Ok. Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to move:
C:\WINDOWS\system32\tlntsvr.exe | C:\tlntsvr.bad

drivers to delete:
TlntSvr
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) C:\tlntsvr.bad bei Virustotal auswerten lassen

nach reboot kam eine fehlermeldung, jedoch hat sich der laptop so schnell wieder neu gestartet, dass es mir nicht möglich war zu erkennen, was drin stand.

tlntsvr.bad
https://www.virustotal.com/de/analisis/e2ec0a481412166b654682c2f3d953e96e757466135cbd2d813b967edb13c721-1271257252

avanger-log is angehangen

Ok. Nur merkwürdig, denn anscheinend war der Telnet-Server aktiv aber versteckt
Hast Du schonmal nen Durchgang mit Malwarebytes gemacht? Wenn nicht mach das mal bitte (Vollscan und aktuelle Signaturen!)

das wird jetzt sicher ne weile dauern.

jedoch is mir aufgefallen dass osam ständig einen eintrag (der sich laufend ändert) anzeigt, mitdem hinweis: rootkit-activity.

is jedesmal ein anderer name und wird vom normalen system nicht angezeigt. auch ein scan durch virustotal.com ergab keinen hinweis auf einen schädling (jedoch verhält sich das teil genau so - siehe ständig ändernder name usw)

[EDIT]

suchlauf ist nun beendet. log ist beigefügt

Meinst Du das Teil in OSAM:

Code: Alles auswählenAufklappen

ATTFilter

"a67wr6eo" (a67wr6eo) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\a67wr6eo.sys  (Hidden registry entry, rootkit activity)
         

Das ist von den Daemon-Tools, bei jedem Start hat der virtuelle Controller für die virtuellen optischen Laufwerke einen anderen Namen

Hast die Funde mit Malwarebytes denn auch gelöscht?

jepp, habe ich. nach einem neustart und erneutem scan war zwar nichts mehr zu finden, jedoch meckert mir der tdsskiller noch immer wegen der atapi.sys rum.

windowsupdate lässt sich weiterhin nicht benutzen

[EDIT]

kaspersky meldet sich gerade wieder wegen dem rootkit. also doch noch nicht vorbei

Ok, dann mach mal nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

werde das später durchführen. muss jetzt erstmal weg. ich danke trotzdem schonmal für deine hilfe und werde hier (nach dem scan) einfach einen edit machen.

bis dann

so, hier der log von combofix.

konnte den letzten beitrag nicht editieren, deswegen musste ich das nun als neuen post schreiben

Ok. Probier mal ob das Windows-Update jetzt geht, wenn nciht muss ich weiter in die trickkiste greifen

geht leider immer noch nicht.

das updateprogramm startet zwar, aber beim runterladen bricht es ohne fehlermeldung ab.

über den ie bekomme ich keine verbindung: Die Webseite kann nicht angezeigt werden. (seltsamerweise komme ich mit browzar auf diese seite, kann damit jedoch die updates nicht herunterladen.

auch mit firefox und eingebettetem ie-tab plugin funktioniert es nicht

okay, kaspersky meldet sich wieder zurück, findet immer noch das rootkit.

ich glaube ich bin bald an dem punkt dass ich das system komplett neu aufspiele, wenn sich das nicht lösen lässt :P

Poste bitte mal das Kaspersky-Logfile.

da haben wir doch das nächste problem: kann den log so oft anschalten wie ich will, beim erneuten öffnen des fensters ist das wieder deaktiviert (genauso wie keine der funde eingetragen werden. kaspersky bleibt dauerhaft grün)

mittlerweile schleust es weitere trojaner und viren ein.

wenn sich bis morgen keine effektive lösung gefunden hat, werd ich wohl oder übel den weg der totalen plattenvernichtung und anschliessendem neuinstallieren gehen.

wär schade drum, aber das schont sicher die nerven