Rootkit.agent Skynet?

#1 Ich habe diese Anfrage gestern schon im Kaspersky-Forum gestellt, aber dort antwortet niemand. Deswegen wollte ich es hier versuchen.
Dies ist mein Text aus dem anderen Forum:

Zitat

Offensichtlich hab ich mir diesen Rootkit (und diverse Trojaner) eingefangen. Der Rechner (Desktop) ist jetzt offline. Ich hab mich schon halbwegs damit abgefunden, XP neu zu installieren. Das Problem ist aber, dass ich da noch einiges an Daten drauf habe, die ich gerne retten würde. Wie kann ich sicher gehen, dass ich mir das Speichermedium (USB-Stick, SD-Karte oder DVD) nicht infiziere? Ich hab noch einen Laptop, der viren- und rootkitfrei ist, der mir aber nicht gehört. Mit dem könnte ich zurzeit arbeiten. Dazu bräuchte ich aber die Daten von dem verseuchten Rechner ...

Ich wollte jetzt erstmal KAV benutzen, um den Desktop wieder hinzukriegen, aber ich kann damit nicht updaten, obwohl mein Browser (Firefox) geht. Mit Avira geht's übrigens ähnlich. Da kommt während der Aktivierung eine Meldung, dass keine sichere SSL-Verbindung möglich ist, so dass die Installation abgebrochen werden muss. Ich lade mir gerade über den KLUpdater die Daten auf den Laptop runter, um das Update dann per SD-Karte offline auf dem Desktop zu machen. Die SD-Karte hat ja einen mechanischen Schreibschutz, so dass da nichts passieren kann.
Was ich noch sagen kann, ist, dass ich ab und zu Bluescreens (DRIVER_IRQL_NOT_LESS_OR_EQUAL) habe, seit ich KAV installiert habe.

Was kann ich noch tun? Ist der Rechner noch zu retten, oder muss ich doch eine Neuinstallation machen? Reicht es, wenn auf dem Laptop Antivirenprogramme (zurzeit: KAV, Avira und Panda Cloud) installiert sind, um ihn vor den evtl. infizierten Daten von meinem Desktop zu schützen?

Kann mir hier jemand helfen?

#2 http://board.protecus.de/t23188.htm
abarbeiten und logs posten, du kannst ja kurz mit dem infizierten rechner ins netz, alles downloaden, malwarebytes updaten und dann die netzverbindung trennen.

#3 @virenfinder:
Vielen Dank für die schnelle Antwort. Den Thread den hab ich schon gesehen. Kann denn auch nichts passieren, wenn ich die Logs vom infizierten Rechner auf den USB-Stick lade und diese dann, zum hochladen, auf den sauberen Laptop spiele?

#4 ich weis ja ncoh nciht, was du auf dem pc hast.
war der stick schon an dem infizierten system?
du könntest autoplay deaktivieren, das würde die sache ein wenig sicherer machen.
www.wintotal.de/Tipps/?id=548 -
sollte immer abgeschalten werden, da usb-sticks etc eine potentielle quelle für infektionen sind.

#5 Das werd ich machen. Gerade habe ich KAV8 manuell (offline) upgedatet und führe zurzeit einen Scan damit durch.
Das kann jetzt etwas dauern ...
Ich melde mich dann später wieder, wenn ich alle Prozeduren durch habe.

#6 bitte arbeite wie vorgegeben!

#7 Ja klar. Als erstes soll man doch einen Virenscan machen, oder?

#8 Du sollst die pfade posten, falls vorhanden, wenn nicht, mache mit der anleitung weiter.

#9 Mach ich ja. Der Virenscan konnte nur nie beendet werden, weil der Rechner vorher immer abgestürzt ist (Bluescreen oder Neustart). Das mit dem Neustart hab ich behoben. Das war irgendwo was in der Systemsteuerung verstellt.
Wenn der Scan jetzt mit dem upgedateten KAV erfolgreich läuft, hab ja schon mal die Pfade komplett.

#10 mach was du willst...

#11 Ich weiß jetzt nicht, ob ich Dich verärgert habe. Soll ich den Scan abbrechen?

#12 nein, jetzt ist er ja schon angefangn. mach ihn ruhig weiter. poste dann die funde + die anderen logs.
kav 8 ist instaliert? hattest du ein anderes virenprogramm drauf vorher meine ich?

#13 Danke! Ja, ich hatte vorher Avira und Panda Cloud drauf. Das ist aber jetzt runter und jetzt ist nur noch KAV8 drauf.

Ergebnisse:
Das Teil bringt mich noch zur Verzweiflung!

Beim Hochfahren kommen zuerst immer folgende Meldungen:

Windows-Fehlermeldungen:
1x: DAEMONSearchBar -> Error: Engine loading was failed. -> OK
2x: DAEMON Tools Lite hat ein Problem festgestellt und muss beendet werden. -> Nicht senden
1x: QuickTime Task hat ein Problem festgestellt und muss beendet werden. -> Nicht senden
1x: NVIDIA Driver Helper Service, Version 91.31 hat ein Problem festgestellt und muss beendet werden. -> Nicht senden

dann:

KAV desinfiziert Malware.
Objekt: c:\program files\manson\liser.exe

Virus: Virus.Win32.Virut.ce
-> Desinfizieren (empfohlen) -> Auf alle Objekte anwenden

Trojanisches Programm:
Trojan-Dropper.Win32.Agent.atzd
-> OK (empfohlen) -> Auf alle Objekte anwenden

Virus: Virus.Win32.Virut.ce
-> Löschen (empfohlen) -> Auf alle Objekte anwenden


Nach dem Löschvorgang: automatischer Neustart


Online gegangen, dann das:


Updateversuch Malwarebytes:
Aktualisierung fehlgeschlagen. -> Firewall ist aber dafür konfiguriert!
Error code: 732 (12007)


Nächster Versuch: ComboFix starten.
Dann kommt das:


ComboFix-Fehlermeldung:

Error

!!WARNUNG!! ES IST NICHT SICHER weiter zu machen!
Der Inhalt des ComboFix-Anwendungspaketes wurde komprimitiert.
Bitte lade eine frische Version von:

Http://www.bleepingcomputer.com/combofix/how-to-use-combofix
herunter.

NB: Du bist vielleicht mit einem Virus infiziert, der Dateien
modifiziert, bzw. infiziert 'Virut'


Das passiert sowohl im normalen, als auch im abgesicherten Modus.
-> Wenn ich "OK" klicke, wird ComboFix.exe automatisch gelöscht.


Ich hatte vergessen zu sagen, das ich bereits CCleaner installiert hatte. Mittlerweile habe ich es wieder deinstalliert, aber beim Hochfahren kommt ein Fenster, dass der Browserverlauf gelöscht wird, obwohl das Programm gar nicht mehr da ist.

Hier die Logs (hab auch noch einen Scan mit GMR gemacht):

Nachtrag: Logdateien entfernt!

#14 Hi,
brauch gar net zu gucken, dein pc ist mit einem file infector infiziert, formatiere deinen pc. wenn du daten sicherst, bitte keine .exe .rar oder sonstigen files sichern, texte und dokumente gehen. update erst dein windows und spiele erst ein antivirenprogramm auf, befor du irgendeinen datenträger anschließt oder ins laufwerk tust.
im viren-bereich gibts n thread zum formatieren.

#15 Tja, das ist Mist ...
Trotzdem,- schönen Dank für die Hilfe.