Trojaner-Board - Spyware Plagegeister Bekämpfen

Hallo Trojaner-Board,
ich habe einen Scan mit dem svv - tool (-> invisiblethings.org) durchgeführt und dabei folgendes Ergebnis erhalten:

C:\Dokumente und Einstellungen\andi\Desktop\svv-2.2>svv check /m
ntoskrnl.exe (804d7000 - 806eba00)... suspected! (verdict = 5).
module ntoskrnl.exe [0x804d7000 - 0x806eba00]:
0x804db03d (section .text) [RtlPrefetchMemoryNonTemporal()+0] 1 byte(s): exc
lusion filter: single byte modification
file :c3
memory :90
verdict = 1

0x804dbaa2 (section .text) 18 byte(s): exclusion filter: KeFlushCurrentTb()
file :d8 0f 22 d8 c3 0f 20 e0 25 7f ff ff ff 0f 22 e0 0d 80
memory :e0 25 7f ff ff ff 0f 22 e0 0d 80 00 00 00 0f 22 e0 c3
verdict = 1

0x804dbaba (section .text) 1 byte(s): exclusion filter: single byte modifica
tion
file :c3
memory :00
verdict = 1

0x804de8ea (section .text) 1 byte(s): exclusion filter: single byte modifica
tion
file :05
memory :06
verdict = 1

0x804e270c [KiServiceTable[25]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd818 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :49 6b 56 80
memory :18 d8 7c f7
verdict = 2

0x804e274c [KiServiceTable[41]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd7d0 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :61 e7 56 80
memory :d0 d7 7c f7
verdict = 2

0x804e275c [KiServiceTable[45]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77c1a20 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :b8 77 5b 80
memory :20 1a 7c f7
verdict = 2

0x804e27c4 [KiServiceTable[71]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77c22a8 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :68 ee 56 80
memory :a8 22 7c f7
verdict = 2

0x804e27cc [KiServiceTable[73]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd910 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :28 eb 57 80
memory :10 d9 7c f7
verdict = 2

0x804e2878 [KiServiceTable[116]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77e7b40 is inside a347bus.sys module [0xf77e6000-0xf780e000]
target module path: a347bus.sys
file :e3 0c 57 80
memory :40 7b 7e f7
verdict = 2

0x804e2884 [KiServiceTable[119]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd794 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :fb 7a 56 80
memory :94 d7 7c f7
verdict = 2

0x804e2928 [KiServiceTable[160]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77c22c8 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :71 eb 56 80
memory :c8 22 7c f7
verdict = 2

0x804e296c [KiServiceTable[177]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd866 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :bb b0 56 80
memory :66 d8 7c f7
verdict = 2

0x804e2a6c [KiServiceTable[241]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd0b0 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :27 55 66 80
memory :b0 d0 7c f7
verdict = 2

IDT[6] points to 0xf1c2916d which is inside Haspnt.sys module [0xf1c26000-0xf1c
32000]
target module path: \??\C:\WINDOWS\System32\drivers\Haspnt.sys
verdict = 5
UNFIXABLE!

IDT[14] points to 0xf1c28fc2 which is inside Haspnt.sys module [0xf1c26000-0xf1
c32000]
target module path: \??\C:\WINDOWS\System32\drivers\Haspnt.sys
verdict = 5
UNFIXABLE!

module ntoskrnl.exe: end of details

SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!

Voller Entsetzen über dieses erschreckende Ergebnis habe ich einen e-scan durchgeführt, wobei ich in der Virus Log Information folgende Einträge hatte:

Object "bridge Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediamotor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediamotor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Weil ich befürchte mir ein Rootkit eingefangen zu haben habe ich einen Scan mit RootkitRevealer durchgeführt:

HKLM\SOFTWARE\Classes\gopher 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\gopher\DefaultIcon 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\gopher\shell 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\gopher\shell\open 09.02.2006 04:28 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\gopher\shell\open\command 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 20.01.2005 21:18 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\telnet 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\telnet\DefaultIcon 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\telnet\shell 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\telnet\shell\open 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\telnet\shell\open\command 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole\AppCompat 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole\NONREDIST 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc 08.02.2006 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\ClientProtocols 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\NameService 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\NetBios 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\SecurityService 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 20.01.2005 21:21 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 20.01.2005 21:22 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 08.02.2006 18:17 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 08.02.2006 18:17 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf42 06.10.2005 19:58 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf43 11.12.2004 16:12 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\E04822AD18D472EA5B582E6E6F8C6B9A 09.02.2006 04:50 531 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\E04822AD18D472EA5B582E6E6F8C6B9A 09.02.2006 04:50 140 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Anwendungsdaten\Microsoft\Office\Recent\hitb05_virginity_verifier.ppt.LNK 09.02.2006 04:52 581 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO 09.02.2006 04:52 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\29CC46F8.emf 09.02.2006 04:52 9.70 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\2AB4C10F.emf 09.02.2006 04:52 62.18 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\71DE6A99.emf 09.02.2006 04:52 51.92 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\8CB78413.emf 09.02.2006 04:52 64.63 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\CFB55FC6.emf 09.02.2006 04:52 63.81 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Recent\hitb05_virginity_verifier.ppt.lnk 09.02.2006 04:52 631 bytes Hidden from Windows API.
C:\System Volume Information\_restore{2704B055-898F-42E6-A50D-95530B8585C6}\RP24\A0013529.LNK 22.01.2006 21:05 441 bytes Hidden from Windows API.
C:\WINDOWS\system32\CatRoot2\tmp.edb 09.02.2006 04:48 1.01 MB Hidden from Windows API.

Daraufhin habe ich auch meine anderen beiden PC´s ge-checkt (ein alter PC und ein Notebook)
Der Scan mit SVV-2.2 brachte glücklicherweise einen SYSTEM INFECTION LEVEL: 2 bei beiden Geräten.

Aber der e-scan brachte im Fall des älteren PC´s folgendes zutage:

Object "aureate/radiate Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ebates moneymaker Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Und im Fall des Notebooks:

Object "smitfraud variant Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "rapidblaster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.desktop toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "rapidblaster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "bridge Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Diese schlechten Ergebnisse überraschen mich wirtklich total, da ich von Haus aus AntiVir benutze, der auf keiner der genannten Maschinen einen Fund anzeigt. Außerdem benutze ich SpyBot, SpywareBlaster, Ewido, AdAware und selbst bei HijackThis habe ich durchweg grüne (gute) Einträge auf der automatischen Logfile Auswertung herausbekommen.

Nun zu den Fragen:
-Habe ich auf der Maschine 1 ein Rootkit?
-Sollte ich diese neu aufsetzen, oder welche Möglichkeiten habe ich die Kernel Einträge zu fixen?
-Wie beseitige ich die von escan gefundenen Viren auf allen drei Geräten?

Schoneinmal vielen Dank an alle die mir bei meinen Problemen helfen können.

MfG