so, malwarebytes ist jetzt fertig - hat 7 infizierte dateien gefunden und gelöscht.
hier mal die log-datei die er am ende ausgespuckt hat.

1.) http://www.trojaner-board.de/74908-a...t-scanner.html

2.) Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

ciao, andreas

okay, gmer läuft.
ich lass dannach gleich noch RootRepeal laufen und poste dann das logfile.

Wenn du weiter so ein Tempo vorlegst, dann sind wir in zwei Tagen durch.

ciao, andreas

naja, hoffen wirs mal ^^

hm, also GMER hat sich jetzt mehrmals während des scannens aufgehangen. hab deshalb eben nochmal wirklich alles im taskmanager beendet was nich unbedingt notwendig war und auf einmal bricht er den scan nach ein paar minuten mit der medlung, ab : gmer has found system modification caused by rootkit activity

hier mal der log dazu

hm, hab grad nochmal gescannt - ohne, dass ich vorher den taskmanager durchforstet habe und jetzt kam nach ein paar minuten wieder dieselbe meldung...

find ich etwas seltsam - vorhin hat der ne stunde oder so gescannt und hat sich dann einfach aufgehangen und jetzt beendet er den scan so schnell...

naja, hier noch das neue log und ich mach jetzt mit RootRepeal weiter.

so, RootRepeal is jetzt auch durch und hat am ende noch ne fehlermeldung gebracht - root repeal error 1392 oder so ähnlich...

hier das log

ich geh mal kurz schlafen

achso, hier noch der fehler-bericht von rootrepeal.
ich hoffe die ergebnisse von GMER und rootrepeal verheißen nichts allzu schlechtes *daumen drück*

Du hast da etwas ganz Neues. Die Uhrzeit deiner Infektion war ca. 12:30 Uhr und nicht 10:30 Uhr. Hast du irgendeinen Downloadlink für mich? Dann schicke ihn mir bitte als Private Nachricht.

Es ist sehr wichtig den Auslöser zu bekommen, damit die AVP-Hersteller den mit in ihre Signaturen aufnnehmen können. Dann werden nämlich weitere Infektionen verhindert.

Da war ein Eintrag bei ComboFix, der auf mehr hindeutete. Du hattest/hast gleich zwei dieser fiesen Rootkits.

1.) Neues Skript für Avenger (aka Hopsassa):

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
kbiwkmqmuyxidm

Registry keys to delete:
HKLM\SYSTEM\ControlSet005\Services\kbiwkmqmuyxidm

Files to delete:
C:\WINDOWS\system32\drivers\kbiwkmrklltkos.sys
C:\WINDOWS\system32\kbiwkmciqaqgit.dll
C:\WINDOWS\system32\kbiwkmeyxmpful.dll
C:\WINDOWS\system32\kbiwkmkmuvvrjg.dat
C:\WINDOWS\system32\kbiwkmkntnilak.dat
C:\WINDOWS\system32\srescan.sys

Folders to delete:
C:\Dokumente und Einstellungen\NUTZER\Lokale Einstellungen\Temp
C:\Dokumente und Einstellungen\NUTZER\Cookies
C:\Dokumente und Einstellungen\NUTZER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CF3QHAXA
         

2.) Starte den Rechner neu.

3.) Lade dir ein neues ComboFix auf deinen Desktop, lasse es laufen und poste das Log.

ciao, andreas

ne, sorry - hab keinen link mehr.

okay, dann mach ich mal weiter...

okay, hier die log-files von avenger und combofix.

Poste bitte ein neues Gmer-Log. Führe auf keinen Fall einen Neustart durch. Hast du irgendwelche Programme in der Zwischenzeit benutzt?

ciao, andreas

wird gemacht!

hatte vorhin mal jdownloader laufen aber sonst nichts.

Zitat:

hatte vorhin mal jdownloader laufen aber sonst nichts.

Nein, ich spreche von Antivirenprogrammen oder Removaltools. Der Rootkit, der sowohl im Gmer- als auch im Rootrepeal-Log zu sehen ist, ist verschwunden. Entweder du hast das Avengerskript zweimal ausgeführt, du hast irgendwelche Removaltools benutzt oder er mutiert (ändert den Namen mit jedem Neustart).

Allerdings scheint er weg zu sein, denn ComboFix ist zum ersten Mal ohne Fehlermeldung durchgelaufen.

Packe bitte den Ordner c:\avenger mit Zip oder Rar, lade ihn bei einem Filehoster hoch und schicke mir den Link als private Nachricht.

ciao, andreas