Bitte mache weiter mit SUPERAntiSpyware und kopiere auch diesen Log hier her.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to disable:
gasfkyaficrupx 
gasfkybrrxvbnk 

Drivers to delete: 
gasfkyaficrupx 
gasfkybrrxvbnk 

Files to delete: 
C:\Windows\system32\drivers\gasfkydrvxwpij.sys 
C:\Windows\system32\drivers\gasfkydiwkmvcv.sys

Registry keys to delete: 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkyaficrupx 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkybrrxvbnk
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

so hier ist mal das eine...

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/04/2009 at 07:42 PM

Application Version : 4.29.1002

Core Rules Database Version : 4102
Trace Rules Database Version: 2075

Scan type : Complete Scan
Total Scan Time : 01:01:06

Memory items scanned : 704
Memory threats detected : 0
Registry items scanned : 6082
Registry threats detected : 0
File items scanned : 100816
File threats detected : 1

Adware.Tracking Cookie
C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\laura@sims2[1].txt


und an das nächste mach ich mich auch gleich

Okeh
Dann auf in den Kampf

Bitte lösche das alte GMER und hole dir eine neue Version von GMER und lass es laufen ...... danach bitte das Logfile hier rein kopieren, da es über Open Office schwer zu lesen ist

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open driver "gasfkyaficrupx"
Disablement of driver "gasfkyaficrupx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open driver "gasfkybrrxvbnk"
Disablement of driver "gasfkybrrxvbnk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gasfkyaficrupx" not found!
Deletion of driver "gasfkyaficrupx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gasfkybrrxvbnk" not found!
Deletion of driver "gasfkybrrxvbnk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\system32\drivers\gasfkydrvxwpij.sys" not found!
Deletion of file "C:\Windows\system32\drivers\gasfkydrvxwpij.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\system32\drivers\gasfkydiwkmvcv.sys" not found!
Deletion of file "C:\Windows\system32\drivers\gasfkydiwkmvcv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkyaficrupx" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkyaficrupx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkybrrxvbnk" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gasfkybrrxvbnk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

datei ist zu lang zum reinkopieren und auch zu groß um sie anzuhängen. also ist hier wieder der link: http://www.file-upload.net/download-1924222/Neues-Textdokument--2-.txt.html
ist aber diesmal ein .txt file.

EDIT: es geht doch. Zwar ist kein Rootkit mehr zu sehen im neuen GMER Log aber möchte noch paar Online Scans etc. loslassen um auch komplett sicher zu gehen.

1.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Rootkitscan mit RootRepeal

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

also der kaspersky online scanner hat irgendwie nicht richtig funktioniert... am ende hat er mir eine liste von files gezeigt und bei alle stand daneben: objekt ist gesperrt - übersprungen... und das protokoll hat sich nicht speichern lassen... ich habs 2mal versucht.

prevx hat nichts gefunden.

export von panda active scan:

;*********************************************************
ANALYSIS: 2009-10-06 20:08:49
PROTECTIONS: 1
MALWARE: 12
SUSPECTS: 1
;*********************************************************
PROTECTIONS
Description Version Active Updated
;=========================================================
McAfee VirusScan Yes Yes
;=========================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;=========================================================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@tradedoubler[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@mediaplex[1].txt
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@statcounter[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@ad.yieldmanager[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@apmebf[1].txt
00168076 Cookie/BurstNet TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@burstnet[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@bs.serving-sys[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@adtech[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@advertising[2].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Cookies\Low\laura@questionmarket[1].txt
;=========================================================
SUSPECTS
Sent Location
;=========================================================
No C:\Windows\Screensavers\Acer\VistaGetS3S4Reg.exe
;=========================================================
VULNERABILITIES
Id Severity Description
;=========================================================
;=========================================================

Mach weiter unten mit der Anleitung der Rootkitscanner.

Panda fand nur Tracking Cookies, die kannste löschen. Die sind nicht schlimm.

der report von rootrepeal