hier die Auswertung von VirusTotal:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.17 Rootkit.Win32.TDSS!IK
AhnLab-V3 5.0.0.2 2009.12.17 Win-Trojan/Patched.X
AntiVir 7.9.1.114 2009.12.17 TR/Patched.Gen
Antiy-AVL 2.0.3.7 2009.12.17 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.17 Win32:Patched-LF
AVG 8.5.0.427 2009.12.17 Rootkit-Pakes.U
BitDefender 7.2 2009.12.17 Rootkit.TDSS.AH
CAT-QuickHeal 10.00 2009.12.17 -
ClamAV 0.94.1 2009.12.17 -
Comodo 3275 2009.12.17 -
DrWeb 5.0.0.12182 2009.12.17 BackDoor.Tdss.565
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7180 2009.12.17 -
F-Prot 4.5.1.85 2009.12.16 -
F-Secure 9.0.15370.0 2009.12.17 Trojan:W32/Alureon.gen!E
Fortinet 4.0.14.0 2009.12.17 -
GData 19 2009.12.17 Rootkit.TDSS.AH
Ikarus T3.1.1.79.0 2009.12.17 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2009.12.17 Rootkit.TDSS.cvc
K7AntiVirus 7.10.923 2009.12.17 -
Kaspersky 7.0.0.125 2009.12.17 Rootkit.Win32.TDSS.u
McAfee 5835 2009.12.17 -
McAfee+Artemis 5835 2009.12.17 -
McAfee-GW-Edition 6.8.5 2009.12.17 Heuristic.BehavesLike.Win32.Rootkit.I
Microsoft 1.5302 2009.12.17 Virus:Win32/Alureon.A
NOD32 4697 2009.12.17 Win32/Olmarik.OF
Norman 6.04.03 2009.12.17 W32/TDSS.drv.gen4.A
nProtect 2009.1.8.0 2009.12.17 Trojan/W32.Rootkit.277784
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.17 Backdoor.Tidserv
Prevx 3.0 2009.12.17 Medium Risk Malware
Rising 22.26.03.04 2009.12.17 -
Sophos 4.49.0 2009.12.17 Mal/TDSSPack-V
Sunbelt 3.2.1858.2 2009.12.17 Trojan.Win32.Olmarik.of!damaged (V)
Symantec 1.4.4.12 2009.12.17 Backdoor.Tidserv.H!inf
TheHacker 6.5.0.2.095 2009.12.17 -
TrendMicro 9.100.0.1001 2009.12.17 -
VBA32 3.12.12.0 2009.12.16 Rootkit.Win32.TDSL
ViRobot 2009.12.17.2094 2009.12.17 -
VirusBuster 5.0.21.0 2009.12.17

Ok, der Schädling wird doch schon recht gut erkannt. Klappt nun der Durchlauf mit GMER auch im normalen Modus?

also ich hatte GMER jetzt im abgesicherten modus laufen lassen, hatte deine antwort da noch nicht gelesen.

GMER

Das sieht auf jeden Fall schon mal anders (besser) aus. Starten GMER und die anderen Tools jetzt auch im normalen Modus, die vorher nicht starteten?
Die schädliche iaStor.sys kannst Du übrigens nun löschen.

also GMER schon, die anderen beiden (also root repeal und antivir rootkit) starten nicht.

mach mal bitte einen Scan mit Malwarebytes , wahrscheinlich können durch das deaktivierte Rootkit jetzt mehr Schädlinge erkannt werden.

Das brachte malwarebytes:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3353
Windows 6.0.6000
Internet Explorer 7.0.6000.16386

18.12.2009 13:38:09
mbam-log-2009-12-18 (13-38-02).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 190444
Laufzeit: 1 hour(s), 5 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Temp\nqwq.tmp (Rogue.Installer) -> No action taken.

Mach bitte frische Logs mit RSIT und ein Logfile mit GMER in normalen (NICHT abgesicherten!) Modus.

rsit ging Log

GMER hatte ich ca. 20 min. laufen bis der laptop wieder einfach so runtergefahren ist.

Combofix ist endlich wieder online, das sollte uns die Arbeit auch bzgl der TDL3-Infektion erheblich vereinfachen; mach damit bitte einen Durchlauf!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

so bittesehr cofilog

c:\windows\system32\drivers\taphss.sys

Bitte diese Datei bei virustotal.com auswerten lassen und Ergebnislink posten. Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer3"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="-

File::
c:\windows\system32\C295.tmp
c:\windows\system32\drivers\taphss.sys
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Auswertung VirusTotal:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.43	2009.12.22	-
AhnLab-V3	5.0.0.2	2009.12.22	-
AntiVir	7.9.1.122	2009.12.22	-
Antiy-AVL	2.0.3.7	2009.12.22	-
Authentium	5.2.0.5	2009.12.22	-
Avast	4.8.1351.0	2009.12.22	-
AVG	8.5.0.427	2009.12.22	-
BitDefender	7.2	2009.12.22	-
CAT-QuickHeal	10.00	2009.12.22	-
ClamAV	0.94.1	2009.12.22	-
Comodo	3332	2009.12.22	-
DrWeb	5.0.1.12181	2009.12.22	-
eSafe	7.0.17.0	2009.12.22	-
eTrust-Vet	35.1.7191	2009.12.22	-
F-Prot	4.5.1.85	2009.12.21	-
F-Secure	9.0.15370.0	2009.12.22	-
Fortinet	4.0.14.0	2009.12.22	-
GData	19	2009.12.22	-
Ikarus	T3.1.1.79.0	2009.12.22	-
K7AntiVirus	7.10.926	2009.12.22	-
Kaspersky	7.0.0.125	2009.12.22	-
McAfee	5839	2009.12.21	-
McAfee+Artemis	5839	2009.12.21	-
McAfee-GW-Edition	6.8.5	2009.12.22	-
Microsoft	1.5302	2009.12.22	-
NOD32	4709	2009.12.22	-
Norman	6.04.03	2009.12.22	-
nProtect	2009.1.8.0	2009.12.22	-
Panda	10.0.2.2	2009.12.15	-
PCTools	7.0.3.5	2009.12.22	-
Prevx	3.0	2009.12.22	-
Rising	22.27.01.04	2009.12.22	-
Sophos	4.49.0	2009.12.22	-
Sunbelt	3.2.1858.2	2009.12.22	-
Symantec	1.4.4.12	2009.12.22	-
TheHacker	6.5.0.3.103	2009.12.22	-
TrendMicro	9.120.0.1004	2009.12.22	-
VBA32	3.12.12.0	2009.12.22	-
ViRobot	2009.12.22.2102	2009.12.22	-
VirusBuster	5.0.21.0	2009.12.22	-
         

Ich hab Cofix so wie beschrieben ausgeführt, aber nach einiger Zeit erschien der BlueScreen und Windows wurde ohne zu fragen runtergefahren.

Nach dem Neustart war auch keine Logdatei vorhanden.

Dann machen wir es wieder mit dem Avenger:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\software\microsoft\windows nt\currentversion\drivers32 | mixer3

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\MEMSWEEP2

Files to delete:
c:\windows\system32\C295.tmp
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.