Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\bkxha]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"=-
"ConsentPromptBehaviorUser"=-
"EnableUIADesktopToggle"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

hallo arne,
sobald ich wieder zugang zu meinem pc habe arbeite ich daran weiter.
lg
lynn

Hallo Arne
wir sind zurück und haben den log angehängt
Gruss
Lynn

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo Arne

Gmer ist kontinuierlich abgestürzt. Mit osam.exe hatten wir auch so unsere Probleme. Aber wir brachten es zum Laufen.
Folgendes Problem besteht aber:

Osam muss online auf die Datenbank zugreifen. Sobald wir den Rechner ans Netz hängen erscheint der alte Fehler wieder.

Wie also weiter?

Gruss
Lynn

Das mit der Online-Datenbank überspringen, das brauch ich nicht.

osam log ist angehängt.

bootkit remover.exe findet er folgendes:

298GB \\.\PhysicalDrive0 OK <DOS/Win32 Boot code found>

lg
lynn

Zitat:

"bkxha" (bkxha) - ? - C:\Windows\system32\drivers\bkxha.sys (Hidden registry entry, rootkit activity | File not found)

Bitte nur diesen Eintrag in OSAM anhaken und deaktivieren + löschen (delete from storage)

wie kann es deaktiviert werden? delete from storage ist nicht anklickbar.

Schau dazu in die Anleitung von OSAM!

ok hier der report

(Success) HKLM\SYSTEM\CurrentControlSet\Services\bkxha bkxha C:\Windows\system32\drivers\bkxha.sys

und nach dem neustart

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hier das malware log

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

05.09.2010 22:42:14
mbam-log-2010-09-05 (22-42-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 245062
Laufzeit: 41 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


hier antispam:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/05/2010 at 11:48 PM

Application Version : 4.42.1000

Core Rules Database Version : 5410
Trace Rules Database Version: 3222

Scan type : Complete Scan
Total Scan Time : 00:59:00

Memory items scanned : 770
Memory threats detected : 0
Registry items scanned : 10821
Registry threats detected : 0
File items scanned : 125874
File threats detected : 1

Rootkit.Agent/Gen-TDSS
C:\WINDOWS\SYSTEM32\DRIVERS\BKXHA.SYS

diesen habe ich entfernt und neustart gemacht.

lg
lynn

Zitat:

Datenbank Version: 4052

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.