So:

http://www.trojaner-board.de/attachm...ten-anhang.png

Anhang 52834

Anhang 52835


Bei Firefox sieht man das am Bildschirm nicht, die Datei wird einfach nicht gespeichert.

Sorry, wenn ich nochmals nachfrage: Das passiert konsequent bei allen Downloads? Und du hast auch viele verschiedene ausprobiert und nicht nur ein paar wenige?

Konsequent bei allen Downloads über die Browser (außer Opera). JDownloader habe ich noch nicht getestet.

Hmm.


Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Bitte poste in deiner nächsten Antwort:

• Log von Gmer

GMER Logfile:
--- --- ---

Mal noch von aussen reinschauen:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese nun hier den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst64.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von FRST

Bei "über den Boot Manager" passiert folgendes:
Ich habe mehrfach (so 4x) auf F8 gedrückt beim Hochfahren, da bleibt der Rechner mit folgendem Auswahlmenü stehen:
- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung
- Startprotokoll
- Anzeige mit niedriger Auflösung
- letzte als funktionierend bekannte Konfiguration
- Verzeichnisdienstwiederherstellung
- Debugmodus
- Automatischer Neustart bei Systemfehler
- Erzwingen der Treibersignatur deaktivieren
- Windows normal starten

Welche der Optionen soll ich auswählen?

Wenn ich von CD boote:

... dann habe ich als Boot-LW meine CDROM ausgewählt und dann lädt er Winows von dort, es kommt aber keine Option: "Computerreperaturoptionen" auch Betriebssystem und Spracheinstellung wird nicht gefragt, es erscheint der normale Windowsstartbildschirm mit der Passworteingabe.

Wenn ich bei "Booten von CD" eine beliebige Taste drücke, habe ich folgende Optionen: Windows Setup (danach werden daten geladen und es erscheint dasselbe Menü wie beim BootManager.
oder Sytem diagnostic (das hab ich noch nicht ausprobiert)

Jedenfall nirgends "Computerreperaturoptionen" und so komme ich nicht weiter :heulen:

Als cd habe ich nur eine Windows Recovery, die meinem Rechner beim Kauf beilag

Dann versuchen wir etwas anderes.


Schritt 1

Bitte gehe zu Virustotal und lass dort folgendermassen eine Datei überprüfen:

• Klicke auf Wählen Sie eine.
• Kopiere dann Folgendes in das Eingabefeld für den Dateinamen
  
  Code:

  ---

  C:\Windows\system32\ntoskrnl.exe

  ---

  und klicke auf Öffnen.
• Klicke auf Scannen!.
• Solltest du folgende Meldung bekommen:
  
  Zitat:

  Datei wurde bereits analysiert - Diese Datei wurde bereits von VirusTotal analysiert am ...

  dann klicke auf Neu analysieren.
• Warte, bis die Analyse beendet ist, und kopiere dann die URL aus deiner Adresszeile und poste sie hier.

Schritt 2

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.

• Starte die aswMBR.exe.
  Vista und Win7 User mit Rechtsklick "als Admininstartor ausführen".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von avast! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte, bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere die Datei auf dem Desktop.

Poste mir diese aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.



Bitte poste in deiner nächsten Antwort:

• Link zur VT-Auswertung
• Log von aswMBR

Es passiert was ganz komisches: Wenn ich auf der Seite bin und die datei unter C/windows/system32/ suche, dann wird die dort nicht gefunden. Die datei wurde unter folgendem Dateipfad gefunden: C:\Windows\erdnt\cache64
beim darauffolgenden scan hieß sie auf einmal ganz anders:

https://www.virustotal.com/en/file/f3d15b01fc5e7ebe1cc5c8df204da73b2936d7d622ccf9603147334b44b8109b/analysis/1365602272/

Ich versuche es nochmal.

Suche die Datei nicht manuell, sondern kopiere einfach den oben angegebenen Pfad und füge ihn ins Feld für den Dateinamen ein und drücke dann Öffnen..

Wenn ich manuell im System32 nach der ntoskrnl.exe suche, dann kann ich sie finden, bloß über die Scan-Website wird sie dort nicht gefunden, als wäre sie vor Virenscannern versteckt.
Ich habe sie jetzt kopiert, auf den Desktop geladen und lasse sie jetzt von dort aus scannen.
Eventuell hilft das.

Aber nur kopieren und auf keinen Fall verschieben!! Diese Datei muss unbedingt in diesem Ordner vorhanden sein.

Ja sie ist weiterhin im system32, aber die Scan-website hat nun enorme Probleme sie 1.herunterzuladen (der rote Ladebalken, geht immer wieder von links nach rechts) und nun 2. sie zu analysieren:"Your file is being analysed." steht da schon seit Minuten und unten sind nicht die verschiedenen Scanprogramme zu sehen. Ich hänge mal einen screenshot von der vergeblichen Suche der Scan-seite nach der Datei an.Anhang 52936

Ja das kommt schon mal vor. Versuch es bitte einfach in 10 Minuten oder so noch einmal.