Trojaner-Board - MBR Rootkit/Windows XP updates

Hallo, wahrscheinlich habe ich mir einen Rootkit/MBR Rootkit eingefangen. Nach Hinweisen durch Antivir etc. dass auf meinem System ein Trojaner/Rootkit wäre, habe ich mich entschlossen, das System neu aufzusetzen. Nach Googlen habe ich die Partition D mit der MS Computerverwaltung neu formatiert. Danach System mit der Start CD gesartet und mit Restore, Fixboot bzw. Fixmbr ausgeführt. Danach komplett neu mit Format C:

Nachdem ich nacheinander SP2 , SP3 und IE8 installiert habe, wollte ich das System via Windows update auf den neuesten Stand bringen. Zuerst sollte ich ein Update Installations-Tool installieren (habe ich leider gemacht) und danach das Windows Genuine... (Überprüfung auf Original). Bei der Suche nach nötigen updates, ging ziemlich schnell, sollte ich 33 updates installieren und danach neu starten. Seitdem verhält sich das System auffällig: z.B. ist im abgesicherten Modus der PrevX Monitor abgeschaltet.
Da ich diesen ganzen .... schon mal gemacht hatte, habe ich nach jedem Schritt Gmer und Hijack im Normal und im abgesicherten Modus scannen lassen. Bis zu den updates hatte Gmer keine Meldungen und Hijack meiner Meinung nach keine Auffälligkeiten (die reports habe ich noch). Danach gab es aber Meldungen. Die Suche mit MBR.exe ergab keinen Report.

Ich hoffe, ihr könnt mir helfen und brauche keine neue Festplatte

Hier die Reports:

CCleaner hinterliess folgenden Rest:

Code:

Ungenutzte Datei-Endungen        {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}        HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Malwarebytes:

Code:



Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2092

Windows 5.1.2600 Service Pack 3
 

08.05.2009 16:51:03

mbam-log-2009-05-08 (16-51-03).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 92931

Laufzeit: 8 minute(s), 39 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Hijackthis:

Code:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:52:37, on 08.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Prevx\prevx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\CCleaner\CCleaner.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241777432160

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
 

--

End of file - 3434 bytes

Uninstall-Liste:

Code:



Adobe Flash Player 10 ActiveX

Autorun Virus Remover 2.3

Avira AntiVir Personal - Free Antivirus

CCleaner (remove only)

HijackThis 2.0.2

Hotfix für Windows XP (KB952287)

Malwarebytes' Anti-Malware

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Prevx 3.0

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows XP (KB923561)

Sicherheitsupdate für Windows XP (KB923789)

Sicherheitsupdate für Windows XP (KB938464-v2)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950760)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951066)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952004)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB954459)

Sicherheitsupdate für Windows XP (KB954600)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956572)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB957097)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958687)

Sicherheitsupdate für Windows XP (KB958690)

Sicherheitsupdate für Windows XP (KB959426)

Sicherheitsupdate für Windows XP (KB960225)

Sicherheitsupdate für Windows XP (KB960715)

Sicherheitsupdate für Windows XP (KB960803)

Sicherheitsupdate für Windows XP (KB961373)

Update für Windows XP (KB898461)

Update für Windows XP (KB951978)

Update für Windows XP (KB955839)

Update für Windows XP (KB967715)

Windows Internet Explorer 8

Windows XP Service Pack 3

Gmer 1:

Code:



GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-05-08 14:01:56

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.15 ----
 

SSDT   F7A830BE                                  ZwCreateKey

SSDT   F7A830B4                                  ZwCreateThread

SSDT   F7A830C3                                  ZwDeleteKey

SSDT   F7A830CD                                  ZwDeleteValueKey

SSDT   F7A830D2                                  ZwLoadKey

SSDT   F7A830A0                                  ZwOpenProcess

SSDT   F7A830A5                                  ZwOpenThread

SSDT   F7A830DC                                  ZwReplaceKey

SSDT   F7A830D7                                  ZwRestoreKey

SSDT   F7A830C8                                  ZwSetValueKey

SSDT   F7A830AF                                  ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text  ntoskrnl.exe!_abnormal_termination + 351  804E29AD 3 Bytes  [30, A8, F7]
 

---- EOF - GMER 1.0.15 ----

Gmer2

Code:



GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-05-08 14:53:36

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.15 ----
 

SSDT  pxsec.sys (Prevx Realtime Analysis/Prevx)  ZwTerminateProcess [0xF7679680]
 

---- EOF - GMER 1.0.15 ----