Zitat:

Zitat von BataAlexander

Ist das ein gewerblich genutzter PC?

Nicht mehr. Gewerbe ist abgemeldet.

Ok

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Danke. Das mit Combofix hatte ich bereits schon ein paarmal gemacht. Auch jetzt läuft es wieder. allerdings finde ich nirgends ein Protokoll. Wie würde der Dateiname lauten?

Ich vermute, dass Combofix nicht richtig abscließt, denn am Ende kommt eine Meldung, die aber wegen der hohen Geschwindigkeit in der Anzeige nicht lesen kann.
Blöd, dass diese Meldungen nicht gespeichert werden - oder doch?
Ich versuche das mal per Video aufzuzeichnen und langsam abzuspielen. Vielleicht kann ich es dann enträtseln.

Falls Du den Dateinamen für das Protokoll weißt, dann lasse es mich bitte wissen.
Gruß

Zitat:

Zitat von trojavirus

Ich versuche das mal per Video aufzuzeichnen und langsam abzuspielen. Vielleicht kann ich es dann enträtseln.

Im Video erkenne ich:
Starte Windows neu ... Bitte warten
Der Befehl "add" ist falsch geschrieben oder konnte nicht gefunden werden.

Das wiederholt sich sich 8 mal mit anderen Befehlen wie:
Export und import, sowie der datei temp00.dat, die nicht gefunden wird.

Ich lade das Programm nochmals herunter und wiederhole das alles nochmal.

Gruß

Zitat:

Falls Du den Dateinamen für das Protokoll weißt, dann lasse es mich bitte wissen.

Üblicherweise ist das c:\combofix.txt

@Franz: Danke für den Hinweis. Zu finden st das Protokoll unter C:\Combofix\combofix.txt und nicht wie im Programm gepostet.

@BataAlexander, experts & all

Nach einigen Problemen ging es weiter, sicher bin ich mir aber nicht, ob die Abwicklung mit COMBOFIX korrekt gelaufen ist.

Beim Neustart durch COMBOFIX erscheint eine Meldung (sinngemäß): Keine Programme starten solange COMBOFIX läuft. Na ja, dann müsste irgendetwas umgestellt werden, damit die Autostart-Programme nicht starten - oder?

Außerdem verändert COMBOFIX auch Datums-, Regionen- und Ordnereinstellungen, obwohl rausgeschrieben wird, dass diese wieder zurückgestellt werden; bei mir nicht ...

Anbei nun die Protokolle in der Hoffnung, dass die Abwicklung korrekt war und diese Buchstaben und Zahlen die Experten weiterbringen.

Besten Dank

Deinstalliere Combofix (den qoobox ordner) gebe unter Start /Ausfuehren "combofix /u" ein. Ohne die " natuerlich.
Dann starte combofix erneut, poste das Logfile hier.

Kennst Du die Ordner oder deren Inhalt:

Zitat:

C:\sp3rsk komischer Ordner
C:\Programme\HOTALBUMMyBOX

Den kenn ich in einem mir nicht rechten Zusammenhang :/
C:\SO WIRD'S GEMACHT Žndern des 'Volume License Product Key' auf einem Windows XP SP1-basierten Computer-Dateien

Die Datei bei VirusTotal - Free Online Virus and Malware Scan scannen lassen, das Ergebnis hier posten(incl MD5/Sha1)

Zitat:

WiNcLogon.dll

Zitat:

C:\DOKUME~1\BRENNE~1\LOKALE~1\Temp\RarSFX1\mpr_freader.sys []

Kommt von Dir, ist gewollt?



Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl