Hallo, wahrscheinlich habe ich mir einen Rootkit/MBR Rootkit eingefangen. Nach Hinweisen durch Antivir etc. dass auf meinem System ein Trojaner/Rootkit wäre, habe ich mich entschlossen, das System neu aufzusetzen. Nach Googlen habe ich die Partition D mit der MS Computerverwaltung neu formatiert. Danach System mit der Start CD gesartet und mit Restore, Fixboot bzw. Fixmbr ausgeführt. Danach komplett neu mit Format C:

Nachdem ich nacheinander SP2 , SP3 und IE8 installiert habe, wollte ich das System via Windows update auf den neuesten Stand bringen. Zuerst sollte ich ein Update Installations-Tool installieren (habe ich leider gemacht) und danach das Windows Genuine... (Überprüfung auf Original). Bei der Suche nach nötigen updates, ging ziemlich schnell, sollte ich 33 updates installieren und danach neu starten. Seitdem verhält sich das System auffällig: z.B. ist im abgesicherten Modus der PrevX Monitor abgeschaltet.
Da ich diesen ganzen .... schon mal gemacht hatte, habe ich nach jedem Schritt GMER und Hijack im Normal und im abgesicherten Modus scannen lassen. Bis zu den updates hatte GMER keine Meldungen und Hijack meiner Meinung nach keine Auffälligkeiten (die reports habe ich noch). Danach gab es aber Meldungen. Die Suche mit MBR.exe ergab keinen Report.

Ich hoffe, ihr könnt mir helfen und brauche keine neue Festplatte

Hier die Reports:

CCleaner hinterliess folgenden Rest:

Code: Alles auswählenAufklappen

ATTFilter

Ungenutzte Datei-Endungen	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
         

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2092
Windows 5.1.2600 Service Pack 3

08.05.2009 16:51:03
mbam-log-2009-05-08 (16-51-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 92931
Laufzeit: 8 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Hijackthis:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52:37, on 08.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241777432160
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

--
End of file - 3434 bytes
         

Uninstall-Liste:

Code: Alles auswählenAufklappen

ATTFilter

Adobe Flash Player 10 ActiveX
Autorun Virus Remover 2.3
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
Malwarebytes' Anti-Malware
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Prevx 3.0
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Windows Internet Explorer 8
Windows XP Service Pack 3
         

Gmer 1:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-08 14:01:56
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT   F7A830BE                                  ZwCreateKey
SSDT   F7A830B4                                  ZwCreateThread
SSDT   F7A830C3                                  ZwDeleteKey
SSDT   F7A830CD                                  ZwDeleteValueKey
SSDT   F7A830D2                                  ZwLoadKey
SSDT   F7A830A0                                  ZwOpenProcess
SSDT   F7A830A5                                  ZwOpenThread
SSDT   F7A830DC                                  ZwReplaceKey
SSDT   F7A830D7                                  ZwRestoreKey
SSDT   F7A830C8                                  ZwSetValueKey
SSDT   F7A830AF                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!_abnormal_termination + 351  804E29AD 3 Bytes  [30, A8, F7]

---- EOF - GMER 1.0.15 ----
         

Gmer2

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-08 14:53:36
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT  pxsec.sys (Prevx Realtime Analysis/Prevx)  ZwTerminateProcess [0xF7679680]

---- EOF - GMER 1.0.15 ----
         

Hallo...und

Zitat:

80b8c23c-16e0-4cd8-bbc3-cecec9a78b79

Was das angeht so kann ich dich beruhigen:
Dieses Problem tritt seit dem Update von Avira Antivir auf - diese Software
legt einen Schlüssel in der Registry an, welcher durch einen Selbstschutz
gesperrt ist.