So:

Bei Firefox sieht man das am Bildschirm nicht, die Datei wird einfach nicht gespeichert.

Sorry, wenn ich nochmals nachfrage: Das passiert konsequent bei allen Downloads? Und du hast auch viele verschiedene ausprobiert und nicht nur ein paar wenige?

Konsequent bei allen Downloads über die Browser (außer Opera). JDownloader habe ich noch nicht getestet.

Hmm.


Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Bitte poste in deiner nächsten Antwort:

• Log von Gmer

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-04-08 22:44:45
Windows 6.0.6002 Service Pack 2 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 SAMSUNG_HD753LJ rev.1AA01113 698,64GB
Running: 8v1jn327.exe; Driver: C:\Users\Ilka\AppData\Local\Temp\kxldrpow.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                   suspicious modification
.text     C:\Windows\System32\win32k.sys!W32pServiceTable                                                    fffff9600013f600 3 bytes [80, 82, 02]
.text     C:\Windows\System32\win32k.sys!W32pServiceTable + 4                                                fffff9600013f604 3 bytes [81, C1, FA]

---- User code sections - GMER 2.1 ----

.text     C:\Program Files (x86)\Origin\Origin.exe[3428] C:\Windows\syswow64\USER32.dll!ShowWindow           000000007584c7a5 5 bytes JMP 0000000168c8bb50
.text     C:\Program Files (x86)\Origin\Origin.exe[3428] C:\Windows\syswow64\USER32.dll!SetWindowPos         000000007584c975 5 bytes JMP 0000000168c8bbc0
.text     C:\Program Files (x86)\Origin\Origin.exe[3428] C:\Windows\syswow64\USER32.dll!SetFocus             000000007584feff 5 bytes JMP 0000000168c8bba0
.text     C:\Program Files (x86)\Origin\Origin.exe[3428] C:\Windows\syswow64\USER32.dll!BringWindowToTop     0000000075851ee8 5 bytes JMP 0000000168c8bab0
.text     C:\Program Files (x86)\Origin\Origin.exe[3428] C:\Windows\syswow64\USER32.dll!SetForegroundWindow  00000000758559eb 5 bytes JMP 0000000168c8ba80
.text     C:\Program Files (x86)\Origin\Origin.exe[3428] C:\Windows\syswow64\USER32.dll!SetActiveWindow      0000000075857063 5 bytes JMP 0000000168c8bc10
.text     C:\Program Files (x86)\Origin\Origin.exe[3428] C:\Windows\syswow64\USER32.dll!SwitchToThisWindow   0000000075881e69 5 bytes JMP 0000000168c8bae0
.text     C:\Program Files (x86)\Origin\Origin.exe[3428] C:\Windows\syswow64\USER32.dll!ShowWindowAsync      00000000758a5c52 5 bytes JMP 0000000168c8bb00
.text     C:\Program Files (x86)\Origin\Origin.exe[3428] C:\Windows\syswow64\ole32.dll!DoDragDrop            000000007722237a 5 bytes JMP 0000000168c8ba60

---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                   suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                   suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                   suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                   suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                   suspicious modification
INITKDBG  C:\Windows\system32\ntoskrnl.exe                                                                   suspicious modification

---- EOF - GMER 2.1 ----
         

--- --- ---

Mal noch von aussen reinschauen:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese nun hier den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst64.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von FRST

Bei "über den Boot Manager" passiert folgendes:
Ich habe mehrfach (so 4x) auf F8 gedrückt beim Hochfahren, da bleibt der Rechner mit folgendem Auswahlmenü stehen:
- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung
- Startprotokoll
- Anzeige mit niedriger Auflösung
- letzte als funktionierend bekannte Konfiguration
- Verzeichnisdienstwiederherstellung
- Debugmodus
- Automatischer Neustart bei Systemfehler
- Erzwingen der Treibersignatur deaktivieren
- Windows normal starten

Welche der Optionen soll ich auswählen?

Wenn ich von CD boote:

... dann habe ich als Boot-LW meine CDROM ausgewählt und dann lädt er Winows von dort, es kommt aber keine Option: "Computerreperaturoptionen" auch Betriebssystem und Spracheinstellung wird nicht gefragt, es erscheint der normale Windowsstartbildschirm mit der Passworteingabe.

Wenn ich bei "Booten von CD" eine beliebige Taste drücke, habe ich folgende Optionen: Windows Setup (danach werden daten geladen und es erscheint dasselbe Menü wie beim BootManager.
oder Sytem diagnostic (das hab ich noch nicht ausprobiert)

Jedenfall nirgends "Computerreperaturoptionen" und so komme ich nicht weiter

Als cd habe ich nur eine Windows Recovery, die meinem Rechner beim Kauf beilag

Dann versuchen wir etwas anderes.


Schritt 1

Bitte gehe zu Virustotal und lass dort folgendermassen eine Datei überprüfen:

• Klicke auf Wählen Sie eine.
• Kopiere dann Folgendes in das Eingabefeld für den Dateinamen
  
  Code: Alles auswählenAufklappen

  ATTFilter

  C:\Windows\system32\ntoskrnl.exe
           

  und klicke auf Öffnen.
• Klicke auf Scannen!.
• Solltest du folgende Meldung bekommen:
  
  Zitat:

  Datei wurde bereits analysiert - Diese Datei wurde bereits von VirusTotal analysiert am ...

  dann klicke auf Neu analysieren.
• Warte, bis die Analyse beendet ist, und kopiere dann die URL aus deiner Adresszeile und poste sie hier.

Schritt 2

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.

• Starte die aswMBR.exe.
  Vista und Win7 User mit Rechtsklick "als Admininstartor ausführen".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von avast! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte, bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere die Datei auf dem Desktop.

Poste mir diese aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.



Bitte poste in deiner nächsten Antwort:

• Link zur VT-Auswertung
• Log von aswMBR

Es passiert was ganz komisches: Wenn ich auf der Seite bin und die datei unter C/windows/system32/ suche, dann wird die dort nicht gefunden. Die datei wurde unter folgendem Dateipfad gefunden: C:\Windows\erdnt\cache64
beim darauffolgenden scan hieß sie auf einmal ganz anders:

https://www.virustotal.com/en/file/f3d15b01fc5e7ebe1cc5c8df204da73b2936d7d622ccf9603147334b44b8109b/analysis/1365602272/

Ich versuche es nochmal.

Suche die Datei nicht manuell, sondern kopiere einfach den oben angegebenen Pfad und füge ihn ins Feld für den Dateinamen ein und drücke dann Öffnen..

Wenn ich manuell im System32 nach der ntoskrnl.exe suche, dann kann ich sie finden, bloß über die Scan-Website wird sie dort nicht gefunden, als wäre sie vor Virenscannern versteckt.
Ich habe sie jetzt kopiert, auf den Desktop geladen und lasse sie jetzt von dort aus scannen.
Eventuell hilft das.

Zitat:

Ich habe sie jetzt kopiert, auf den Desktop

Aber nur kopieren und auf keinen Fall verschieben!! Diese Datei muss unbedingt in diesem Ordner vorhanden sein.

Ja sie ist weiterhin im system32, aber die Scan-website hat nun enorme Probleme sie 1.herunterzuladen (der rote Ladebalken, geht immer wieder von links nach rechts) und nun 2. sie zu analysieren:"Your file is being analysed." steht da schon seit Minuten und unten sind nicht die verschiedenen Scanprogramme zu sehen. Ich hänge mal einen screenshot von der vergeblichen Suche der Scan-seite nach der Datei an.

Zitat:

"Your file is being analysed." steht da schon seit Minuteb

Ja das kommt schon mal vor. Versuch es bitte einfach in 10 Minuten oder so noch einmal.