RKIT/Agent.oxr <-- was tun

#1 Hallo zusammen,
mich hat es mal wieder erwischt. Keine Ahnung wann und wie ich mir diesen Plagegeist eingefangen habe. Jedenfalls kam ich heute Nachmittag von der Arbeit nach Hause und Antivir zeigte mir diesen Fiesling an.
Hier der HJT Log File:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:13:20, on 23.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
R:\Programme\wswin\wswin32.exe
R:\visiongs\visiongs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Ask.com Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\Supertoolbar\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Ask.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\Supertoolbar\GenericAskToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIMACE] C:\Programme\ATI Technologies\ATI.ACE\MACE.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138717820890
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Update Service (gupdate1c98f66ea742a4c) (gupdate1c98f66ea742a4c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9422 bytes


Wollte dann Malwarebytes drüber laufen lassen, aber das Prog läßt sich einfach nicht starten. Ebenso wird nach einem PC Neustart der Antivir Guard automatisch deaktiviert.

GMER sagt folgendes:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-08-22 23:01:15
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

Code 8621E5B8 ZwEnumerateKey
Code 8620E3B8 ZwFlushInstructionCache
Code 86376126 IofCallDriver
Code 86246E36 IofCompleteRequest
Code 8620EDED ZwSaveKey
Code 86296145 ZwSaveKeyEx

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!ZwSaveKey 804DD6E8 5 Bytes JMP 8620EDF2
.text ntoskrnl.exe!ZwSaveKeyEx 804DD6FC 5 Bytes JMP 8629614A
.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 8637612B
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 86246E3B
PAGE ntoskrnl.exe!ZwEnumerateKey 8056EE68 5 Bytes JMP 8621E5BC
PAGE ntoskrnl.exe!ZwFlushInstructionCache 8057797A 5 Bytes JMP 8620E3BC

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[704] WS2_32.dll!connect 71A1406A 5 Bytes JMP 100127E0 \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll
.text C:\Programme\Mozilla Firefox\firefox.exe[704] WS2_32.dll!send 71A1428A 5 Bytes JMP 100127C0 \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll
.text C:\Programme\Mozilla Firefox\firefox.exe[704] WS2_32.dll!closesocket 71A19639 5 Bytes JMP 100129A0 \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll

---- Devices - GMER 1.0.14 ----

Device \Driver\usbstor \Device\0000009b 86032268
Device \Driver\usbstor \Device\0000009c 86032268
Device \Driver\usbstor \Device\0000009d 86032268
Device \Driver\usbstor \Device\0000009e 86032268
Device \Driver\usbstor \Device\0000009f 86032268
Device \Driver\usbstor \Device\000000a0 86032268
Device \Driver\usbstor \Device\000000a1 86032268
Device \Driver\atapi \Device\Ide\IdePort0 8633BB18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8633BB18
Device \Driver\atapi \Device\Ide\IdePort1 8633BB18
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-22 8633BB18
Device \Driver\atapi \Device\Ide\IdePort2 8633BB18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8633BB18
Device \Driver\atapi \Device\Ide\IdePort3 8633BB18
Device \Driver\atapi \Device\Ide\IdePort4 8633BB18
Device \Driver\atapi \Device\Ide\IdePort5 8633BB18
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-17 8633BB18
Device \Driver\usbstor \Device\00000092 86032268
Device \Driver\usbstor \Device\00000097 86032268
Device \Driver\usbstor \Device\00000098 86032268
Device \Driver\usbstor \Device\00000099 86032268
Device \Driver\usbstor \Device\0000009a 86032268

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Processes - GMER 1.0.14 ----

Library \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [272] 0x10000000
Library \\?\globalroot\systemroot\system32\UACaioadpjhrl.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [272] 0x00700000
Library \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [420] 0x10000000
Library \\?\globalroot\systemroot\system32\UACaioadpjhrl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [420] 0x00700000
Library \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [604] 0x10000000
Library \\?\globalroot\systemroot\system32\UACaioadpjhrl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [604] 0x00700000
Library \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (*** hidden *** ) @ C:\Programme\Mozilla Firefox\firefox.exe [704] 0x10000000
Library \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1112] 0x00EC0000
Library \\?\globalroot\systemroot\system32\UACumglkwnavd.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1244] 0x00B80000
Library \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1532] 0x10000000
Library \\?\globalroot\systemroot\system32\UACaioadpjhrl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1532] 0x00700000
Library \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1868] 0x10000000
Library \\?\globalroot\systemroot\system32\UACaioadpjhrl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1868] 0x00700000
Library \\?\globalroot\systemroot\system32\UACcfuwnnehwm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2688] 0x10000000
Library \\?\globalroot\systemroot\system32\UACaioadpjhrl.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2688] 0x00700000

---- Registry - GMER 1.0.14 ----

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C6500930-2FBA-77DB-71E1-BC1C9DD3772D}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C6500930-2FBA-77DB-71E1-BC1C9DD3772D}@paknjpgmpgcjaahcecmhibaiekienbjj 0x61 0x62 0x64 0x6C ...

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.14 ----


Hoffe es waren nicht zu viele Infos auf einmal. Wäre für eure Hilfe mal wieder sehr dankbar .

#2 ok, du hast einen Rootkit, wenn du onlinebanking betreibst, oder sonst etwas mit Geld am PC machst, solltest du deiner Bank dein Problem mitteilen und deinen PC neu aufsetzen, wenn wir hier fertig sind, musst du all deine Passwörter endern.
Wenn du weiter machen willst, dann:
Trenne den PC vom Internet, außer du musst auf von mir genannten Seiten Surfen.
Lade Radix:
www.usec.at/rootkit.html -
Aktiviere alles auf dem tab scan.
Befor du beginnst, schalte alle Programme ab, trenne die Internetverbindung, indem du das Netzwerkkabel ziehst. starte den Scan.
Das Log wird wahrscheinlich zu groß sein, packe es mit Zip und hänge es hier an.

#3 Verdammte Hacke, genau das wollte ich nicht. Habe den PC erst vor kurzem mit Mühe ordentlich ans Laufen bekommen.
Gibt es keinen anderen Weg ausser alles platt zu machen? Auch wenns sehr aufwendig und lange dauert.

Verstehe immer noch nicht wie ich mir diesen Rootkit eingefangen habe, da ich ja garnicht zu Hause war und so auch nicht surfen konnte.

#4 Also wenn Du Dir hundert Pro im klaren bist, dann wäre evtl auch ein Reinigung möglich. Aber ohne Garantie und ohne Sicherheit.

Es liegt an Dir was du willst.

Gruss Swiss

#5 Hallo,
versuchen kann ich es, wenn es aber nicht klappt oder zu kompliziert wird ,dann bleibt mir keine andere Wahl ,als alles zu plätten.
Aber schonmal DANKE für eure Mühen.

#6 >>
Askbar entfernen
Start -> Einstellungen -> Systemsteuerung -> Software >
Schau ob AskSBar,SrchAstt oder Ask Search Assistant dazwischen steht,entfernen

>>
Wende Combofix an. Hier im Link ganz unten und poste das Log:
http://board.protecus.de/t23187.htm

>>
Rootkitscan mit RootRepeal

* Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
* Entpacke die Datei auf Deinen Desktop.
* Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
* Klicke auf den Reiter Report und dann auf den Button Scan.
* Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
.
* Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
* Wähle C:\ und klicke wieder Ok.
* Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
* Wenn der Suchlauf beendet ist, klicke auf Save Report.
* Speichere das Logfile als RootRepeal.txt auf dem Desktop.
* Kopiere den Inhalt hier in den Thread.

Gruss Swiss

#7 Ich sehe schwarz:
ComboFix will das ich Antivir schließe, nur wie geht das? Kann den Guard nur deaktivieren. Beim Scan stürzt der PC dann ab.
Lass gerade den Rootrepeal drüber laufen.

#8 Hier der Log:
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/08/23 11:21
Program Version: Version 1.3.5.0
Windows Version: Windows XP Media Center Edition SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xAABB8000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79CD000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA7C27000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: c:\test\windir.dat
Status: Allocation size mismatch (API: 4096, Raw: 0)

Path: C:\WINDOWS\system32\UACaioadpjhrl.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\UACcfuwnnehwm.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\uacinit.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\UAClqcfyqnrcx.db
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\UACoedebvvhek.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\UACtnckqaenqt.dat
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\UACumglkwnavd.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\temp\UAC6d66.tmp
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\drivers\UACkinjuhkqkx.sys
Status: Invisible to the Windows API!

Path: c:\dokumente und einstellungen\kevin\desktop\settings.dat
Status: Size mismatch (API: 15, Raw: 0)

Path: C:\Dokumente und Einstellungen\Kevin\Recent\RootRepeal.rar.lnk
Status: Visible to the Windows API, but not on disk.

Path: C:\Dokumente und Einstellungen\Kevin\Lokale Einstellungen\temp\UACba71.tmp
Status: Invisible to the Windows API!

Stealth Objects
-------------------
Object: Hidden Module [Name: UACaioadpjhrl.dll]
Process: svchost.exe (PID: 1104) Address: 0x00700000 Size: 77824

Object: Hidden Module [Name: UACoedebvvhek.dll]
Process: svchost.exe (PID: 1104) Address: 0x00960000 Size: 73728

Object: Hidden Module [Name: UAC6d66.tmpnnehwm.dll]
Process: svchost.exe (PID: 1104) Address: 0x10000000 Size: 217088

Object: Hidden Module [Name: UACaioadpjhrl.dll]
Process: Explorer.EXE (PID: 1276) Address: 0x10000000 Size: 77824

Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8633bb18 Size: 1256

Object: Hidden Code [Driver: usbstor, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8601d038 Size: 229

Hidden Services
-------------------
Service Name: UACd.sys
Image Path: C:\WINDOWS\system32\drivers\UACkinjuhkqkx.sys

==EOF==

#9 >>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Drivers to disable:
UACkinjuhkqkx.sys
UACkinjuhkqkx

Drivers to delete:
UACkinjuhkqkx.sys
UACkinjuhkqkx

Files to delete:
C:\WINDOWS\system32\drivers\UACkinjuhkqkx.sys
C:\WINDOWS\system32\UACaioadpjhrl.dll
C:\WINDOWS\system32\UACcfuwnnehwm.dll
C:\WINDOWS\system32\uacinit.dll
C:\WINDOWS\system32\UAClqcfyqnrcx.db
C:\WINDOWS\system32\UACoedebvvhek.dll
C:\WINDOWS\system32\UACtnckqaenqt.dat
C:\WINDOWS\system32\UACumglkwnavd.dll
C:\WINDOWS\temp\UAC6d66.tmp
C:\WINDOWS\system32\drivers\UACkinjuhkqkx.sys

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Nun versuche Malwarebytes zu laden, dann umbennen in Scan.exe und führe den Scan durch:
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Zudem versuche nochmals Combofix (Avira rechts unten dekativieren)
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#10 Was ist mit radix, ich vermute auch noch einen rootkit im mbr

#11 Sorry Virenfinder fürs reinposten. Das wird keine Vermutung sein, das ist so mit MBR. Wollte mal zuerst das UAC Rootkit killen und schauen was CF noch bewirkt.

Gruss Swiss

#12 Kein Problem.

#13 Hier das Log vom Avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open driver "UACkinjuhkqkx.sys"
Disablement of driver "UACkinjuhkqkx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open driver "UACkinjuhkqkx"
Disablement of driver "UACkinjuhkqkx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\UACkinjuhkqkx.sys" not found!
Deletion of driver "UACkinjuhkqkx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\UACkinjuhkqkx" not found!
Deletion of driver "UACkinjuhkqkx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\UACkinjuhkqkx.sys" deleted successfully.
File "C:\WINDOWS\system32\UACaioadpjhrl.dll" deleted successfully.
File "C:\WINDOWS\system32\UACcfuwnnehwm.dll" deleted successfully.
File "C:\WINDOWS\system32\uacinit.dll" deleted successfully.
File "C:\WINDOWS\system32\UAClqcfyqnrcx.db" deleted successfully.
File "C:\WINDOWS\system32\UACoedebvvhek.dll" deleted successfully.
File "C:\WINDOWS\system32\UACtnckqaenqt.dat" deleted successfully.
File "C:\WINDOWS\system32\UACumglkwnavd.dll" deleted successfully.

Error: file "C:\WINDOWS\temp\UAC6d66.tmp" not found!
Deletion of file "C:\WINDOWS\temp\UAC6d66.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\drivers\UACkinjuhkqkx.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#14 Malwarebytes kann ich weiterhin nicht starten und ComboFix bringt immer noch den PC zum Absturz. Immerhin konnte ich Malwarebytes nach umbenennen in scan.exe installieren, das ging vorher nämlich nicht. Nur startet es einfach nicht.
Sieht wohl echt schlecht aus.
Nach wie vor kann ich nicht verstehen wie ich mir das Ganze eingehandelt habe.

#15 Versuche Malwarebytes einmal im abgesicherten Modus zu starten.

Gruss Swiss