Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!

foreveryoung

Liebe Experten,
am 20.07.2008 habe ich mich für mein Online Banking bei der Sparkasse angemeldet. Beim Wechsel von meiner Statusanzeige zur Umsatzanzeige wurden 10 TANs abgefragt, die ich natürlich nicht angegeben habe.

Ich arbeite auf Windows XP, habe eine Festplatte in zwei Platten C: und F: partioniert. D: und E: sind DVD Player und Brenner, wobei D: schon 1 Jahr defekt ist. Die Leistung ist AMD Athlon 64 Prozessor 3000+, 2.01 GHz, 1,00 GB RAM.
Am Donnerstag - vor dem Online Banking- habe ich das SP3 für XP mit allen Updates installiert. Zudem habe ich AntiVir, AdAware, Spybot und Zonealarm upgedatet und durchlaufen lassen. Es wurde nichts gefunden.

Anmerkung: Mit firefox werden keine 10 TANs abgefragt.

Heute habe ich nod32 installiert, nachdem ich meine Sicherheitsprogramme deinstalliert und Kaspersky nicht installiert bekommen habe. Mir wurde folgendes gemeldet:
"Arbeitsspeicher - Win32/Mebroot Trojaner - Säubern nicht möglich"


Auf meiner Suche in diesem Forum bin ich auf den Thread
h**p://w*w.trojaner-board.de/54836-virus-trojan-mebroot-b-post349749.html#post349749
gestoßen.

Die Anweisungen habe ich bis GMER - Rootkit Detection verfolgt, ich weiß aber nicht wie weit ich die Ergebnisse auf mein Problem übertragen kann.

Kann hier jemand einsteigen und mir Laien weiterhelfen?


Mein HijackThis Log lautet:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:43, on 22.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Location Finder\LocationFinder.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\+++\Desktop\gmer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w+w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVidia System Utility] "C:\Programme\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Location Finder] "C:\Programme\Microsoft Location Finder\LocationFinder.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5359 bytes



mbr.log nach öffnen der mbr.bat:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://w+w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x17499f00 size 0x1fd !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !



gmer hat folgendes protokolliert:
GMER 1.0.14.14536 - h++p://w*w.gmer.net
Rootkit scan 2008-07-22 20:45:03
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ZwOpenFile [0xF72E6030]

---- Kernel code sections - GMER 1.0.14 ----

PAGE CLASSPNP.SYS!ClassInitialize + F4 F764342C 4 Bytes [ 56, 27, 72, 86 ]
PAGE CLASSPNP.SYS!ClassInitialize + FF F7643437 4 Bytes [ AC, E1, 71, 86 ]
PAGE CLASSPNP.SYS!ClassInitialize + 10A F7643442 4 Bytes [ 68, 27, 72, 86 ]
PAGE CLASSPNP.SYS!ClassInitialize + 111 F7643449 4 Bytes [ 5C, 27, 72, 86 ]
PAGE CLASSPNP.SYS!ClassInitialize + 118 F7643450 4 Bytes [ 62, 27, 72, 86 ]
PAGE ...
? C:\DOKUME~1\FOREVE~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptDestroyKey 77DB9E9C 7 Bytes JMP 00F62B93
.text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptDecrypt 77DBA109 7 Bytes JMP 00F62B50
.text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptEncrypt 77DBE340 7 Bytes JMP 00F62B14
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00F62AF9
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!send 71A14C27 5 Bytes JMP 00F62985
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00F62A77
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00F629BD
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00F629F5
.text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptDestroyKey 77DB9E9C 7 Bytes JMP 03072B93
.text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptDecrypt 77DBA109 7 Bytes JMP 03072B50
.text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptEncrypt 77DBE340 7 Bytes JMP 03072B14
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 446715E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 4467162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446715AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446716A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetCloseHandle 441EDA59 5 Bytes JMP 03073098
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpOpenRequestA 441F4341 5 Bytes JMP 03072DD1
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetConnectA 441F499A 5 Bytes JMP 03072BAE
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetReadFile 441FABB4 5 Bytes JMP 03073043
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpSendRequestA 441FCD40 5 Bytes JMP 03072F11
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpSendRequestW 44210825 5 Bytes JMP 030739D8
.text C:\Programme\Internet Explorer\iexplore.exe[2312] CRYPT32.dll!CertGetCertificateChain 77A62F67 5 Bytes JMP 03073578
.text C:\Programme\Internet Explorer\iexplore.exe[2312] CRYPT32.dll!CertVerifyCertificateChainPolicy 77A6B76F 5 Bytes JMP 03073581
.text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[3268] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 4 Bytes [ C2, 04, 00, 00 ]

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

Device \Driver\Cdrom \Device\CdRom0 86722756
Device \Driver\Cdrom \Device\CdRom1 86722756
Device \Driver\Disk \Device\Harddisk0\DR0 86722756

---- Threads - GMER 1.0.14 ----

Thread 4:472 867618D0
Thread 4:476 8674EBE0
Thread 4:480 86796DF0
Thread 4:484 8672F110
Thread 4:1596 867618D0
Thread 4:1600 8674EBE0
Thread 4:1604 86796DF0
Thread 4:1608 8672F110

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior;

---- EOF - GMER 1.0.14 ----


Wie soll ich jetzt weiterverfahren?