Merkwürdige Viren/Trojaner - ständige Neuinfektion trotz Virenscanner

Uwe01

Hallo an die Experten,

ich weiß nicht weiter - seit einigen Wochen schlage ich mich damit herum, dass immer wieder verschiedene Viren oder Trojaner oder Würmer auftauchen, ohne dass ich die Ursache finde und ohne, dass ich neue Programme installiert hätte.

Meine aktuelle Systemkonfiguration ist folgende: Eine 160 GB Platte mit einer WindowsXP, einer Linux (Ubuntu 8.04) und einer mit NTFS formatierten Datenpartition. Dazu eine externe Festplatte.

Die Probleme (nur unter WinXP) gingen los, nachdem ich zum ersten Mal über den Zugang von Kabel Deutschland ins Netz gegangen bin. Kann es sein, dass Viren oder Trojaner auf dem Server lauern und sich aktiv von außen auf die Festplatte kopieren?

Ok, also los ging es mit merkwürdigen Fehlermeldungen von Windows XP, die mich misstrauisch gemacht haben. Außerdem ging plötzlich mIRC auf und wollte sich auf einem dubiosen channel anmelden. Ich habe daraufhin die Prozesse

clock.exe
igfxsrvc32.exe
system
system32(noch einige Zeichen - wechselnd).exe
bluesoleil.exe

im Autostart-Ordner gefunden (oder im Registry-Startup mit Regcleaner). Alle Dateien befanden sich im Verzeichnis C:\windows\system32\ und waren neu. Nach manuellem Löschen sind sie z.T. wieder aufgetaucht.

Zunächst habe ich mit F-Prot alles gescannt und desinfiziert. Nach dem Neustart waren
igfxsrvc32.exe und clock.exe wieder da. Daraufhin habe ich die Windows-Partition plattgemacht und mit Acronis Trueimage ein älteres Image der Partition aufgespielt. Auf dem Festplattenimage ist definitiv kein Virus, die Installation lief jahrelang problemlos.
Ich habe daher mit verschiedenen Online-Virenscannern (A-Squared, BitDefender, F-Prot/F-Secure, Kaspersky, Symantec) sowie Avira Antivir alles gescannt und auch den worm_sdbot.gav und irgendeinen Win32.Gen gefunden. Ok, alles desinfiziert/gelöscht, neu gestartet - beim Hochfahren konnte ich mich nicht mehr anmelden. Offenbar hatte irgendeins der Programme den Login-Vorgang verändert. Es blieb nichts weiteres übrig, als das Festplattenimage neu aufzuspielen.

Dieser Vorgang hat sich mehrfach wiederholt und es kam noch folgendes dazu: Nach einigen Neustarts kam plötzlich die Fehlermeldung "lsass.exe wurde unerwartet mit dem Code 0 beendet. Windows wird heruntergefahren." Teilweise bezog sich diese Fehlermeldung auf die Datei Temp/VRR1.tmp oder VRR2.tmp .
So, da konnte ich nichts weiter machen. Windows fuhr nach 10 Sekunden automatisch herunter. Neuanmeldung nach dieser Fehlermeldung war teilweise möglich, teilweise nicht. In den letzten Tagen kommt dazu die Meldung: "Systemdateien wurden durch neue Versionen ersetzt. Legen Sie die Windows XP System-CD ein."
Das ganze, obwohl Avira Antivir läuft und auch immer mal eine Alarmmeldung von sich gibt, worauf die entsprechende Datei gelöscht bzw. der Zugriff verweigert werden kann.

Avira hat im Laufe der Zeit noch folgende Virus/Trojanerdateien gefunden (sofort gelöscht):

in Windows\system32:
ojo.exe (DR/Delphi.Gen)
fixweb.exe

einige .exe Dateien im Verzeichnis "System Volume Information" der Datenpartition - ich habe das Verzeichnis daraufhin gelöscht und sämtliche ausführbare Dateien auf der Partition verschoben/umbenannt.

verschiedene .jpg Dateien, die ausführbaren Code enthielten (das Verzeichnis wurde nicht angezeigt)

Ok, also die Festplatten und Bootblöcke wurden x-mal gescannt. Der Master Boot Record habe ich überschrieben, indem ich einen Linux-Bootloader darauf installiert habe (auf der Festplatte ist nun auf einer dritten Partition Ubuntu installiert, von wo aus ich die Platte mit f-prot gescannt habe, um Bootblockviren keine Chance zu geben.) Die Bootblöcke der Windows-Partition und der Datenpartition sollten eigentlich keine Rolle spielen, außerdem wurden sie regelmäßig als virenfrei angezeigt.
Was ich allerdings festgestellt habe, dass ein kleiner Bereich von 7 MB plötzlich nicht mehr belegt war. Kann es sein, dass ein Trojaner/Virus sich eine eigene Mini-Partition schafft und von dort lädt? Dasselbe habe ich nämlich auf der externen, mit NTFS formatierten Festplatte festgestellt, nach deren Anschließen ein Alarm von Antivir kam und die danach öfters aktiv war, ohne dass ich aktuell darauf zugegriffen habe. Den Bereich habe ich gelöscht und einer anderen Partition angegliedert. Die externe Platte ist jetzt mit Ext3 neu formatiert und wird nur noch unter Linux verwendet.

Das war jetzt viel, also abschließend: Wo könnten die Viren/Trojaner noch herkommen? Und vor allem - was kann ich dagegen machen, ohne die Datenpartition löschen zu muessen? Verzeichnisse auf der Datenpartition sind eigentlich ausgeschlossen. Von da wird nichts automatisch geladen. Eventuell doch der Bootblock? Oder hilft nur eine Firewall? Ich brauche das Windows noch, aber eventuell könnte ich darauf verzichten, damit ins Netz zu gehen.

Schonmal vielen Dank im Voraus, bin für jede neue Idee dankbar, die mir weitere Zeit erspart, die ich da hineinstecken muss.

Uwe