Hallo Trojaner-Board-Team,

hab seit längerer Zeit den Eindruck, dass ein Rootkit in meinem System persistiert, da sich die Titlebar im Firefox manchmal abrupt in chinesische Zeichen verwandelte.
Nach einem Standard-Scans mit Kaspersky konnte ich einen Trojaner im Programme-Verz. entfernen, im System-Verz. selbst war aber alles sauber. Das Problem mit den chinesischen Zeichen ist nun behoben aber vom Bauchgefühl her hatte ich die ganze Zeit den Verdacht, dass da noch was ist, v.a. auch deshalb weil Mozilla Firefox nach dem Beenden immer noch fleißig im Task-Manager (also im Hintergrund) weiter läuft und dabei ohne Ende RAM frisst.

In der Folge habe ich mein System nochmal komplett mit Kaspersky gescannt, mit SUPERAntiSpyware, Malwarebytes, A2, TrendMicro HouseCall, Dr. Web CureIt! (im abgesicherten Modus), Hitman Pro, PrevX, F-Secure BlackLight, Gmer MBR, AVZ 4 sowie Avira, alle ohne Befund!
Gmer im abgesicherten Modus meldete nebenbei eine rootkit-ähnliche Aktivität in irgendeinem Sektor, was meine Bedenken ja zu bestätigen schien! Ein letzter Scan mit MBRCheck ergab dann das:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000003fc

Kernel Drivers (total 132):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7A10000 \WINDOWS\system32\KDCOM.DLL
0xF7920000 \WINDOWS\system32\BOOTVID.dll
0xF7510000 klbg.sys
0xF73E0000 ACPI.sys
0xF7A12000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF73CF000 pci.sys
0xF7520000 isapnp.sys
0xF7AD8000 pciide.sys
0xF7790000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7530000 MountMgr.sys
0xF73B0000 ftdisk.sys
0xF7798000 PartMgr.sys
0xF77A0000 pavboot.sys
0xF7540000 VolSnap.sys
0xF7398000 atapi.sys
0xF7550000 disk.sys
0xF7560000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7378000 fltmgr.sys
0xF7366000 sr.sys
0xF7570000 PxHelp20.sys
0xF734F000 KSecDD.sys
0xF733C000 WudfPf.sys
0xF72AF000 Ntfs.sys
0xF7282000 NDIS.sys
0xF7A14000 speedfan.sys
0xF7580000 ohci1394.sys
0xF7590000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF71B5000 Mup.sys
0xF7AD9000 giveio.sys
0xF76E0000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF5CA6000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF5C92000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF5C6A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7810000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF5C46000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7818000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7820000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF76F0000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF7830000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF7700000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7175000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF5C32000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7710000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7720000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7730000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF5C0F000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7838000 \SystemRoot\System32\Drivers\Asapi.SYS
0xF7740000 \SystemRoot\system32\DRIVERS\klim5.sys
0xF7B90000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7750000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF79A8000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF5BF8000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7760000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7770000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7840000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5BE7000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7780000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7848000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7850000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF680F000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7858000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7860000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7A62000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF5B89000 \SystemRoot\system32\DRIVERS\update.sys
0xF79B0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF67FF000 \SystemRoot\system32\DRIVERS\cledx.sys
0xF67EF000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF3641000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF361D000 \SystemRoot\system32\drivers\portcls.sys
0xF67DF000 \SystemRoot\system32\drivers\drmk.sys
0xF67CF000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7A68000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF3572000 \SystemRoot\system32\DRIVERS\klif.sys
0xF7890000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF7A70000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7BEB000 \SystemRoot\System32\Drivers\Null.SYS
0xF7A76000 \SystemRoot\System32\Drivers\Beep.SYS
0xF78A0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF78A8000 \SystemRoot\System32\drivers\vga.sys
0xF7A78000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7A7A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF78B0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF78B8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF79D8000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF300A000 \??\C:\WINDOWS\system32\drivers\kl1.sys
0xF2FF7000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF2F9E000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF2F4E000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF2F28000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF679F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF2F06000 \SystemRoot\System32\drivers\afd.sys
0xF678F000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF2EE4000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
0xF677F000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF78C0000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
0xF2E19000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF2DA9000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF75C0000 \SystemRoot\System32\Drivers\Fips.SYS
0xF2D97000 \SystemRoot\system32\DRIVERS\cmiucr.SYS
0xF2BB9000 \SystemRoot\system32\DRIVERS\VX3000.sys
0xF7600000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xF7610000 \SystemRoot\system32\drivers\usbaudio.sys
0xF3A2C000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7620000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF2B95000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF2B5A000 \SystemRoot\system32\DRIVERS\rt2500usb.sys
0xF78D0000 \SystemRoot\System32\Drivers\x10ufx2.sys
0xF3A10000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF3A0C000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF7660000 \SystemRoot\system32\DRIVERS\klmouflt.sys
0xF2B1A000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7AAE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF2F96000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7900000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B9B000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF77F0000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xBA4F4000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB91EB000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB9042000 \SystemRoot\System32\Drivers\HTTP.sys
0xB8F65000 \SystemRoot\system32\drivers\wdmaud.sys
0xB9143000 \SystemRoot\system32\drivers\sysaudio.sys
0xB8DF8000 \SystemRoot\system32\DRIVERS\srv.sys
0xB8BA6000 \??\C:\Programme\Sandboxie\SbieDrv.sys
0xB8B26000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB5F6C000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 55):
0 System Idle Process
4 System
936 C:\WINDOWS\system32\smss.exe
1344 csrss.exe
1368 C:\WINDOWS\system32\winlogon.exe
1420 C:\WINDOWS\system32\services.exe
1432 C:\WINDOWS\system32\lsass.exe
1616 C:\WINDOWS\system32\svchost.exe
1672 svchost.exe
1720 C:\WINDOWS\system32\svchost.exe
1772 C:\WINDOWS\system32\svchost.exe
2004 svchost.exe
176 svchost.exe
496 C:\WINDOWS\system32\spoolsv.exe
744 svchost.exe
868 C:\Programme\a-squared Free\a2service.exe
888 C:\WINDOWS\explorer.exe
932 C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe
1000 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
1052 C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
1136 C:\WINDOWS\system32\svchost.exe
1200 C:\Programme\Java\jre6\bin\jqs.exe
1308 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
1980 C:\Programme\Microsoft LifeCam\MSCamS32.exe
1820 C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
200 C:\WINDOWS\system32\nvsvc32.exe
268 C:\Programme\CyberLink\Shared Files\RichVideo.exe
420 C:\Programme\Sandboxie\SbieSvc.exe
764 C:\WINDOWS\system32\svchost.exe
1192 C:\WINDOWS\system32\svchost.exe
1984 C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
2236 wmpnetwk.exe
3608 C:\WINDOWS\RTHDCPL.EXE
3676 C:\WINDOWS\mHotkey.exe
3748 C:\WINDOWS\CNYHKey.exe
3880 C:\WINDOWS\system32\CmUCREye.exe
3956 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
1844 C:\WINDOWS\vVX3000.exe
1812 C:\Programme\Brother\ControlCenter3\BrccMCtl.exe
1948 C:\Programme\Medion Info Display\MdionLCM.exe
2072 C:\Programme\Winamp\winampa.exe
2256 C:\Programme\Microsoft LifeCam\LifeTray.exe
2388 C:\Programme\QuickTime\QTTask.exe
2432 C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe
2456 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2472 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
2632 C:\Programme\DivX\DivX Update\DivXUpdate.exe
3056 alg.exe
3592 C:\WINDOWS\system32\ctfmon.exe
3668 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
4000 C:\Programme\Windows Media Player\wmpnscfg.exe
848 C:\WINDOWS\system32\wbem\wmiapsrv.exe
1628 C:\Programme\Mozilla Firefox\firefox.exe
2296 C:\Programme\Mozilla Firefox\plugin-container.exe
1496 C:\Dokumente und Einstellungen\*****\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001d`1a8eb800 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000038`14eb4600 (FAT32)

PhysicalDrive0 Model Number: ST3250823AS, Rev: 3.03

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 385FC9BA2E9D8FDD04EDA0C3892EABE49AB09584


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice:

Done!


Ich tat jetzt erstmal nix, weil ich mal eure Meinung lesen wollte. Scheint ja doch ein MBR-Rootkit zu sein.

Schöne Grüße

ok, starte mbrcheck
klicke y for more options, enter
klicke 1 für "dump of mbr" enter
drücke "0" for hardisk 0
schreib jetzt nen namen für den mbr, tippe enter
schließe mbrcheck.
die von dir erstellte datei befindet sich im selben ordner wie mbrcheck. uploade den mbr zu uns
http://www.trojaner-board.de/54791-a...ner-board.html

Erst mal danke für die schnelle Antwort! Gehen Daten verloren, wenn ich den MBR fixe?

du sollst ihn nicht fixen, das wäre ja option 2 du sollst einen dump erstellen und ihn hochladen, wie ich beschrieben hab.

Ich wollte ihn auhc nicht fixen ich wollte es nur allgemein wissen! Hab mich ein bisschen missverständlich ausgedrückt.

So, hab das File geuppt. Was schließt du nun daraus?

du hast die datei vor nicht mal ner minute hochgeladen.
das kann schon n bissel dauern.
1. download malwarebytes.
http://www.trojaner-board.de/51187-a...i-malware.html
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle programme aus, auch antivirus, trenne die internetverbindung.
starte nun nen komplett scan, funde löschen, log posten.

Also doch nochmal MB... der Scan wird aber Stunden dauern, hab ne Menge Daten aufer HDD...
Und sry, bin halt nur en bisschen ungeduldig^^

Ok, MB-Scan fertig, wusste doch, dass da nix gefunden wird! Alle von mir oben aufgezählten Tools fanden NIX! Was nun?

ich hätte gern noch das GMER log bitte.

So, ich hab jetzt verschissene 4 Stunden versucht 2x hintereinander mit GMER erneut das System zu scannen, weil ich das Logfile vom letzten Scan ja nicht gespeichert hatte! Und beide Male (das eine im abgesicherten Modus) stürzt GMER ab, und das immer kurz bevor der Scan beendet ist.

Ich kann nur noch mal darauf hinweisen, dass KEINE roten Einträge und KEINE Rootkit-Warnung angezeigt wurden! Lediglich diese Anmerkung eines "rootkit-like behavior" in irgendwelchen Sektoren nach dem Scan vor 3 Tagen sind mir aufgefallen.

Und bevor ich es vergesse zu erwähnen: RootkitRevealer schmiert auch dauernd ab!

ja irgendwelche bringt mich nicht weiter :-)
versuchen wir erst mal combofix.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Yo, is fertig, hier:

ok versuchen wir folgendes.
download radix.
Radix Antirootkit - Download - CHIP Online
entpacken in einen eigenen ordner.
schalte alle laufenden programme aus, auch antivirus, klicke auf die radixgui.exe
aktiviere auf der sich öffnenden registerkarte alles, starte den scan, nachfragen mit yes bestätigen. nichts löschen am ende.
das log wird warscheinlich zu groß, also hochladen:
File-Upload.net
und download link posten

Nä, vergiss es!! Ich hab's jetzt 3x versucht, Radix crasht nach 15 Minuten einfach immer (ich konnt aber haufenweise hidden Registry-Einträge sehen)!! Ich hab langsam keinen Bock mehr, v.a. weil ich eigtl. NIE Probleme mit GMER & Co. hatte aber seit gestern crasht alles! Zum Kotzen

hi, ja sorry is net meine schuld :-) hast du einen "fertig" pc von hp zb oder ist das ne eigene windows instalation?