GMER, Teil IX:

GMER, Teil X:

GMER, Teil XI:

GMER, Teil XII:

GMER, Schluss:

Hast Du Combofix nocheinmal laufen lassen ?

Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Combofix habe ich laufen lassen und vorher die Scanner abgestellt. Das Gepostete ist der aktuelle Log. Internet muss aus gewesen sein, der Scan lief problemlos.

RootRepeal mach ich gleich.

RootRepeal war erstaunlich schnell fertig (keine 2 Minuten):

Bin dann erstmal weg, hab noch was zu erledigen. Übers Wochenende störts mit den längeren Shutdowns auch nicht weiter, da bin ich eh nicht so oft on wie unter der Woche. Die Auswertung der Logs hat also Zeit...auch bis irgendwann nächste Woche, ich sehs ja dann in der Mailbox, wenns was Neues gibt.

Besten Dank für jede Unterstützung und ein schönes WE alle miteinander.

Cu, Steffen

Und wer sagte was von "noch einmal ausführen"?


Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

*lach* sorry, da liegt ein Missverständnis vor

Du hattest Deine Anleitung zu Combofix gar nicht in meinem Beitrag gepostet, das mit dem Rüberziehen der tmp-Datei ist mir völlig neu.

Kurze Erläuterung: als ich hierher kam, hatte ich Combofix bereits benutzt. Siehe meine Bemerkung "Combofix meldete ein Rootkit und desinfizierte die Datei".

Danach habe ich Combofix deinstalliert und das Log gelöscht, weil das Rootkit beseitigt schien. Erst als der Fehler trotzdem wieder auftrat, bin ich hier ins Forum gekommen. Das "nochmal ausführen" hat insofern gar nicht stattgefunden. Es handelt sich vielmehr um ein erneutes Herunterladen und Laufenlassen, um hier ein Log bzw das Ergebnis des Suchlaufs posten zu können. Das Ganze hat eigentlich den Zweck herauszufinden, was jetzt nach der Desinfektion noch im System herumspuken und die langsamen Shutdowns verursachen könnte.

Vielleicht hätten wir uns den Combofix-Kram sparen können, das Log mit dem Namen der desinfizierten Datei existiert leider nicht mehr. Ich werde aber gleich den Ablauf, den Du als Letztes geschildert hast, durchführen. Vielleicht bringt das dabei entstehende Log zusätzlich was, auch wenn ich nicht verstehe, wozu das Rüberziehen einer Textdatei mit nem Dateinamen drin (nuja, zumindest weiss ich jetzt, wo diese Datei, die mir schon aufgefallen ist, herkommt *g*) auf das Combofixsymbol gut sein soll. Vermutlich wird diese Datei dann irgendwie mitverwendet. Ich hab nur keine Ahnung von Scripten und vom Inhalt der Datei, drum fehlt mir da wohl vom Sinn her ein Mosaikstein :-).

Hier der Log vom Combofix incl der Temp-Datei:

schritt 1

Wende bitte Malwarebytes nach Anleitung an.


schritt 2

CustomScan mit OTL

• Starte bitte die OTL.exe.
  Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Code-Tags in Deinen Thread

Malwarebytes hat nichts gefunden:

OTL folgt gleich. Allerdings kann es sein, dass sich AntiVir nicht komplett abschalten lässt. Höchstens deaktivieren, nicht mal der Taskmanager will den Guard etc abschalten lassen. Wir werden sehen, ob das klappt.

OTL, Teil I (eine Extras.txt wurde diesmal nicht erstellt *wunder*):

OTL, Teil II: