Hallo,

Ich habe den scheinbar recht verbreiteten Trojaner TR/Dropper.Gen, und zwar in Form eines Rootkits. So zeigt mir Antivir folgendes an (ich kann das komplette Log nicht kopieren, da ich meinen PC vorsichtshalber vom Internet getrennt habe, aber hier mal das wichtigste):

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK

Beginn des Suchlaufs: Freitag, 8. Mai 2009 00:15

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\Antivir Desktop\PROFILES\AVSCAN-20090508-0018559699AAE0.avp' geschrieben.
c:\windows\system32\drivers\ovfsthldwrsovsokfktprqmjdvjmwkyoeiqejb.sys
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
c:\windows\system32\ovfsthdmfnxvuhbdanabpuwcuvggrpmbeugbpx.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthetchwtpyxohyyidyqcnqgflctufnhayq.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthfbdgsthqaidkpndjjkxgoftklhqvrrcj.dat
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\ovfsthiuhnjdrseeaoxxsxdowryyytbftmnkem.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\ovfsthmnopiayjjtytdaxardvvylaoffqstrtu.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!

Ende des Suchlaufs:Frreitag, 8. Mai 2009 00:18
Benötigte Zeit: 3:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
6 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
90002 Objekte wurden beim Rootkitscan durchsucht
14 Versteckte Objekte wurden


Antivir zeigt mir während der Suche nach den versteckten Dateien nach etwa 60% TR\Dropper.Gen an mit dem Hinweis, dass ich den PC neustarten muss, um den Infekt vollständig zu reparieren. Tue ich dies nicht und waehle statt 'OK' 'Abbrechen" hört Antivir nach der Suche nach versteckten Dateien mit der Suche auf, wodurch sich die geringe Suchdauer von 3 Minuten erklärt. Wähle ich dagegen 'OK' startet der PC neu, TR\Dropper.Gen findet Antivir dann aber immernoch und fordert mich wiederrum zum Neustart auf.

Mein Betriebssystem ist Win XP SP3. Eine Suche mit Malwarebytes Anti-Malware sowie AdAware findet nichts, genauso wie Antivir im abgesicherten Modus, also ohne Rootkitsuche.

Meine Frage ist nun, ob es noch irgendwelche Programme ausser den 3 genannten gibt, die den Schädling evtl. beseitigen können. Oder kann ich vielleicht von einer anderen, sauberen Festplatte booten und das Rootkit auf meiner aktuellen Festplatte so beseitigen? Ich würde mir nämlich wirklich gerne eine Neuinstallation von Windows ersparen.

Ich hoffe, ihr könnt mir helfen, und schonmal Danke im Vorraus.

Hi,

zuerst Combofix, dann bitte Gmer:

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe


Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Es ist also okay, den PC zwecks Download der Programme und Kopieren der Berichte kurz ans Internet anzuschliessen?

Hi,

die zweit Schritte aber bitte dann direkt hintereinander ohne Online durchführen... und die Onlinezeiten möglichst kurz halten...

chris

Ok, ich werd das machen sobald meine Datensicherung fertig ist. Ich hab im Moment keine externe Festplatte hier, hoffe aber, es morgen Abend zu schaffen. Danke für die Geduld.

So, erstmal bitte ich um Verzeihung für die lange Wartezeit, es hat doch länger gedauert, an die externe Platte zu kommen, als gedacht.

Ich bin nun jedenfalls mit meiner Datensicherung fertig, habe Combofix auf den Desktop kopiert und ausgeführt. Erst wurde die Wiederherstellungskonsole installiert und danach ging der Scanvorgang los. Bis dahin ging auch alles gut und er zeigte mir die selben Rootkits wie Antivir an, welche ich auf einen Zettel schreiben sollte. Anschliessend wurde Windows neugestartet, doch danach ging plötzlich meine Tastatur nicht mehr. Ich hänge nun in der Benutzeranmeldung, kann aber mein Passwort nicht eingeben, da nichts passiert, egal welche Taste ich drücke. Die "Num Lock" Anzeige leuchtet übrigens, die Tastatur scheint also aktiv zu sein. Wie komm ich nun wieder in Windows und was soll ich dann machen?