Stop. Malwarebytes noch nicht einsetzen. Wir müssen erstmal Scripten. Morgen geht es weiter.

ciao, andreas

Ok, Scan ist abgebrochen. Gute nacht!

1.) Deinstalliere:

• AdAware (Schrott)
• Frostwire (Virenschleuder)
• uTorrent (Virenschleuder)
• Vuze (Virenschleuder)

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

RegNull::
[HKEY_USERS\S-1-5-21-602162358-861567501-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4253CC67-8266-6CC7-E300-0AFF8DB0ABBD}*]

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"Adobe Acrobat Speed Launcher"=-
"QuickTime Task"=-
"nwiz"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\FrostWire\\FrostWire.exe"=-
"c:\\Programme\\uTorrent\\uTorrent.exe"=-
"c:\\Programme\\Vuze\\Azureus.exe"=-

Folder::
C:\rsit
C:\avenger

File::
C:\cleanup.bat
C:\zip.exe
c:\windows\system32\drivers\geyekrvtjiqjml.sys

DirLook::
C:\WINDOWS\system32\driver

Dirlook::
C:\WINDOWS\system32
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Uff, 955213 Zeichen...
Gibt es bestimmte Bereiche, die ich außen vor lassen kann?
Knapp ne Million Zeichen, d.h. ich müsste 40 Posts erstellen, um das gesamte Log zu posten.

Oder soll ich den Report eventuell irgendwo hosten und dir dann den Link per PN schicken?

Ja. Lade es hoch, den Link kannst du diesesmal posten. Hier lesen ja noch andere mit. Da du etwas ganz Neues hast, bist du ein interessanter Fall.

Du hast ja schon gemerkt, dass wir etwas am Schwimmen sind, weil wir noch nicht wissen, mit welchen Programmen wir die aufspüren und kleinkriegen.

Erstelle bitte ein neues Gmer-Log, das sollte jetzt wieder vernünftig funktionieren. Da ist ein Fund, der auf mehr hindeutet.

ciao, andreas

http://www.materialordner.de/ui9IOUV7VYEGTYjwftLVb41S6rAIsR3.html

ComboFix ist beim ersten Start nach knapp 5 Minuten abgestürzt, im zweiten Anlauf hat es dann geklappt. Ich hoffe, dieser Umstand beeinflusste das Log nicht in irgendeiner Weise.

Zitat:

Ich hoffe, dieser Umstand beeinflusste das Log nicht in irgendeiner Weise.

Nein, Log ist OK.

Sobald GMER fertig ist, füttere Combofix mit diesem Script:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Rootkit::
c:\windows\system32\drivers\geyekrvtjiqjml.sys

File::
c:\windows\system32\drivers\geyekrvtjiqjml.sys
c:\windows\system32\ESQULzcounter
         

ciao, andreas

Ich bin gerade von einem Laptop aus online.
Der GMER-Scan dauert nun bereits eine Stunde. Ich muss nun aber außer Haus, ich lasse das Programm weiterlaufen und liefer morgen das Ergebnis nach.

Gruß