Trojaner-Board - Offen TR/Rootkit.Gen

Hallo Leute :D

Ich bin seit vorgestern nach zich Meldungen von Antivir auf die Suche nach ner Lösung. Unter anderem waren Trojaner wie TR/Droper.Gen dabei... schliesslich kam ich auf die Idee einfach nur C:WINDOWS/System32 mit AntiVir zu druchsuchen, da eine ganze Druchsuchung zu viel Zeit benötigte... nach der Untersuchung kamen wie folgt diese Ergebnisse:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 26. März 2009 16:56

Es wird nach 1322634 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : XP
Computername : Professional

Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 11:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.2.199 1008640 Bytes 22.03.2009 15:22:13
ANTIVIR3.VDF : 7.1.2.216 161792 Bytes 25.03.2009 16:06:20
Engineversion : 8.2.0.126
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42
AESCRIPT.DLL : 8.1.1.67 364923 Bytes 19.03.2009 15:13:43
AESCN.DLL : 8.1.1.8 127346 Bytes 19.03.2009 15:13:42
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.11 397687 Bytes 25.03.2009 16:06:24
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.111 1679736 Bytes 25.03.2009 16:06:24
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.30 336245 Bytes 19.03.2009 15:13:41
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 13:22:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 06:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\XP~1.PRO\LOKALE~1\Temp\5dad3375.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. März 2009 16:56

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\svchost.exe:ext.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\system32\svchost.exe:exe.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
C:\WINDOWS\system32\tuvUlICv.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\WINDOWS\system32\vwaiqw.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\WINDOWS\system32\drivers\e7e19d00.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\WINDOWS\system32\svchost.exe:ext.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2ea710.qua' verschoben!
C:\WINDOWS\system32\svchost.exe:exe.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b412cf9.qua' verschoben!
C:\WINDOWS\system32\tuvUlICv.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3ed758.qua' verschoben!
C:\WINDOWS\system32\vwaiqw.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba1377f.qua' verschoben!
C:\WINDOWS\system32\drivers\e7e19d00.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a30a6e2.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 26. März 2009 17:00
Benötigte Zeit: 02:53 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

263 Verzeichnisse wurden überprüft
14518 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
14511 Dateien ohne Befall
19 Archive wurden durchsucht
4 Warnungen
5 Hinweise

______________

danach hab ich dem AntiVir "befohlen" diese Dateien zu repariere, was er auch gemacht und mich dann aufgefordert hat den Computer neuzustarten.
Also startete ich den PC neu und komischerweise wurde ich jetzt plötzlich nicht mehr von diesen TrojanerMeldungen überflutet... Es schien funktioniert zu haben...
Nach einem erneuten Scan, diese Ergebnisse:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 26. März 2009 17:08

Es wird nach 1322634 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : XP
Computername : Professional

Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 11:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.2.199 1008640 Bytes 22.03.2009 15:22:13
ANTIVIR3.VDF : 7.1.2.216 161792 Bytes 25.03.2009 16:06:20
Engineversion : 8.2.0.126
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42
AESCRIPT.DLL : 8.1.1.67 364923 Bytes 19.03.2009 15:13:43
AESCN.DLL : 8.1.1.8 127346 Bytes 19.03.2009 15:13:42
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.11 397687 Bytes 25.03.2009 16:06:24
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.111 1679736 Bytes 25.03.2009 16:06:24
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.30 336245 Bytes 19.03.2009 15:13:41
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 13:22:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 06:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\XP~1.PRO\LOKALE~1\Temp\60b69e0e.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. März 2009 17:08

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\e7e19d00.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\e7e19d00.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a30a96a.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 26. März 2009 17:11
Benötigte Zeit: 02:57 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

263 Verzeichnisse wurden überprüft
14512 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
14509 Dateien ohne Befall
19 Archive wurden durchsucht
2 Warnungen
1 Hinweise

___________

diesmal also nur den TR/Rootkit.Gen gefunden.... den hab ich auch repariert und wieder neugestartet und dann wieder den Scan durch system32 durchgeführt - und wieder wurde der gleiche Trojaner gefunden: TR/Rootkit.Gen

__________

was schlagt ihr mir vor zu machen?? wenn es ganz schlimm ist kann ich auch formatieren... ne externe festplatte hab ich und ne Xp cd mit lizenz sowieso und weiss auch wie es geht.... aber es "kackt" mich auch einbisschen an C: zu formatieren ^^
es gibt sicher noch andere möglichkeiten - hoffentlich!

mfg zer0