Topic:
Fehlercode 0x80070424 || Vermute ZeroAccess / Max++ / Smiscer Crimeware Rootkit

System:
i7-950, 24gig-Ram, 2,9TB interne HDD, 1TB & 400MB(Treiber, Programmsicherungungen usw.) externe HDD, Windows 7 Pro (x64) MSDNAA-Studentenlizenz

Beschreibung:
Seit etwa 2-3 Wochen habe ich das Problem, dass sich beim Öffnen von Firefox (damals Version 10.0.0, jetzt 10.0.2) ein zusätzlicher Tab mit der Seite: „*truedig*dragonflym.c**/c/DE/hier_war_meistens_eine_seltsame_weiterleitungsseite?k=*hier_war_ein_mehrstelliger_zahlencode" aufgegangen ist. Ich habe das damals auf das neue Update von Firefox bezogen, und augenblicklich No-Script, Flashblock und ABP aktualisiert, ohne Erfolg. Jedes Mal, wenn ich einen Tab öffne oder etwas in die Searchbar eingebe öffnet sich besagte Seite, bzw. nach einiger Zeit stelle ich ein Redirecting mit ähnlichem Inhalt fest. Zeitgleich fiel mir auf, dass die CPU-Auslastung überdurchschnittlich hoch auffällt. Da ich für mein Studium gerade sehr viel am PC arbeite und wenig spiele ist mir auch nicht aufgefallen, dass sich sämtliche Spiele nicht mehr starten lassen. AVG Internet Security 2011 (lizensiert, ständig geupdated, ein Scan die Woche) spuckte, neben den üblichen Warnungen aber keine Fehler aus.
Als ich den Rechner vor 11 Tagen am Morgen starten wollte, konnte Windows nicht mehr geladen werden. Ich hatte lediglich die Möglichkeit, die Systemwiederherstellungskonsole zu benutzen, diese hat sich dann einfach aufgehängt. Ein Neustart im „abgesicherten Modus“ und das Deinstallieren des Nvidia Treibers, ich habe vor 12 Tagen eine 2. Grafikkarte für 3 Monitore installiert, sollte das Problem lösen. Nach 2 Tagen konnte ich AVG, das ich mehr aus Zufall deinstalliert habe, reproduzierbar als den Übeltäter ausmachen. Der Rechner bootete wieder ganz normal.

Da ich gerade in meiner „heißen Projektphase“ bin, wollte ich eine Neuinstallation auf Ende Februar verschieben und hab halt in Kauf genommen, dass ich keinen Virenscanner habe. Eine zeitweise Installation von Avira AntiVir Free brachte zwar schön im 10 Minutentakt die Meldung, dass 2 Trojaner in SysWOW64 [win32.exe] und [TR/Crypt.XPACK.Gen] gefunden und gelöscht, bzw. in Quarantäne gebracht worden seien, am Verhalten des Browsers änderte sich nichts. Überhaupt wurden in diesem Ordner allerhand Sachen gefunden. So wurde zum Beispiel auch der VPN-Client für unseren Uni-Server also mittlere Bedrohung gleich mal geblockt.

Mittlerweile bin ich mit meinen Film-Projekten soweit fortgeschritten, dass ich den Terabyte-Bereich erreicht habe, der Rechner aber quälend langsam wird, teilweise freezen Prozesse und Programme, ein Kick-Off ist manchmal die einzige Lösung.
In den letzten Tagen habe ich immer wieder halbherzige Versuche gestartet, das System wenigstens soweit stabil zu halten, dass ich meine Filmprojekte abschließen kann. Dabei hab ich vermutlich so ziemlich sämtliche Lösungen auf eurem Board durchgearbeitet, nahezu jedes der beschriebenen Programme ausprobiert, eine Lösung hab ich bis dato nicht.
Durch das fortwährende Deinstallieren der Scanner hab ich leider auch die meisten Logs verloren, kann also nicht wirklich viel mehr vorweißen, als eine momentane Bestandsaufnahme. Ich bin durchaus erfahren im Umgang mit Internet und PCs, auch in Hinblick auf Sicherheit, Ports und Dienste werden nach dem Neuaufsetzen des Rechners als erstes gesichert und angepasst, aber dieses Mal hats mich wirklich böse erwischt. Ich würde lügen, wenn ich behaupten würde, dass ich noch nie auf einer zweifelhaften Seite war, allerdings, seit ich den PC vor etwa 4 Monaten neu aufgesetzt hab, kann ich das nahezu ausschließen. Eine mögliche Ansteckungsgefahr sehe ich an unseren studieninternen Rechnern – wir sind durch die Größe unserer Projekte oft dazu gezwungen mit externen Speichermedien zu arbeiten, und nicht nur einmal hatte mein AVG danach alle Hände voll zu tun. (Autorun ist übrigens mittlerweile bei den externen Platten und beim Handy deaktiviert.)
Heute Morgen hab ich mit CCleaner folgende Programmen und die dazugehörigen Schlüssel entfernt:

C:\user\***\appdata\logal\akimai\netsession_win.exe [Ist ein Download-Programm für ein Free2play-Spiel, das ich vor langem mal spielen wollte]
c:\ProgramFiles (x86)\Internet\akimai\Netsession Client\ [dito]
DTLite [DaemonToolsLight vollständig, weil der Treiber beim Systemscan Probleme machen könnte, TDS hats auch prompt als mittlere Bedrohung eingestuft und wollte „sptd.sys“ löschen]
Ati2evxx.exe [und dazügehörigen Dienst, hatte beim Testen mit den Grakas auch eine ATI im Rechner]
Außerdem habe ich einige Autostarts, wie JavaUpdate und Mobile-Unterstützung deaktiviert, ich denke aber nicht, dass das besonders relevant ist, ein gänzlich unbekannter Dienst, Prozess oder gar ein Programm, das ich nicht kenne, ist mir nicht über den Weg gelaufen. Mir ist aufgefallen dass in letzter Zeit sehr sehr häufig PING.EXE lief und auch ordentlich gearbeitet hat. Da es sich aber in System32 befindet, hab ich das nicht so sehr beachtet.

Bei der Reinigungsaktion heute ist mir auch das erste Mal aufgefallen, dass keine bordeigenen Sicherheits-Werkzeuge von Windows aktivierbar sind. Das Windows-Update geht als einziger Service noch, alles andere spuckt besagten Fehlercode 0x80070424 aus.

Nach einer Bearbeitung mit Rkill, TDSS-Killer, Anti-Maleware, und CCleaner[/B] scheint das meiste verschwunden, allerdings, ist der Rechner immer noch laggie, Windowssicherheitsdienste wie Bitdefender und die Firewall lassen sich nicht aktivieren und Internet ist gefühlt langssam, sprich, ich trau dem nicht für 5 Cent, auch wenn keiner der Scanner mitlerweile mehr anschlägt.

Was ich mir von euch erhoffe:
Eine Lösung die im Optimalfall bis zum Ende des Monats durchhält, eine Neuinstallation ist durch die Verteilung der Projekt-Materialien nahezu unmöglich ohne meine Filme ernsthaft zu gefährden. Außerdem werde ich definitiv Hilfe dabei brauchen, das System neu aufzuspielen, wenn es so weit ist. Ich mach mir Sorgen, weil ich weiß, dass vermutetes Rootkit auch MBR-resistent und aber auch kaskadierend zu sein scheint, ich also nicht mal ausschließen könnte, dass es sich auf meinen Platten versteckt, auf denen nur Studien-Unterlagen und Material, also keine ausführbaren Daten gespeichert sind und ich die nicht einfach mal löschen kann.

Anbei Logs, die ich noch finden konnte, bzw. heute aktuell mit dds und mbam und Sophos tools angefertigt habe.
Ich steh euch natürlich rund um die Uhr zur Verfügung, sollten Fragen und Anregungen auftauchen.
Ich entschuldige mich für die sehr ausführliche Beschreibung, ich dachte, da ich keine wirklich aussagekräftigen Logs liefern kann, versuche ich so präzise wie möglich, die Situation zu beschreiben.
Und ein ganz fettes Dankeschön im Voraus, ich bin der PC-Heilemacher in meinem Umfeld und weiß, wie anstrengend es ist, Probleme aus der Ferne zu diagnostizieren und dafür nichts als einen imaginären, warmen Händedruck zu bekommen! ^.^

Kosch, ein klein wenig verzweifelt.

PS: Aktuelle Sophos_Logs kommen nach, ich schick das mal ab, dann kann mal jemand reinschauen, wenn Zeit ist... ^^

Hi,

ich hab mir gerade noch mal die alten Logs, im speziellen das "Scan my Computer11_02_2012" vom Sophos-Tool angesehen. Ich hab die Datei mal manuell gesucht und sie ist vorhanden. Der Versuch, diese Datei

"C:\Windows\System32\consrv.dll" bei

bei Virustotal hochzuladen wurde abgelehnt mit der Meldung, dass die Datei nicht vorhanden sei. Ich hab sie aber auf meinem anderen Schirm, sie liegt genau vor mir.

Das Log vom 11.02. sagt folgendes:

20120210 220603 Datei "C:\Windows\System32\consrv.dll" gehört zu Virus/Spyware 'Troj/ZAccess-L'.

Ich bekomme grad echt ein wenig Bammel, weil ich halt auch Onlinebanking und ebay und solche Dinge gemacht hab. Natürlich nicht mehr, seitdem ich weiß, dass mein System korumpiert ist, aber ich kann eben den Zeitpunkt der Infektion nicht wirklich genau bestimmen, weil mein AVG ihn ja nicht erkannt hat.

Kosch, total hibbelig

So, während einem weiteren Scan hat sich der PC vollständig aufgehängt, der Versuch im Abgesicherten Modus mit Netzwerktreibern zu starten, hat etwa 5 Minuten gedauert, JETZT bin ich WIRKLICH beunruhigt.

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hi Arne,
momentan bin ich nicht in der Lage Windows zu starten. Im normalen Modus bekomme ich nach "windows wird gestartet" einen neustart, übergangslos. Die Festplatten schalteon deutlich hörbar ab. Danach versucht windows sich selbst zureparieren scheitert und stürzt ab. Im abgesicherten Modus läd er die treiber bis ....\classpnp.sys, dann arbeiten alle Festplatten hörbar, dann systemneustart.

Sorry für gramatik umd rechtschreibung, bin mit dem Handy hier

Ers mal vielen Dank für deine Maldung. An logs für Malware habe ich nur die gefunden, die sagen dass das system geschützt sei.

Kosch

Sehr fraglich ob man dieses System retten kann.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten. Falls ein Bluescreen beim Booten von OTLPE kommt, musst du mal AHCI im BIOS deaktivieren und es nochmal probieren.

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hab jetzt das Laptop meiner Freundin da, war gerade dabei, knppix live cd runter zu laden. Ich werde deine Anweisungen jetzt aber genau umsetzen...
Melde mich umgehend, sobald ich deine Anweisungen umgesetzt hab.

@System, ja, denke ich auch. Jetzt gehts primär nur noch darum die Filmdaten, dokumentationen und projektdaten zu sichern. So ganz spontan ne idee, ob Viren solche daten eventuell befallen können, bzw. Wie ich das herausbekomme?
Melde mich, nach Vollzug.

Kosch

Grundsätzlich kann man reine Datendateien übernehmen.

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Ok, dann würde ich sachen, dasswir uns das als Notfalloption offenhalten,Knoppix läd und wird auchgleich gebrannt auf dem Laptop hier.

Zeitgleich setzt ich jetzt deinen OTLStart um.

Danke nochmal für Hilfe!

Kosch

So, hier nun die beiden Log-Files.
Musste leider noch einmal scannen, weil in den Standardeinstellungen das Scannen der Extra Registery ausgeschaltet war.

Den Usernamen habe ich, wie gewünscht durch *** ersetzt.

Ich werde wie gesagt,simultan jetzt, während ich auf eine Antwort warte, anfangen, die nötigen Schritte für eine Sicherung vorbereiten.

Kosch, sehr gespannt

Zitat:

[2011/12/22 12:03:26 | 000,000,000 | ---D | C] -- E:\Users\***\AppData\Local\dxhr
[2011/12/22 11:46:53 | 000,000,000 | ---D | C] -- E:\Users\***\Documents\ALI213
[2011/12/22 11:46:53 | 000,000,000 | ---D | C] -- E:\Users\***\AppData\Local\28050

Hast du eine Idee was das sein könnte? dxhr, ALI213?

Keinen blassen Schimmer. Mir ist der Ordner Ali auch schon Mal auf der Platte aufgefallen. In Anbetracht, dass ich nen Kumpel hab, der auch Ali heißt, hab ich gedacht, das sind alte Files, die ich mal für ihn gesammelt hab, oder dass er mir dasmal geschickt hat. In der Schnelle schreib ich öfters mal Ordner oder temporäre Files mit 1234 usw.

Ich schau mir die Files gerade mal über das gebootete Linux an...

"dxhr" Ordnerstruktur: dxhr(Ordner),darin user.var(executable application/x-executable,760Byte) und cache(Ordner).
-> cache(Ordner),darin cache.dat(executable application/x-executable,1232Byte) und data(Ordner)
-> data(Ordner),darin 186946-256-64-DDS_FORMAT_DXT1-False(Ordner)und players(Ordner).
-> 186946-256-64-DDS_FORMAT_DXT1-False(Ordner),darin 186946-256-64-DDS_FORMAT_DXT1-False.dds(DirectDrawsurface image/x-dds, 8320Byte) und df.dat(executable 96Byte)
-> players(Ordner) ist leer.

Lol, google hätte mir gerade Arbeit abgenommen. Es handelt sich vermutlich um files, die zu Deus eX - Human Revolution gehören, entweder zum Hauptprogramm oder zum Add-On "The Missing Link".

Das Spiel war damals in einer Download-Version per Gutschein von meiner Freundin als vorgezogenes Weihnachtsgeschenk zu mirgekommen.

Ali213 kann ich laut google nur mit torrent-files in Verbindung stellen, da ich seit Mitte letztem Jahr nach einer gerichtlichen Abmahnung mit Downloadgeschichten abersehr vorsichtig geworden bin und deshalb im letzten Viertel 2011 meinen Rechner deshalbneu aufgesetzt habe, ohne illegale Spiele zu nutzen, kann ich mir zu dem Eintrag nichts vorstellen.
Eins fälltmir dazu noch ein. Ich hatte einen Windows.Old Ordner auf der Platte, den ich vor etwa 5 Tagen gelöscht habe. In dem waren auch allerhand alte Programme drin. Ich erinnere mich, in einem der Logs (aus dem ersten Post) Viren/Schadsoftware-Befall gefunden zu haben.
Sag jetzt bitte nicht, dass das durch diese Spiele gekommen sein könnte!!!

Zur "ALI213"Ordnerstruktur: 28050(ordner),darin Storage(Ordner),darin gamea1(executable,249,2KB), gamea2(executable, 242,4KB), gameq(executable, 230,3KB), gamer1(executable, 53,5KB), gamer2(executable, 59KB),gamer3(executable, 84,2KB), gamer4(executable, 97,7KB), saveindex(executable, 428Byte) und user(executable, 185Byte).

Nach weiterem Bemühen von Google hab ich gesehen, dass genau diese Struktur wohl auch von Deus Ex3 angelegt wurde. (hxxp://forums.eidosgames.com/showthread.php?t=121065) Ich hatte auch mal das Problem, dass mir Deus immer gecrashed war, danach hab ich dann einfach deinstalliert und neu installiert. Savegames konnte ich aber damals keine finden. deshalb hatte sich die Frage nach dem Warum damals ehr erübrigt.

Hoffe, dass du was mit dem Daten-Wirr-Warr anfangen kannst.

Kosch

Ich werd jetzt nach bestem gewissen Müll entrümpeln. OTL löscht nicht endgültig, Hinweis dazu am Ende der Fix-Anweisung. Probier ob sich Windows zumindest im abgesicherten Modus wieder starten lässt nach dem Fix.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 7B 2E 91 07 07 EE CC 01  [binary data]
IE - HKU\***_ON_E\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found
IE - HKU\***_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\***_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421
O2:64bit: - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\***_ON_E..\Run: [AdobeBridge]  File not found
O4 - HKLM..\RunOnce: [GrpConv] E:\Windows\SysWow64\grpconv.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [Application Restart #0] E:\Windows\SysWOW64\osk.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [osk.exe] E:\Windows\SysWow64\osk.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_E..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_E..\RunOnce: [mctadmin]  File not found
O4 - HKU\UpdatusUser_ON_E..\RunOnce: [mctadmin]  File not found
O4 - Startup: E:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mob Rules Video.txt ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\***_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/06/26 18:19:26 | 000,000,000 | ---- | M] () - G:\AUTOEXEC.BAT -- [ NTFS ]
[2011/12/22 12:03:26 | 000,000,000 | ---D | C] -- E:\Users\***\AppData\Local\dxhr
[2011/12/22 11:46:53 | 000,000,000 | ---D | C] -- E:\Users\***\Documents\ALI213
[2011/12/22 11:46:53 | 000,000,000 | ---D | C] -- E:\Users\***\AppData\Local\28050
@Alternate Data Stream - 1322 bytes -> E:\ProgramData\Microsoft:aIf8dr6iVwpfglQXxM4rRdd
@Alternate Data Stream - 1322 bytes -> E:\Program Files\Common Files\System:eOPkItprn2UHzRwCsQuEukM
@Alternate Data Stream - 1266 bytes -> E:\ProgramData\Microsoft:UZ1ch3AmoOLcBfsYSru4
@Alternate Data Stream - 1179 bytes -> E:\Users\***\AppData\Local\Temp:wuHrjnPDn1hHZyFhTFXwqmzsdw
@Alternate Data Stream - 109 bytes -> E:\ProgramData\TEMP:DFC5A2B2
:Commands
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi!

Bin grad am Sichern einiger MTS(Video)Files, der aktuelle Block dauert noch 7 Minuten, danach werde ich das umgehend umsetzen.

Ich könnt dir nicht sagen, wie dankbar ich dir wäre, wenigstens das Projekt abschließen zu können, und dann in aller Ruhe den Rechner neu aufzusetzten!!1einseinseins

[EDIT]Ich habe versucht, die Anweisungen umzusetzen. Dabei bin ich auf Fix gegangen, dann wollte ich das TXT-File anwählen, Programmabsturz. Neu gebootet, im Bios nach advanced Settings gesucht, keine advanced SATA settings verfügbar. Danach starte ich Reatogo-X-PE, bootet nicht mehr. Ich vermute, dass das an der externen Platte liegt, mit der ich versuche das TXT-File an den befallenen Rechner zu bekommen. Neustart ohne Platte läuft und... lief nicht durch. Könnte das am Linuxsystem liegen? Die Partition, die er erstellt hatvilelleicht? Vorstellen kann ichs mir ja nich...

Kosch

So, OTLFix gemacht,erhatordentlich gerödelt, leider ohne Erfolg. Der Rechner kommt, wie oben beschrieben bis zu einem gewissen Treiber, dann erhöhte Festplatten-Aktivitäten, und dann geht das System einfach aus.

Kosch