Werd Rootkit nicht mehr los

#1 Ich weiß wircklich nicht mehr was ich machen soll, ich habe schon alle möglichen Virenscanner, Rootkit Scanner etc installiert, aber ich schaffe es einfach nicht das Rootkit zu löschen oder zumindest in die Quarantäne zu verschieben. Als ich versucht habe mit dem Programm "gmer" zu scannen bekam ich einen Bluescreen und das system wurde neugestartet. Ich habe gehört das es an dem Rootkit liegen soll. Sollte ich versuchen, die Datei manuell zu löschen bekomme ich den Fehler "Ein an das System angeschlossenes Gerät funktioniert nicht".


Hier einmal die log von Malwarebytes:

Zitat

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4119

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

20.05.2010 13:56:35
mbam-log-2010-05-20 (13-56-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 113428
Laufzeit: 5 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\Drivers\uefmfz.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Kaspersky kann ihn auch nicht löschen oder verschieben. Er wird angezeigt als "rootkit.win32.bubnix.o"
Außerdem habe ich herausgefunden, dass das rootkit auch in der Registry hängt unter:
HKEY_LOCAL_MACHINE/SYSTEM/Controlset001/services bis Controlset004/services, was ich zudem auch nicht löschen kann.


HijackThis Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:10:02, on 20.05.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\Windows\regedit.exe
C:\Users\Andreas\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: CRSICBZKXS - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\CRSICBZKXS.exe (file missing)
O23 - Service: NSQWZDVMU - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\NSQWZDVMU.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TGB - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\TGB.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: VRGAVGLOSE - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\VRGAVGLOSE.exe (file missing)

--
End of file - 4624 bytes

Ich hoffe mir kann jemand helfen diesen Rootkit loszuwerden. Ich habe meinen Computer erst vor kuzem neu installiert und möchte dies in so kurzer Zeit nicht nochmal tun müssen..

mfg und danke für eure mühe

#2 kannst du mal ein combofix log posten bitte?
http://board.protecus.de/t23188.htm

#3 Puh, nach dem combofix konnte ich nichts mehr starten, aber nach der neuinstallation ging wieder alles^^

k bitte

#4 was meinst du mit neuinstalation?

#5 download den avenger:
http://virus-protect.org/artikel/tools/avenger.html
entpacken, avenger.exe rechtsklick als admin ausführen. füge wie auf der seite beschrieben folgendes script ein.

Drivers to disable:
yqdpvyhdkpqr
CRSICBZKXS
yegxolurgfjl
uefmfz
VRGAVGLOSE
TGB
NSQWZDVMU
drivers to delete:
CRSICBZKXS
uefmfz
yqdpvyhdkpqr
NSQWZDVMU
yegxolurgfjl
VRGAVGLOSE
TGB
files to delete:
c:\windows\system32\drivers\yegxolurgfjl.sys
c:\users\Andreas\AppData\Local\Temp\CRSICBZKXS.exe
c:\users\Andreas\AppData\Local\Temp\NSQWZDVMU.exe
c:\users\Andreas\AppData\Local\Temp\TGB.exe
c:\windows\winstart.bat
c:\windows\system32\drivers\yqdpvyhdkpqr.sys
c:\windows\system32\drivers\uefmfz.sys
c:\users\Andreas\AppData\Local\Temp\VRGAVGLOSE.exe
folders to delete:
c:\windows\system32\%APPDATA%
c:\users\Andreas\AppData\Roaming\lowsec
registry keys to delete:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uefmfz]


lass das programm wie beschrieben laufen, log posten.

#6

Zitat

virenfinder postete
was meinst du mit neuinstalation?

Sorry, ich meinte natürlich neustarten.


@Virenfinder:

Sobald ich das script ausführe erhalte ich eine Fehlermeldung. Ich hab das bild angehängt

#7 hast du nen rechtsklick gemacht, als admin starten?

#8 Ja das habe ich

#9 Sorry fürs doppelpost. Ich habs doch nicht als admin gestartet. Jetzt bekomme ich allerdings eine andere Fehlermdelung.

siehe bild

#10 endere mal die letzten 2 zeilen

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uefmfz
dann gehts

#11 Nein, der gleiche fehler...
Liegt es vielleicht daran das man am anfang begin schreiben muss und am ende end oder so?

#12 nein. dann mache es ohne die letzten 2 zeilen und wir löschen es mit combofix.

#13 Okay, was soll ich jetzt machen?

#14 du sollst das script von oben nehmen, aber ohne die letzten beiden zeilen.
und das ergebniss posten

#15 Hab ich doch schon gemacht und gesagt das ich den selben fehler erhalte..