Hallo!

habe mir am Wochenende ein Rootkit eingefangen. Bei allem was ich tue, also z.B. einen Ordner/Programm öffnen, erhalte ich immer folgende Fehlermeldung:

"Dateiname" - Ungültiges Bild

globalroot\systemroot\system32\kbiwkmbkfpvsgn.dll ist entweder niht für die Ausführung unter Windows vorgesehen oder enthält einen Fehler. Installieren Sie das Programm mit den Originalinstallationsmedien erneut, oder wenden Sie sich an den Systemadministrator oder Softwarelieferanten, um Unterstützung zu erhalten.

Kaspersky erkennt es zwar, aber desinfizieren bzw. lösche funktioniert nicht. Combofix konnte ich einmal starten, danach schien das Problem auch gelöst zu sein, doch dann fing alles wieder von vorn an. Seitdem kann ich Combofix auch nicht mehr starten.
Mittlerweile komm ich nicht mal mehr ins Internet.
Ich will das System nicht neu aufsetzen.

Ich hoffe, mir kann hier jemand helfen!?
Achj ja, habe Vista Home Premium, 32-bit auf meinem Laptop.

Danke im Voraus
redbomb

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (etx. Platten, SD-Cards, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

habs leider nicht eher geschafft... hoffe das nützt was:

http://www.file-upload.net/download-1895697/logs.zip.html

Bitte das nächste Mal die Logdateien so belassen wie sie sind. Es gibt keinen Grund, reinen Text als MS-Worddatei abzuspeichern!

Dein System sieht so ziemlich im Eimer aus, bei diesem Patchstand eigentlich kein allzu großes Wunder:

Code: Alles auswählenAufklappen

ATTFilter

Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
         

Hast Du jemals Updates für Windows eingespielt?

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\Windows\system32\cmd.execf
c:\windows\system32\inethttpfilter.dll

folders to delete:
C:\32788R22FWJFW
C:\Program Files\EZ Save MHT
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.


Dann sehen wir weiter.

Hab vielleicht am Anfang Updates aufgespielt aber habs dann im Laufe der Zeit irgendwie verschwitzt.


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Windows\system32\cmd.execf" deleted successfully.
File "c:\windows\system32\inethttpfilter.dll" deleted successfully.
Folder "C:\32788R22FWJFW" deleted successfully.
Folder "C:\Program Files\EZ Save MHT" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Okay, probiers wieder mit Combofix. Besorg Dir auf jeden Fall ComboboFix neu, der Link folgt gleich in der Anleitung. ComboFix bitte wieder mit unter Vista mit Rechtsklick => Als Admin ausführen:

Die Anweisungen bitte genau so umsetzen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]