So ich hab ComboFix ausgeführt aber irgendwie gab es da Probleme. Nach dem Neustart konnte CF nicht mehr gestartet werden. Es kam nur dieses Fenster mit ''Webdienst für die Suche nach einem geeigneten Programm benutzen, etc.'' In dem Log steht nur dies:
ComboFix 10-04-29.05 - *** 30.04.2010 12:28:55.2.1 - x86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
.

Hi,

der Rechner läuft aber noch?
Das wird happig bzw. kann gefährlich werden.
Backup vorhanden, falls sich die Antimalwaretools und das Rookit ineinander verhacken, kann es passieren, dass der Rechner nicht mehr bootet!
Das Rootkit hat sich u. a. in einen Low-Level-Treiber für die Festplatte eingenistet, wenn die Entfernung schief geht, bootet Windows auch nicht mehr (ist bis jetzt einmal passiert)...

Combofix entfernen:
Start->Ausführen, dann combofix /uninstall reinschreiben und OK drücken...

Das sieht dann so aus, als ob die Herren/Damen Malwareprogrammier uns einen Schritt voraus sind.

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150
Entpacke alle Dateien!

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

@ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0
         

• Speichern als: start.bat

• abspeichern unter : Dateityp: alle Dateien

• speichere die Datei im Ordner wo auch TDSSKiller.exe steht

• Doppelklick start.bat

TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.

Cureit (kommt auch mit TDSS zurecht, aber eventuell hast Du eine ganz neue Version drauf):
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Soll ich einen FullScan mit CureIT machen? Hier ist schon mal der erste Log. Der von CureIT kommt etwas später.

13:39:56:712 3992 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
13:39:56:712 3992 ================================================================================
13:39:56:712 3992 SystemInfo:

13:39:56:712 3992 OS Version: 5.1.2600 ServicePack: 3.0
13:39:56:712 3992 Product type: Workstation
13:39:56:712 3992 ComputerName: HEIMPC
13:39:56:712 3992 UserName: ***
13:39:56:712 3992 Windows directory: C:\WINDOWS
13:39:56:712 3992 Processor architecture: Intel x86
13:39:56:712 3992 Number of processors: 1
13:39:56:712 3992 Page size: 0x1000
13:39:56:712 3992 Boot type: Normal boot
13:39:56:712 3992 ================================================================================
13:39:56:732 3992 UnloadDriverW: NtUnloadDriver error 2
13:39:56:732 3992 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
13:39:56:872 3992 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
13:39:56:872 3992 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:39:56:872 3992 wfopen_ex: Trying to KLMD file open
13:39:56:872 3992 wfopen_ex: File opened ok (Flags 2)
13:39:56:872 3992 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
13:39:56:872 3992 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
13:39:56:872 3992 wfopen_ex: Trying to KLMD file open
13:39:56:872 3992 wfopen_ex: File opened ok (Flags 2)
13:39:56:872 3992 Initialize success
13:39:56:872 3992
13:39:56:872 3992 Scanning Services ...
13:39:57:303 3992 Raw services enum returned 354 services
13:39:57:313 3992
13:39:57:313 3992 Scanning Kernel memory ...
13:39:57:313 3992 Devices to scan: 4
13:39:57:313 3992
13:39:57:313 3992 Driver Name: Disk
13:39:57:313 3992 IRP_MJ_CREATE : F9A78BB0
13:39:57:313 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
13:39:57:313 3992 IRP_MJ_CLOSE : F9A78BB0
13:39:57:313 3992 IRP_MJ_READ : F9A72D1F
13:39:57:313 3992 IRP_MJ_WRITE : F9A72D1F
13:39:57:313 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_INFORMATION : 804FA88E
13:39:57:313 3992 IRP_MJ_QUERY_EA : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_EA : 804FA88E
13:39:57:313 3992 IRP_MJ_FLUSH_BUFFERS : F9A732E2
13:39:57:313 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
13:39:57:313 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
13:39:57:313 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
13:39:57:313 3992 IRP_MJ_DEVICE_CONTROL : F9A733BB
13:39:57:313 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9A76F28
13:39:57:313 3992 IRP_MJ_SHUTDOWN : F9A732E2
13:39:57:313 3992 IRP_MJ_LOCK_CONTROL : 804FA88E
13:39:57:313 3992 IRP_MJ_CLEANUP : 804FA88E
13:39:57:313 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E
13:39:57:313 3992 IRP_MJ_QUERY_SECURITY : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_SECURITY : 804FA88E
13:39:57:313 3992 IRP_MJ_POWER : F9A74C82
13:39:57:313 3992 IRP_MJ_SYSTEM_CONTROL : F9A7999E
13:39:57:313 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E
13:39:57:313 3992 IRP_MJ_QUERY_QUOTA : 804FA88E
13:39:57:313 3992 IRP_MJ_SET_QUOTA : 804FA88E
13:39:57:343 3992 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
13:39:57:353 3992
13:39:57:353 3992 Driver Name: Disk
13:39:57:353 3992 IRP_MJ_CREATE : F9A78BB0
13:39:57:353 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
13:39:57:353 3992 IRP_MJ_CLOSE : F9A78BB0
13:39:57:353 3992 IRP_MJ_READ : F9A72D1F
13:39:57:353 3992 IRP_MJ_WRITE : F9A72D1F
13:39:57:353 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_FLUSH_BUFFERS : F9A732E2
13:39:57:353 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_DEVICE_CONTROL : F9A733BB
13:39:57:353 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9A76F28
13:39:57:353 3992 IRP_MJ_SHUTDOWN : F9A732E2
13:39:57:353 3992 IRP_MJ_LOCK_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_CLEANUP : 804FA88E
13:39:57:353 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_SECURITY : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_SECURITY : 804FA88E
13:39:57:353 3992 IRP_MJ_POWER : F9A74C82
13:39:57:353 3992 IRP_MJ_SYSTEM_CONTROL : F9A7999E
13:39:57:353 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_QUOTA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_QUOTA : 804FA88E
13:39:57:353 3992 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
13:39:57:353 3992
13:39:57:353 3992 Driver Name: Disk
13:39:57:353 3992 IRP_MJ_CREATE : F9A78BB0
13:39:57:353 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
13:39:57:353 3992 IRP_MJ_CLOSE : F9A78BB0
13:39:57:353 3992 IRP_MJ_READ : F9A72D1F
13:39:57:353 3992 IRP_MJ_WRITE : F9A72D1F
13:39:57:353 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_FLUSH_BUFFERS : F9A732E2
13:39:57:353 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_DEVICE_CONTROL : F9A733BB
13:39:57:353 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9A76F28
13:39:57:353 3992 IRP_MJ_SHUTDOWN : F9A732E2
13:39:57:353 3992 IRP_MJ_LOCK_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_CLEANUP : 804FA88E
13:39:57:353 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_SECURITY : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_SECURITY : 804FA88E
13:39:57:353 3992 IRP_MJ_POWER : F9A74C82
13:39:57:353 3992 IRP_MJ_SYSTEM_CONTROL : F9A7999E
13:39:57:353 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_QUOTA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_QUOTA : 804FA88E
13:39:57:353 3992 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
13:39:57:353 3992
13:39:57:353 3992 Driver Name: atapi
13:39:57:353 3992 IRP_MJ_CREATE : F997E6F2
13:39:57:353 3992 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
13:39:57:353 3992 IRP_MJ_CLOSE : F997E6F2
13:39:57:353 3992 IRP_MJ_READ : 804FA88E
13:39:57:353 3992 IRP_MJ_WRITE : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_EA : 804FA88E
13:39:57:353 3992 IRP_MJ_FLUSH_BUFFERS : 804FA88E
13:39:57:353 3992 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
13:39:57:353 3992 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
13:39:57:353 3992 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
13:39:57:363 3992 IRP_MJ_DEVICE_CONTROL : F997E712
13:39:57:363 3992 IRP_MJ_INTERNAL_DEVICE_CONTROL : F997A852
13:39:57:363 3992 IRP_MJ_SHUTDOWN : 804FA88E
13:39:57:363 3992 IRP_MJ_LOCK_CONTROL : 804FA88E
13:39:57:363 3992 IRP_MJ_CLEANUP : 804FA88E
13:39:57:363 3992 IRP_MJ_CREATE_MAILSLOT : 804FA88E
13:39:57:363 3992 IRP_MJ_QUERY_SECURITY : 804FA88E
13:39:57:363 3992 IRP_MJ_SET_SECURITY : 804FA88E
13:39:57:363 3992 IRP_MJ_POWER : F997E73C
13:39:57:363 3992 IRP_MJ_SYSTEM_CONTROL : F9985336
13:39:57:363 3992 IRP_MJ_DEVICE_CHANGE : 804FA88E
13:39:57:363 3992 IRP_MJ_QUERY_QUOTA : 804FA88E
13:39:57:363 3992 IRP_MJ_SET_QUOTA : 804FA88E
13:39:57:443 3992 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
13:39:57:443 3992
13:39:57:443 3992 Completed
13:39:57:443 3992
13:39:57:443 3992 Results:
13:39:57:443 3992 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
13:39:57:443 3992 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
13:39:57:443 3992 File objects infected / cured / cured on reboot: 0 / 0 / 0
13:39:57:443 3992

Hi,

entweder CF hat es geschafft die Treiber durch saubere kopien zu ersetzen, oder es ist eine neue Variante die der Killer noch nicht kennt...

Mal sehen was CureIT sagt...

chris

Da stand nirgendwo was von ''infiziert''. Soll ich nochmal einen Fullscan machen?

Hi,

entweder GMER hat sich geirrt, oder es ist was oberfaul...

Suchen wir nochmal mit GMER (abgesicherter Modus, F8 beim Booten):
Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

OSAM
Prüft Programme/Treiber die gestartet werden.
Folge den Anweisungen hier http://www.trojaner-board.de/84180-a...n-manager.html zur Erstellung eines
Logs und poste das hier in Deinem Thread.

Combofix entfernen (falls noch nicht erfolgt!):
Start->Ausführen, dann combofix /uninstall reinschreiben und OK drücken...

Dann die neue Version probieren (wird jeden Tag neu zusammengebaut!)...
Probier den auch im abgesicherten Modus!
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris