Datei C:\Windows\System32\drivers\mhpccj.sys
 

Seit Anfang Mai hatte ich den Eindruck, dass mein Internetanschluß immer langsamer wird.

Virenscanner konnten nichts entdecken, so dachte ich das Problem läge am Provider.

Am letzen Wochenende habe ich nun festgestellt, dass einer meiner PC`s ständig Daten empfängt und sendet, obwohl kein Browser geöffnet ist (In 20 Minuten ca. 40.000 Pakete gesendet und nahezu ebensoviele empfangen).

Ich habe den PC mit dem Avira AntiVir (V 10), dem Spybot und einigen Onlinescannern durchsucht aber nichts gefunden.

Nach einigem hin und her habe ich dann den PC im abgesicherten Modus gestartet und den AntiVir nochmals suchen lassen, wobei das einzige Ergebniss eine Warnung war, dass eine Datei nicht geöffnet werden konnte.

Es handelte sich um die Datei C:\Windows\System32\drivers\mhpccj.sys

Die Datei ist 738 KB groß und es gibt sie auf meinen anderen beiden PC's nicht.

In Google ist nichts darüber zu finden.

Alle anderen Dateien mit der Endung *.sys ließen sich problemlos scannen, darum versuchte ich die Datei weg zu kopieren und als das nicht funktionierte wollte ich sie löschen. Das funktionierte auch nicht.
Selbst del /F brachte keinen Erfolg (seither hat die Datei das heutige Datum - vorher das vom 05.05.2010).

Kann mir jemand sagen was hier zu tun ist, bzw. was diese Datei auf meinem PC treibt?

Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Danke für die Tips.

Hier die drei Ergebnisse:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo cosinus,

anbei die Ergebnisdatei.

Hast Du den Doppelpunkt vor dem OTL mitkopiert? Das Script fängt mit ":OTL" an!

Hallo cosinus,

Du hattest natürlich recht.

Hier nun das Korrekte Log-File.


Nach dem reboot ist nun die Datei "qvjsge.dat" nicht mehr vorhanden, die Datei "mhpccj.sys" aber immer noch.

Das könnte ein Rootkit sein. Poste bitte GMER und OSAM Logfiles.

Hallo cosinus,

hier nun das Ergebnis von GMER.

Es war mir nicht möglich die Ergebnisdatei (html) von OSAM so zu konvertieren dass ich sie hier anhängen konnte.
Html geht nicht und die PDF-Datei ist 80 Kb groß - geht also auch nicht (außerdem nur schwarz/weiß)

OSAM erstellt eine Textdatei!! Wie kommst Du da auf HTML?

Weil ich eine html-Datei als Ausgabe bekommen habe. Ich lass das ganze heute nochmal laufen, vielleicht habe ich nur auf den falschen Button geklickt.

Hallo cosinus,


hier nun das Ergebnis von OSAM:

Bitte mit OSAM deaktivieren + löschen (delete from storage, siehe Anleitung zu osam ;) )

Hallo cosinus,


hier der Report von OSAM.

Es sieht gut aus. Der PC sendet und empfängt nun nicht mehr irgendwelche Daten.
Die Datei "mhpccj.sys" war nach der Aktion noch in dem Verzeichnis vorhanden, wurde aber sofort vom AntiVir als Root-Kit erkannt und entfernt.


Vielen Dank nochmals für die schnelle und professionelle Hilfe.:dankeschoen:

Gut. Ich würde jetzt aber noch einen Durchgang mit CF vorschlagen, das Tool nimmt uns ne Menge Arbeit ab:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo cosinus,

hier nun das Ergebnis von ComboFix:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo cosinus,


hier nun noch die Ergebnisse von Malewarebytes und AuperAntiSpyware.


Gruß

recos

Hm, SASW hat da nochwas gefunden => C:\WINDOWS\VENTUNO.EXE
Werte die Datei (falls noch vorhanden) bitte mal bei Virustotal aus und poste den Ergebnislink