zugreifen kann?

Keine ausführbaren Dateien sichern von z.B. Programme.

Da du eh das System neu aufsetzen willst, macht auch die Arbeit einer Desinfizierung wenig Sinn.

Vielen Dank für die schnelle Hilfe, vor allem bei dem schönen Wetter
Ihr betreibt hier übrigens eine super Seite. Ich wünschte ich hätte sie früher gefunden.

Nochmals, Danke schön!