Hallo Forum,

ich habe mir anscheinend was eingefangen.
Start des PC's funktioniert einwandfrei, doch nach der Windows-XP-Anmeldung wird alles sehr lahm. Es dauert bis ich auf Programme zugreifen kann und wenn ich I-Explorer starte werde ich immer gefragt ob ich die letzte Sitzung wiederherstellen möchte (bei wiederherstellung öffnen sich ca. 40-80 Fenster vom IE). Ich kann nicht auf den Task-Manager zugreifen und auch keine Programme aus dem Internet laden.
Ich komm hier selber nicht mehr weiter und zähle auf Eure Hilfe!!

Inhalt von defroggger_disable:

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:18 on 23/06/2011 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Disabled

-=E.O.F=-

hiho
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Hallo,
habe beide Dateien als .zip angehängt.

Danke vorab.

achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - C:\Dokumente und Einstellungen\admin\Anwendungsdaten\1093482\mscj2.exe (Microsoft)
PRC - C:\Dokumente und Einstellungen\admin\Anwendungsdaten\MSA\mscjm.exe (Microsoft)
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -  File not found
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [AntiVirus AntiSpyware 2011]  File not found

O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [AntiVirus AntiSpyware 2011 Security]  File not found
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [BD]  File not found
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [mscj2] c:\Dokumente und Einstellungen\admin\Anwendungsdaten\1093482\mscj2.exe (Microsoft)
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [mscjm] c:\Dokumente und Einstellungen\admin\Anwendungsdaten\MSA\mscjm.exe (Microsoft)
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [mscjm.exe] C:\Dokumente und Einstellungen\admin\Anwendungsdaten\MSA\mscjm.exe (Microsoft)
O4 - HKU\S-1-5-21-1110412475-2681017343-4103935507-1004..\Run: [UpData]  File not found
[2011.06.16 15:51:15 | 000,207,824 | ---- | C] (Adobe Systems, Incorporated) -- C:\Windows\System32\AcroIEHelpe035.dll
:Files
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\MSA
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\1093482
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Hat das mit dem Upload funktioniert?
Wie muss ich den Link eintragen?

hast richtig gemacht!
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hallo Markus,

irgendwie hat sich Combofix aufgehängt.
Es sagt er suche nach infizierten dateien und das dauert ca. 10 min.
Aber der Bildschirm ist nun seit über 1 stunde blau mit dieser meldung.
Wiederherstellungspunkt wurde anscheinend gesetzt.
What 2 do?

Danke
Gruß

beende combofix, starte in den abgesicherten modus ohne netzwerk und versuchs dort noch mal, bei pc start mit f8 zu erreichen
poste combofix.txt

Wieder 30 Minuten um und es tut sich nichts.
Ich habe jetzt einen Ordner ComboFix der eine Kopie der Festplatte enthält.
Der PC scheint soweit ganz ordentlich zu funktionieren.

lösche combofix.
dann lads erneut runter wie folgt:
rechtsklick auf den download link, ziehl speichern unter.
dort unter dateinamen steht
combofix.exe
dies komplett raus löschen und
5678.com
reinschreiben.
speichern und im abgesicherten modus ausführen.

Hallo Markus,
Combofix hängt sich leider wieder auf.

sieht man im taskmanager welche der dateien hängt, geht combofix weiter wenn man diese beendet?

Hallo,

es laufen folgende Prozesse:
Leerlaufprozess 99% 16K
tskmgr.exe 00% 1.956K
CF16488.cfxxe 00% 5.008K
findstr.exe
explorer.exe
svchost.exe
svchost.exe
svchost.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
sms.exe
System

Ich werde mal versuchen einen prozess nach dem anderen zu beenden.
Vielleicht geht dann was weiter.

Ich habe findstr.exe beendet und habe jetzt die rmbr.cfxxe dazu bekommen.
Die hat wohl was mit dem Combifix zu tun?

Systemauslastung weiterhin bei 1%.

läuft combofix immernoch nicht weiter?