Ich korrigiere: Malwarebytes hat denselben Prozess wieder blockiert:

Mach noch einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":FIles" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Habe den Fix durchgeführt, kann allerdings weil ich unterwegs bin nur kurz vom Handy bescheid geben.
Er sagt "moved successfully" ABER sobald ich mich mit meinem Account einlogge tritt dasselbe wieder auf!
Ich konnte als ich in den Temp ordner gegangen bin das Verhalten beobachten: Es werden kurzzeitig rundll32 .exe, eine 2.3 Mb große rundll32 .txt, eine VBScript (o. ae.) datei, zwei javascript dateien und noch 2-3 die ich nicht rechtzeitig erkennen konnte. nach einigen sekunden verschwinden all diese dateien und der prozess laeuft!
Außerdem kann ich den prozess nicht mehr killen und es laeuft ca. 30 mal mbamgui.exe im task manager.
habe nochmals einen quickscan durchgefuehrt und malwarebytes hat prompt außer den beiden genannten Dateien verseuchte Registryeintraege gefunden.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32
HKEY_CURRENT_USER\SOFTWARE\Invictus
hat angeblich alles geloescht.
Logs sobald ich zurueck bin (Sonntag abend)
Irgendwas was ich waehrenddessen tun kann?

Ja, mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hier schonmal die Logs:

Malwarebytes Protection Log:

OTL Log
Malwarebytes Quickscan Log
ich brenn jetzt die OTLPE CD und reich dann die logs auch hinterher

hier der otl-log:
Kann ich eigentlich über die CD auch meine Daten sichern, das wichtigste ist zwar gesichert, aber es gibt noch ein paar Sachen die ich gerne sichern möchte.

Ja pber ein Live-System ist das Sichern der Daten immer eine gute Wahl.
Willst du dann weitermach oder formatieren und neu installieren?

Wenn es sich noch lohnt weiterzumachen würde ich das schon machen, weil neu installieren für mich sehr aufwändig wäre mit zig Programmen, Plugins und Treibern die ich neu installieren müsste und ich da etwas Zeitprobleme kriege. Aber unmöglich ist es natürlich nicht.
Also kommt drauf an was jetzt die beste Lösung ist.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hier schonmal das Log
edit: MovedFiles hochgeladen

Malwarebytes hat übrigens kurz nach dem Hochfahren wieder Alarm geschlagen, wieder rundll32 .exe in \Appdata\Local\Temp. Es läuft aber kein Prozess im Taskmanager

edit2: Sollte ich eigtl. mich mal bei Symantec melden, immerhin hat Norton bis heute nicht auf den Virus angeschlagen.

edit3: Und noch was, hast du eine Ahnung um was für einen Virus es sich hier handelt? D.h. sollte ich online Passwörter ändern u.ä. (banking passwort habe ich sofort geändert auf nem sauberen rechner). Möchte keine bösen Überraschungen erleben.

Immer das Log dazu posten!

Mach auch bitte ein neues CustomLog

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Erstmal das Log von Malwarebyts:

OTL-Log

Erstmal das Log von Malwarebyts:

OTL-Log

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif