auch ein zweiter versuch GMER im normalmodus laufen zu lassen scheiterte.
vista friert nach ca. 30 min. ein. den virenscanner habe ich deinstalliert, aber der ist scheinbar nicht das problem.
daher kann ich auch kein log aus dem normalmodus erstellen.

kannst du mir bitte noch malneue otl logs erstellen und posten?

hier die aktuellen logs...

weiss nicht ob es erwähnenswert ist, aber wegen des GMER scans war AVG deinstalliert und die wlan verbindung getrennt (wie von GMER gefordert) und währenddessen gibts keine nervigen popups. der virus/trojaner/whatever scheint also nur aktiv zu werden, wenn er merkt, dass eine internet-verbindung besteht.

sobald ich die verbindung wiederhergestellt habe, bekomme ich sofort diese nachricht (s. anhang).

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (igfx) -- C:\Windows\System32\DRIVERS\igdkmd32.sys File not found
DRV - (catchme) -- C:\Users\robot\AppData\Local\Temp\catchme.sys File not found
O20 - AppInit_DLLs: (authsrv32.dll) - C:\Windows\System32\authsrv32.dll ()
O20 - AppInit_DLLs: (devdev.dll) - C:\Windows\System32\devdev.dll ()
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

genau in diesem moment geht auch AVG auf und weißt mich auf malware hin:
c:\windows\system32\devdev.dll

soll ich den hinweis erstmal ignorieren und den OTL fix durchführen oder AVG die datei in quarantäne verschieben lassen?

den otl scan machen. und dann hab ich noch was vergessen.
öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

beim packen also avg meldung ignorieren.

hmmm...

das problem besteht leider weiterhin. das komische ist auch, dass die dateien devdev.dll und authsrv32.dll nicht existieren. die malware scheint sie irgendwie zu verbergen. AVG findet sie nun auch nicht mehr.

das movedfiles archiv habe ich geupped. allerdings sind die .dlls auch dort nicht enthalten.

/edit sorry! log vergessen... nun angehangen

ich hab die bastarde!

es scheint so als ob der virus die folder-view eigenschaften immer wieder zuruecksetzt. auf systemdateien nicht anzeigen und versteckte dateien ausblenden. /edit aber scheinbar nur fuer die beiden .dlls im system32 ordner. alle andere versteckten dateien werden ganz normal angezeigt.
ich hab die beiden .dll jetzt nochmal einzeln gepackt und uploade sie nochmal.

poste mal neue otl logs nach neustart bitte

ok der OTL scan läuft...

nach dem neustart sind die folder-eigenschaften übrigens wieder auf systemdateien verbergen, bekannte dateiendungen ausblenden und versteckte dateien nicht anzeigen zurückgesetzt. das eigenartige daran ist, dass aber alle versteckten dateien und systemdateien im c:\ root-verzeichnis und auch im system32 verzeichnis angezeigt werden, außer den beiden betreffenden .dlls!

ändere ich den eigenschaft-wert wieder auf anzeigen, sehe ich auch die devdev.dll und die authsrv32.dll.

und hier die neuen OTL logs

laut log sind sie nicht mehr aktiev, immernoch die selben probleme?