Heuristic.Possible.MBR.Rootkit (A)

#1 Hallo lieber Helfer,

gestern habe ich festgestellt, dass Web.de meine IP-Adresse gebannt hat. Ich war zunächst verwundert und habe etwas recheriert zu dem Thema. Ich bin bei dem Anbieter Primacom und habe herausgefunden das ich eine statische IP zugewiesen bekommen habe. Eine Recherche, ob meine IP Blacklisted ist, hat zu Tage gefördert, dass ich bei 3 Blacklists mit meiner IP bin - wegen Spam.

Als Hinweis stand meist Malware oder dass man unbewusst Teil eines Botnetzes ist.

Zur Information ich habe Win7 64 Bit - bisherige Updates sind an Bord.

Was habe ich bisher getan?

Ich habe mit Avira gescannt: kein Fund.

Ich habe mit Malewarebytes Anti-Malware gescannt: Kein Fund.
Log-File im Anhang

Danach mit Emisoft Anti-Malware: Heuristic.Possible.MBR.Rootkit (A)
Log-File im Anhang

Daraufhin habe ich mich im Forum von Emisoft schlau gemacht und TDSSKiller genutzt : Kein Fund
Log-File im Anhang

Ich war verwundert, dass ich damit nichts gefunden habe, denn der Support in dem og Forum hat einem anderen Fragesteller gesagt, dass es damit behoben werden kann.

Anschließend habe ich aswMBR scannen lassen, mit der neusten AVAST! Definition : Kein Fund
Log-File im Anhang

Tja und als letztes habe ich noch MBRCheck seine Arbeit verrichten lassen : Win7 Bootcode ist gefunden worden.
Log-File im Anhang


Ok und damit war ich mit meinem Latein am Ende, keine andere Sofware als Emisoft's Anti-Malware hat etwas gefunden. Ich bin trotzdem noch etwas beunruhigt und wollte mir hier noch eine Expertenmeinung einholen.

Den OTL Quick-Scan ist im Anhang zu finden.

Vielen Dank für eure Hilfe!

#2 Hier nochmal der OTL-Scan mit dem Benutzerdefinierten Einstellungen!

Über 100 Hits und keiner der mir helfen kann? Bin über jeden Hinweis dankbar

#3 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

#4 Danke für deine Hilfe Swisstreasure!

Die von ComboFix gelöschten Dateien war unter anderem der Client für das Hochschul-WLAN. Die sollten es also nicht gewesen sein.

Den kompletten Log findest du im Anhang.

#5 Nachdem jetzt ein paar Tage Ruhe war ist meine IP wieder auf einer Blacklist aufgetaucht, mit folgenden Hinweis:

Zitat

It was last detected at 2012-11-17 13:00 GMT (+/- 30 minutes), approximately 3 hours ago.

It has been relisted following a previous removal at 2012-11-13 22:30 GMT (3 days, 16 hours, 52 minutes ago)

This IP is infected with, or is NATting for a machine infected with Torpig, also known by Symantec as Anserin.

This was detected by observing this IP attempting to make contact to a Torpig Command and Control server at , with contents unique to Torpig C&C command protocols.

Torpig is a banking trojan, specializing in stealing personal information (passwords, account information, etc) from interactions with banking sites.

Torpig is normally dropped by Mebroot. Mebroot is a Rootkit that installs itself into the MBR (Master Boot Record).

With Mebroot or any other rootkit that installs itself into the MBR, you will either have to use a "MBR cleaner" or reformat the drive completely - even if you manage to remove Torpig, the MBR infection will cause it to be reinfected again.

Nur in der oben genannten Zeitspanne ist mein Rechner überhaupt nicht an gewesen...

#6 Mir ist es jetzt zu heikel geworden, ich setzte mein System gerade neu auf...

#7 Ja das würde ich auch vorschlagen.

#8 Komisch ist jedoch, dass auch Spam-Mails von meiner IP verschickt werden wenn ich gar nicht online bin und der Router sowie Modem vom Netzt sind. Ich habe meinen Provider mal angeschrieben, wie es sein kann, dass an Tagen, an denen nachweislich überhaupt kein Traffic über meinen Anschluss gelaufen ist, trotzdem Spam von meiner IP versendet werden kann.

Ansonsten habe ich jetzt das System neu aufgesetzt und den MBR überschrieben. Emisoft meldet weiterhin einen Verdacht. Ich habe mich jetzt an deren Support gewandt. Wer ein ähnliches Problem hat und den Verlauf nachverfolgen will der schaut hier

Vielen Dank trotzdem für deine Hilfe und wenn du eine Idee hast wie das mit der Blacklist gehen kann, dann nur raus damit!