Meine Hoffnung hat sich erfüllt, der Programmierer von ComboFix hat reagiert. :) Thank you sUBs. :daumenhoc

Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als PN.

Deinstalliere den Trojan Remover. Ich bastel dir gleich ein Script um dich von dem Gerümpel zu befreien.

ciao, andreas

wunderbar :)

soll ich den scan von gmer dann jetzt abbrechen !?
der wird nämlich noch ne ganze weile brauchen...

Nein, lass ihn laufen, ich muss wissen, ob noch etwas da ist.

ciao, andreas

okay, ich meld mich mit dem log, wenn er durch ist.

yeeha!^^

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

okay, gmer ist durchgelaufen.

hier das log.
ich schick dir auch den link von der qoobox.rar gleich.

combofix führe ich nachher aus - muss jetzt grad erstmal weg.
ich werd so gegen 23 uhr (denk ich) wieder online sein und das log von combofix posten.

so, hier jetzt log von combofix!

was sagt es denn !?

Viel, z.B. das du in der Zwischenzeit mit Kaspersky rumgewurschtelt hast. Das Archiv, dass du mir zugeschickt hast, hat gezeigt, dass jetzt auch das zweite Rootkit endgültig tot ist. Das fiese Zeug bist du schonmal los.

Die Dateien, die du mit Knoppix gesehen hast, waren die Überreste eines dritten Rootkits, der aber scheinbar niemals aktiv war. Dank sUBs bist du die jetzt auch los.

Da ist ein ziemliches Gewusel an gesperrten Registryeinträgen. Die sehen mir allerdings nicht gefährlich aus, werfen aber einige Fragen auf:

a.) Hast du irgendetwas von Premiere installiert oder installiert gehabt?

b.) Hast du irgendetwas von xGenArts\Sapphire AE installiert oder installiert gehabt?

Jetzt geht es ans Scannen, fangen wir an mit Kaspersky Online und Prevx.

1.) Start => Ausführen => combofix /u => OK

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

mit kaspersky hab ich doch gar nichts gemacht!?
habs weder runtergeladen noch installiert oder irgendwas...

zu deinen fragen - ich hab adobe premiere cs3 und sapphire ae von genarts installiert.

das scannen werd ich leider auf montag verschieben müssen. werd mich jetzt ins bett hauen und dann auch erst wieder montag an den rechner kommen.

also bis dann und schönes wochenende! :)

Da ist eine Datei fidbox.dat, die eigentlich zu Kaspersky gehört. Allerdings kann sie auch zu anderen Programmen gehören.
OK, dann werden wir da nichts dran ändern.
Danke, dir auch.

ciao, andreas

hey - da bin ich wieder ^^
hier das log vom kaspersky online scanner.

so, hab grad auch prevx durchlaufen lassen.

er hat mir was angezeigt, dass meine internet-konfiguration durch malware verändert worden sei (screenshot im anhang).
hab auf reparieren geklickt und das hat auch geklappt.

beim scannen hat er dann 2 funde gemeldet.
der screenshot dazu ist auch im anhang.

Deinstalliere:

• PrevxCSI
• Kaspersky Online Scan

Der Fund von Prevx sieht wie ein tatsächlicher Schädling aus. Lösche die Datei
Weiter mit:
Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Wie geht es dem Rechner? Gibt es noch irgendwelche Meldungen oder Auffälligkeiten?

ciao, andreas

okay, hab die datei gelöscht und klick mich jetzt durch die installation von PandaActiveScan2.0...

also der pc fühlt sich defintiv wieder gut an.
das einzige was mir auffällt, ist, dass der autostart-assistent beim anschließen meiner externen festplatte oder beim einlegen einer dvd, nicht mehr erscheint.
vielleicht hat das rootkit ja da irgndwas deaktiviert - kriegt man doch bestimmt wieder hin, oder !?

aber außer dieser kleinigkeit, sehe ich nichts auffälliges mehr :)

Das war ComboFix. Sei froh, damit bleibt dir eine erneute Infektion über externe Datenträger erspart. :)

Du kannst es wieder aktivieren, aber das ist nicht wirklich zu empfehlen. ;)

ciao, andreas