Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Folder::
c:\programme\quthsrrw

Rootkit::
c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\yblwdrbn.exe
C:\yblwdrbn.exe
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Also ich habe das nun alles so gemacht wie beschrieben, Combofix hat sich auch automatisch neu gestartet.
Bis dahin gab es kein Problem.
Der Pc hat sich dann allerdings von selber selbst gestartet ohne zu fragen. Nun bin ich wieder angemeldet und das einige was erscheint ist eine Nachricht von Microsoft Windows, dass das System nach einem schwerwiegenden Fehler wieder ausgeführt wird und dass dazu ein Protokoll erstellt wurde.
Diese Meldung ließ sich anfänglich nicht schließen, nun hat es aber doch geklappt. Eine neue Textdatei namens Combofix.txt wurde aber nicht geöffnet.

Ist irgendetwas falsch gelaufen?

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld - die Sternchen musst du zurückeditieren in den echten Namen!!!

Code: Alles auswählenAufklappen

ATTFilter

Folders to delete:
c:\programme\quthsrrw
C:\yblwdrbn.exe

Files to delete:
c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\yblwdrbn.exe
C:\yblwdrbn.exe
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\programme\quthsrrw" deleted successfully.

Error: "C:\yblwdrbn.exe" is not a folder! It may instead be a file.
Deletion of folder "C:\yblwdrbn.exe" failed!
Status: 0xc0000103 (STATUS_NOT_A_DIRECTORY)
--> use "Files to delete:" instead of "Folders to delete:" to delete an ordinary file

File "c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\yblwdrbn.exe" deleted successfully.
File "C:\yblwdrbn.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




-------------------
Und der Link: hxxp://www.file-upload.net/download-3308693/backup.zip.html


Ich hoffe dass das alles so richtig ist.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Ich bin mir nicht sicher ob das so richtig ist, weil es in der Erklärung alles etwas anders aussah, aber im Anhang der Log der dabei rauskam.

Und wirklich vielen vielen Dank für die ganze Hilfe.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Die Logfiles von GMER, OSAM und MBRCheck.
GMER ist nicht abgestürzt, hat also alles so funktioniert wie beschrieben

Zitat:

"Userinit" - "Daniel Pistelli" - C:\Programme\quthsrrw\yblwdrbn.exe (File is exclusively opened, access blocked)

Bitte mit OSAM deaktivieren und löschen (delete from storage)

Das Deaktivieren und Löschen habe ich nun zwei Mal gemacht.

Leider entsteht das Problem, dass sich der Eintrag immer wieder selbst erneuert nachdem der Computer neu gestartet hat. Zwar steht dort dass alles erfolgreich ist, nur muss man bei den neuen, identischen Eintrag alles wieder machen und man landet in einer Endlosschleife.

Was nun?

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Folders to delete:
C:\Programme\quthsrrw

Files to delete:
C:\yblwdrbn.exe
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken

So, hier nochmal alles von Avenger.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Programme\quthsrrw" deleted successfully.
File "C:\yblwdrbn.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

----------------------------
Und hier der Link:
hxxp://www.file-upload.net/download-3315311/backup-26.03.2011-21.59.13-01.zip.html

Ok. mach bitte neue Logs mit GMER und OSAM.

Die beiden Logfiles.
Ich hoffe diesmal klappt es wie es sollte

Die Logfiles wieder im Anhang.

Zitat:

"Userinit" - "Daniel Pistelli" - C:\Programme\quthsrrw\yblwdrbn.exe (File is exclusively opened, access blocked)

So ein Mist, das Teil ist schon wieder da



Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.