hi,

der besitzer hat wochende updates installiert....ohne mein wissen....ich hoffe es ist nicht jetzt nicht alles umsonst gewesen..

hier das combofix log:

Combofix Logfile:
--- --- ---

[/QUOTE]

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

und weiter geht's:

Die anderen logs sind im Anhang.

Bitte mit OSAM deaktivieren und löschen

Müssen wir evtl. fixen - hast du noch andere Betriebssysteme installiert oder zB mit TrueCrpyt die Platte verschlüsselt?

Hi Arne,

wir deaktivieren und löschen den Eintrag heut Abend.
Da ist nur Vista drauf und keine Verschlüsselung der Platte.

Heißt das, dass wir fast fertig sind mit der Bereinigung?

gruß subh

Ja fast. Mach heute abend dann das mit OSAM und poste das neue Log. Danach fixen wir den MBR.

alles klar, danke!

Hi Arne,

es hat nicht so ganz funktioniert.
Das ist passiert nach der Deaktivierung und Neustart:

1. Beim erneuten Starten (nach Deaktivierung) von OSAM kam kein Report (nur ein Fenster, in dem die beiden Einträge noch einmal standen, aber keine zusätzlichen Informationen)

2. als ich die Einträge dann erneut gesucht habe, um sie zu löschen, war dieser
"{Default}" - ? - "%1" %* (Hidden registry entry, rootkit activity | System default value)
auf einmal zweimal da (einer davon aktiviert).

Was tun?

Poste das neue OSAM-Log.

neues log file im anhang. der rootkit eintrag taucht immer neu auf nach neustart..

Wenn du den fixt, taucht der dann auch wieder doppelt auf?
Egal wie oft du den fixt, nach einem Neustart ist der wieder da?


Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

ja genau. wir deaktiveren das ding und löschen, nach neustart ist aber ein neuer aktivierter wieder da, den man halt nicht löschen kann, weil er aktiv ist.

wir machen uns mal an den mbr fix.

cu

mbr fix war erfolgreich. hier das neue log

Beim Erstellen des Log ist dir ein Fehler unterlaufen. Halt dich an die Anleitung zu aswMBR!

ach mist...hier das neue log: