so, gmer bringt dieselbe meldung wie beim letzten mal:

gmer has found system modification caused by rootkit activity

das log is zu groß zum posten, habs deshalb bei rapidshare geuppt.
hier der link:

http://rapidshare.de/files/48155270/gmer.txt.html

hm, ich hab vorhin antivir und zone alarm frisch installiert aber die haben noch nichts angezeigt...

beim packen des avenger-ordners bekomm ich ne fehlermeldung von winrar :

! Konnte den Inhalt von C:\Avenger\CF3QHAXA\* nicht lesen
! Konnte den Inhalt von C:\Avenger\Cookies\* nicht lesen

ließ sich aber trotzdem packen, ich schick dir gleich den rapidshare-link...

Du sollst Zonealarm deinstallieren, das versaut alle Logs.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

FixCset::

Driver::
kbiwkmqmuyxidm 

Registry::
[-HKLM\SYSTEM\ControlSet005\Services\kbiwkmqmuyxidm]

Rootkit::
C:\WINDOWS\system32\drivers\kbiwkmrklltkos.sys
C:\WINDOWS\system32\kbiwkmhqowqpqr.dll
C:\WINDOWS\system32\kbiwkmxwenjnpf.dat
C:\WINDOWS\system32\kbiwkmjpiqjlcp.dll
C:\WINDOWS\system32\kbiwkmpfwlomao.dat
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

hier das log von combofix

Es wird schwächer. Gleich haben wir es.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

FixCset::

Driver::
kbiwkmqmuyxidm 

RegNull::
[HKEY_USERS\S-1-5-21-776561741-2139871995-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F5A0E96C-DF1D-6848-EDE1-2C9E6101D815}*]

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbiwkmqmuyxidm}
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmqmuyxidm]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Rootkit::
C:\WINDOWS\system32\drivers\kbiwkmrklltkos.sys

File::
C:\WINDOWS\system32\drivers\kbiwkmrklltkos.sys
C:\WINDOWS\system32\kbiwkmhqowqpqr.dll
C:\WINDOWS\system32\kbiwkmxwenjnpf.dat
C:\WINDOWS\system32\kbiwkmjpiqjlcp.dll
C:\WINDOWS\system32\kbiwkmpfwlomao.dat
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

muss noch kurz warten bis ich das machen kann...

ich hab eben zone alarm deinstalliert und den recher ne gestartet um die deinstallation abzuschließen und beim hochfahren hat sich checkdisk gemeldet und läuft jetzt erstmal durch.

is doch ein fortschritt - vorher konnte checkdisk nämlich laufwerk c nicht überprüfen.

wenn er dann durch ist, mache ich mit dem combofix-script weiter.

Alles klar, bin jetzt auch unterwegs. Schaue gegen 21:30 Uhr wieder vorbei.

Nimm statt des alten Scriptes lieber das hier:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

FixCset::

Driver::
kbiwkmqmuyxidm 

RegNull::
[HKEY_USERS\S-1-5-21-776561741-2139871995-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F5A0E96C-DF1D-6848-EDE1-2C9E6101D815}*]

RegLockDel::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbiwkmqmuyxidm]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmqmuyxidm]

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Rootkit::
C:\WINDOWS\system32\drivers\kbiwkmrklltkos.sys

File::
C:\WINDOWS\system32\drivers\kbiwkmrklltkos.sys
C:\WINDOWS\system32\kbiwkmhqowqpqr.dll
C:\WINDOWS\system32\kbiwkmxwenjnpf.dat
C:\WINDOWS\system32\kbiwkmjpiqjlcp.dll
C:\WINDOWS\system32\kbiwkmpfwlomao.dat
         

ciao, andreas

so, checkdisk hat jetzt gott sei dank erstmal aufgeräumt und ne ganze ecke verwaister daten gelöscht^^


hier das log von combofix

Hast du schonmal im Konsolenmodus gearbeitet?

Letzter Versuch, bevor wir entweder die Reparaturkonsole starten oder eine Live-CD brennen.

Lade dir Download Trojan Remover

Das Programm ist im Gegensatz zu den sonst hier eingesetzten Programmen keine Freeware, kann aber 30 Tage lang kostenlos genutzt werden.

Das Log bekommst du über Menüzeile: File => View Logfile. Poste es hier.

ciao, andreas

hey, also ich hab noch nie im konsolenmodus gearbeitet.

hier der log von Trojan Remover.
könntest du mir eventuellen mal nen kurzen statusbericht geben wie es um meinen computer bestellt ist !?

Zitat:

könntest du mir eventuellen mal nen kurzen statusbericht geben wie es um meinen computer bestellt ist !?

Du hattest gleich zwei fiese Rootkits, der erste ist komplett erlegt, der zweite ist nicht mehr aktiv, die Dateien sind aber noch da und potentiell gefährlich. Die müssen noch weg.

Da alle Programme versagen, sehe ich noch zwei Möglichkeiten jetzt auf die Schnelle.

1.) Du brennst dir eine Live-CD. Bootest damit und verschiebst die Dateien

Zitat:

C:\WINDOWS\system32\drivers\kbiwkmrklltkos.sys
C:\WINDOWS\system32\kbiwkmhqowqpqr.dll
C:\WINDOWS\system32\kbiwkmxwenjnpf.dat
C:\WINDOWS\system32\kbiwkmjpiqjlcp.dll
C:\WINDOWS\system32\kbiwkmpfwlomao.dat

irgendwo anders hin, z.B. den Desktop und hängst an jeden Dateinamen ein .vir an.

2.) Reparaturkonsole
Lade dir den Anhang und speicher ihn direkt unter c:\wech.bat ab. Boote den Rechner neu. Nach der BIOS-Meldung die Pfeil hoch, Pfeil runter-Tasten abwechselnd bewegen bis ein Bootmenü kommt. Dort die Reparaturkonsole wählen und Enter drücken. Dann erscheint etwas wie

C:\_

Dort gibst du ein:

Code: Alles auswählenAufklappen

ATTFilter

c:\wech.bat [Enter]
         

Sollte es Probleme mit dem Backslash \ geben, dann nimm die Taste links vom y.

Achte auf die Meldungen die kommen und notiere sie am besten.
Anschließend gibst du ein

Code: Alles auswählenAufklappen

ATTFilter

exit [Enter]
         

Die zweite Möglichkeit sollte schneller gehen.

ciao, andreas

okay, ich würde die methode 2 lieber erstmal probieren...

bis gleich also

hm, also du meinst die recovery console, richtig !?

wenn ich die auswähle, kommt der bildschirm mit dem blinkenden _
und irgendwie tut da weiter nichts - kann auch nichts eingeben oder ähnliches...

is das normal, dass das so lange dauert oder funktioniert es einfach nicht !?

Hast du eine USB- oder Funktastatur?

ciao, andreas

weder noch.

die tastatur wird defintiv erkannt - der computer macht ja immerhin geräusche, wenn ich ne taste gedrückt halte.