hallöle....

ich hab mir gestern mal diesen pfad angesehen

Users\Stuffi\AppData\Local\Temp\RarSFX0\procs\iexplore.exe

und hab dann den CCleaner laufen lassen. der pfad ist weg und bis jetzt nicht wieder aufgetaucht.

ich hab auch mal spybot laufen lassen der hatte einiges und das nicht nur cookis gefunden log hängt unten dran.

das andere werd ich aber machen im laufe des tages.

lg Black-Night

hier erstmal das fss log

nach einigem hin und her hab ichs dann hinbekommen das die cd endlich startet und vorallem auch das anzeigt was ich gebrauchen kann.

hab mich an den link gehalten und den mbr gefixt ging auch alles sehr schnell.

danach stand "prozess beendet" im eingabefenster, ich habs geschlossen und windows starten lassen was auch geklappt hat.

ob ich immernoch von google umgeleitet werde kann ich dir noch nicht sagen aber ich hab als erstes den tdsskiller starten wollen und der will immernoch nicht.

woran erkenne ich denn ob das alles geklappt hat?...

lg Black-Night

so habs eben getestet werd immernoch umgeleitet und google instand geht auch nicht...

lg Black.Night

Hi,

prüfen wir mal ob es geklappt hat (fixmbr)...

MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.

• Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Das Tool braucht nur eine Sekunde.

• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste bitte den Inhalt des .txt Dokumentes

So, FSS meldet einen TCP-Treiber, prüfen wir den mal:

Dateien Online überprüfen lassen

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\system32\Drivers\tcpip.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Schauen wir mal ob wir ein Backup finden:
Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.

• Vista-User/Win7 mit Rechtsklick und als Administrator starten.

• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code: Alles auswählenAufklappen

ATTFilter

:filefind
tcpip.sys

:regfind
TDSSKiller.exe
         

• Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Nenne den Killer mal bitte auf tdsskiller.com bzw. Tdsskiller.scr oder iexplorer.exe um und versuche dann ihn zu starten...

Falls es wirklich die tcpip.sys ist, dann wird das Ganze noch übler, da sich das Teil so verankert hat,
dass, wenn es entfernt wird, Internet nur noch mit massiven Klimmzügen zum laufen zu bekommen ist (da es alle notwendigen
Einstellungen komplett zerschossen hat inkl. anderer Treibereinstellungen)....

Irgendwie haben wir uns an was festgesbissen... wie sieht es aus, könntest Du den Rechner ggf. platt machen?

• Starte bitte die OTL.exe

• Vista/Win7-User mit Rechtsklick "als Administrator starten"

• Kopiere nun den Inhalt in die Textbox

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
mv61xx.sys
winlogon.exe
userinit.exe
WS2_32.dll
tcpip.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)

• Klicke nun bitte auf den Quick Scan Button

• Klick auf OK

• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

chris

soetwas dachte ich mir schon und suche mit nem anderen rechner die proggis raus die ich brauche und sichere daten denn ich brauch montag früh den rechner wieder in "alter" frische so hab ich das we um zu testen.

kann ich denn aber wirklich sicher sein das wenn ich den lappy platt mache das ich dann das "ding" auch los bin? und es sich nicht vllt. auf den platten festgesetzt hat oder ist es was das die sys-dateien braucht um zu "überleben"

Hi,

folge den Anweisungen im vorangegangem Post, mit mbrcheck können wir sehen ob der mbr jetzt korrekt ist...

Du solltest auf jeden Fall formatieren, folge ggf. den Anweisungen zur Neuinstallation (http://www.trojaner-board.de/104197-...anleitung.html)...

chris

meintest du jetzt nur die anweisungen mit dem mbr check oder alle? ich hab aufjedenfall erstmal die mbr log...

un dich meinte mit den "platten" die beiden großen externen...

ok hier alle logs.

tdsskiller funzt nicht.

lg Black-Night

Hi,

der mbr wurd nicht gefixt, ist immer noch kein standard-win7-mbr...
->How to fix MBR in Windows 7? | Windows 7 Themes

oder mit mbrcheck wie folgt:
mbrcheck starten und laufen lassen bis die folgende Anzeige kommt:
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Y eingeben und Enter drücken
Dann sollte folgende Anzeige kommen:

Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

2 auswählen
Du bekommst nun:
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):
Richtige Auswahl ist 0
Auswahl des richtigen MBR-codes:



[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Dann Enter...
Es folgen dann einige Sicherheitsabfragen, die immer mit YES beantworten
->Successfully wrote new MBR code!
->"Please reboot your computer to complete the fix."
Log dann posten und mbrcheck nochmal laufen lassen und prüfen ob er jetzt einen standard-win7-mbr anzeigt...

chris

sei mir nicht böse aber ich hab die c platt gemacht und win 7 neu installiert...

hab aber nen neuen mbr check gemacht und es scheint alles ok zu sein.

hier das log.

Hi,

das sieht gut aus, der MBR ist jetzt OK...
Böse bin ich nicht, vielleicht hätte ich schneller reagiere und ihn gleich überschreiben lassen sollen den MBR. Das Problem ist immer, es kann auch ein OEM-MBR sein, dann geht nachher kein zurücksetzten auf den Auslieferzustand mehr ...(meist gibt es dann eine versteckte Wiederherstellungspartition ca. 10GB, die per spezieller Tastenkombination beim Booten erreicht werden kann)...

Lass mich raten, keine Umleitungen mehr...?

chris