Das sieht auf jeden Fall schon mal anders (besser) aus. Starten GMER und die anderen Tools jetzt auch im normalen Modus, die vorher nicht starteten?
Die schädliche iaStor.sys kannst Du übrigens nun löschen.

also GMER schon, die anderen beiden (also root repeal und antivir rootkit) starten nicht.

mach mal bitte einen Scan mit Malwarebytes , wahrscheinlich können durch das deaktivierte Rootkit jetzt mehr Schädlinge erkannt werden.

Das brachte malwarebytes:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3353
Windows 6.0.6000
Internet Explorer 7.0.6000.16386

18.12.2009 13:38:09
mbam-log-2009-12-18 (13-38-02).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 190444
Laufzeit: 1 hour(s), 5 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Temp\nqwq.tmp (Rogue.Installer) -> No action taken.

Mach bitte frische Logs mit RSIT und ein Logfile mit GMER in normalen (NICHT abgesicherten!) Modus.

rsit ging Log

GMER hatte ich ca. 20 min. laufen bis der laptop wieder einfach so runtergefahren ist.

Combofix ist endlich wieder online, das sollte uns die Arbeit auch bzgl der TDL3-Infektion erheblich vereinfachen; mach damit bitte einen Durchlauf!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

so bittesehr cofilog

c:\windows\system32\drivers\taphss.sys

Bitte diese Datei bei virustotal.com auswerten lassen und Ergebnislink posten. Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer3"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="-

File::
c:\windows\system32\C295.tmp
c:\windows\system32\drivers\taphss.sys
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Auswertung VirusTotal:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.5.0.43	2009.12.22	-
AhnLab-V3	5.0.0.2	2009.12.22	-
AntiVir	7.9.1.122	2009.12.22	-
Antiy-AVL	2.0.3.7	2009.12.22	-
Authentium	5.2.0.5	2009.12.22	-
Avast	4.8.1351.0	2009.12.22	-
AVG	8.5.0.427	2009.12.22	-
BitDefender	7.2	2009.12.22	-
CAT-QuickHeal	10.00	2009.12.22	-
ClamAV	0.94.1	2009.12.22	-
Comodo	3332	2009.12.22	-
DrWeb	5.0.1.12181	2009.12.22	-
eSafe	7.0.17.0	2009.12.22	-
eTrust-Vet	35.1.7191	2009.12.22	-
F-Prot	4.5.1.85	2009.12.21	-
F-Secure	9.0.15370.0	2009.12.22	-
Fortinet	4.0.14.0	2009.12.22	-
GData	19	2009.12.22	-
Ikarus	T3.1.1.79.0	2009.12.22	-
K7AntiVirus	7.10.926	2009.12.22	-
Kaspersky	7.0.0.125	2009.12.22	-
McAfee	5839	2009.12.21	-
McAfee+Artemis	5839	2009.12.21	-
McAfee-GW-Edition	6.8.5	2009.12.22	-
Microsoft	1.5302	2009.12.22	-
NOD32	4709	2009.12.22	-
Norman	6.04.03	2009.12.22	-
nProtect	2009.1.8.0	2009.12.22	-
Panda	10.0.2.2	2009.12.15	-
PCTools	7.0.3.5	2009.12.22	-
Prevx	3.0	2009.12.22	-
Rising	22.27.01.04	2009.12.22	-
Sophos	4.49.0	2009.12.22	-
Sunbelt	3.2.1858.2	2009.12.22	-
Symantec	1.4.4.12	2009.12.22	-
TheHacker	6.5.0.3.103	2009.12.22	-
TrendMicro	9.120.0.1004	2009.12.22	-
VBA32	3.12.12.0	2009.12.22	-
ViRobot	2009.12.22.2102	2009.12.22	-
VirusBuster	5.0.21.0	2009.12.22	-
         

Ich hab Cofix so wie beschrieben ausgeführt, aber nach einiger Zeit erschien der BlueScreen und Windows wurde ohne zu fragen runtergefahren.

Nach dem Neustart war auch keine Logdatei vorhanden.

Dann machen wir es wieder mit dem Avenger:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\software\microsoft\windows nt\currentversion\drivers32 | mixer3

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\MEMSWEEP2

Files to delete:
c:\windows\system32\C295.tmp
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hier der Avenger Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet001\Services\MEMSWEEP2" deleted successfully.

Error:  file "c:\windows\system32\C295.tmp" not found!
Deletion of file "c:\windows\system32\C295.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry value "HKLM\software\microsoft\windows nt\currentversion\drivers32|mixer3" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Okay, ich denke jetzt sollte es i.O. gehen oder gibt noch Probleme? Wenn nicht, bitte unbedingt die Updates prüfen!!


Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update

Wichtige Updates die fehlen: SP2 + IE8 für Vista!



Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Überprüf auch bitte den Adobe Flashplayer



Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Nein, alle Probleme sind behoben, Avira nervt mich nicht mehr die updates werd ich in den nächsten Tagen ausführen.

Vielen Dank für deine Hilfe

Wünsch dir frohe Weihnachten und einen guten Rutsch ins neue Jahr.

Schöne Grüße

Svenja