Die Datensicherung mache ich aus dem abgesicherten Modus?

In Ordnung. Ich werde Deine Schritte befolgen. Aber einen USB-Stick hab ich nicht zur Hand. Ich würde morgen dann versuchen es so hinzubekommen. Ich hoffe Ihr könnt mich morgen wieder unterstützen. Vielen Dank und eine angenehme Nacht noch.

Bin wahrschein erst ab dem Abend wieder im Forum. Super das es hier so einen Support gibt

Neuaufsetzen ist wahrscheinlich die schnellste Variante:
Wenn du das morgen abend machst, hast du übermorgen wieder einen funktionierenden Rechner.

Das Daten sichern musst du aus dem abgesicherten Modus machen, oder kannst du im normalen Modus noch den Explorer öffnen?

lg myrtille

hallo,

hat zeitmäßig leider mit der datensicherung nicht geklappt. ich wage es jetzt mal ohne. ich möchte jetzt gerne hijack ausführen. melde ich mich da im abgesicherten modus als administrator oder mit meinem benutzernamen an?


Wie kann ich den hier screenshots hochladen?

anbei mein hijack-report. Im abgesicherten Modus als Administrator erstellt; Könnt ihr damit was anfangen?

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:12, on 23.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\iftuyszv.exe
C:\WINDOWS\Explorer.EXE
H:\virus\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://free.grisoft.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\iftuyszv.exe,
O2 - BHO: (no name) - {00110011-4b0b-44d5-9718-90c88817369b} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {086ae192-23a6-48d6-96ec-715f53797e85} - (no file)
O2 - BHO: (no name) - {150fa160-130d-451f-b863-b655061432ba} - (no file)
O2 - BHO: (no name) - {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} - (no file)
O2 - BHO: (no name) - {28C1EEFB-DD85-4227-BC29-C17D7366B27D} - C:\WINDOWS\system32\ddcYpnMG.dll
O2 - BHO: (no name) - {2d38a51a-23c9-48a1-a33c-48675aa2b494} - (no file)
O2 - BHO: (no name) - {2e9caff6-30c7-4208-8807-e79d4ec6f806} - (no file)
O2 - BHO: (no name) - {467faeb2-5f5b-4c81-bae0-2a4752ca7f4e} - (no file)
O2 - BHO: (no name) - {5321e378-ffad-4999-8c62-03ca8155f0b3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {587dbf2d-9145-4c9e-92c2-1f953da73773} - (no file)
O2 - BHO: (no name) - {5E351591-569E-41A9-BF10-8FB0D07F3612} - C:\WINDOWS\system32\ssqRJyVL.dll
O2 - BHO: (no name) - {6cc1c91a-ae8b-4373-a5b4-28ba1851e39a} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {79369d5c-2903-4b7a-ade2-d5e0dee14d24} - (no file)
O2 - BHO: (no name) - {799a370d-5993-4887-9df7-0a4756a77d00} - (no file)
O2 - BHO: (no name) - {98dbbf16-ca43-4c33-be80-99e6694468a4} - (no file)
O2 - BHO: (no name) - {a55581dc-2cdb-4089-8878-71a080b22342} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {b847676d-72ac-4393-bfff-43a1eb979352} - (no file)
O2 - BHO: (no name) - {bc97b254-b2b9-4d40-971d-78e0978f5f26} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file)
O2 - BHO: (no name) - {e2ddf680-9905-4dee-8c64-0a5de7fe133c} - (no file)
O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file)
O2 - BHO: (no name) - {e7afff2a-1b57-49c7-bf6b-e5123394c970} - (no file)
O2 - BHO: (no name) - {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} - (no file)
O2 - BHO: (no name) - {fd9bc004-8331-4457-b830-4759ff704c22} - (no file)
O2 - BHO: (no name) - {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NapsterShell] D:\Napster\napster.exe /systray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E18B757F-2F92-410D-8CBC-405F07B0606A} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104261081168
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145234864790
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl.sun.com/webapps/download/AutoDL?BundleId=19588
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h**p://asp04.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O20 - Winlogon Notify: ddcYpnMG - C:\WINDOWS\SYSTEM32\ddcYpnMG.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 15259 bytes
         

hallo zusammen,

habe mir jetzt eine externe festplatte gekauft um eine datensicherung im abgesicherten modus durchführen zu können. Kann ich jetzt eigentlich eine komplette Datensicherung durchführen? Besteht hier nicht die Gefahr, dass die Viren auch mitkopiert werden? Oder darf ich nur bestimmteSachen sichern? Ich habe private Daten sowohl auf C: wie auch auf D: ;

Hi,
lies dir doch die anleitung zum Neuaufsetzen durch

Da wird alles nochmal ausführlich erklärt.

In Kürze:
Du kannst problemlos alle Dateien sichern, die nicht ausführbar sind: Also keine Dateien speichern die auf *.exe,*.scr, *.com etc... enden.

Dokumente, Bilder, Musik, Filme etc können problemlos gespeichert werden.


Beim Neuausetzen bitte auch beachten, dass du erst nach einspielen des SP2 online gehen solltest.

lg myrtille

hai myrtille,

danke für deine schnelle antwort.

also darf ich die ganzen programme auch nicht installieren. Wäre es aber nicht möglich eine Komplettsicherung durchzuführen? Wahrscheinlich hab ich dann den Virus auch auf der externen Festplatte, aber ich würde die eine besagte Datei nicht ausführen. Hintergrund ist, dass ich ziemlich viele Programme auf dem Rechner hab und jetzt auch nicht sicher bin welche ich brauche und welche nicht. Ich würde mich sicherer fühlen, wenn ich eine Komplettsicherung hätte. Ich würde dann nach dem Neuaufsetzen nur die Dateien aufspielen die ich wirklich brauche. Dann würde ich die Daten auf der externen Festplatte löschen und eine neue Sicherung anlegen.

Datensicherung würde dann so erfolgen:
Starten Sie das Backup-Programm über START - ALLE PROGRAMME - ZUBEHÖR - SYSTEMPROGRAMME und SICHERUNG. Hier würde ich dann auswählen "alle Informationen auf diesem Computer"

Mein Ziel ist es ja, eine Komplettsicherung durchzuführen, aber trotzdem dann versuchen eine Bereiningung durchzuführen. Ich würde dann das Ergebnis hier posten und dann könnten wir ja nochmals entscheiden ob ein Neuaufsetzen notwenig ist.


Du sieht ich kenne mich nicht so gut aus. Was hälst du von diesem Vorhaben?
Problem ist auch, dass ich beim Abspeichern meiner Dateien auch nicht wirklich systematisch vorgegangen bin. Ich müsste also alle ordner durchgehen, ob doch nicht eine .exe datei enthalten ist :-(

Kannt Du im abgesicheren Modus cmd starten?

cmd starten kann man wie folgt:

Start > Ausfühen > cmd
Windowstaste + R > cmd
Taskmanager (Strg + Alt + Entf) > Datei > Neuer Task > cmd
Start > Programme > Zubehör > Eingabeaufforerung

%ComSpec%

Hallo,

ja cmd kann ich ausführen

und nun?

bin für jeden tipp dankbar

zur Info: Taskmanager lässt sich nicht öffnen. Hab es über Start>Ausführen gemacht.

Und noch ein kleiner Nachtrag: Windows security Fenster öffnet sich ab und zu und gibt die Meldung "Possible Spyware infection detected" Threat Name: TrojanDownloader.XS

bei windows gibt es ja auch die möglichkeit, den computer zu einem früheren Zeitpunkt wiederherzustellen" . Könnte ich den jetzt nicht einfach einen Zeitraum auswählen, wo ich den virus noch nicht hatte?
z.B. vor einem Monat. Dann sollten doch die Änderungen, die der Virus verursacht hat, wieder rückgängig gemacht werden können?

Oder ist das sehr leichtgläubig?

Zitat:

Zitat von pseudonym

ja cmd kann ich ausführen

OK, mal schauen was möglich ist.

Option 1:
Speicher die angehängte restrictions.txt unter dem Namen "restrictions.bat" ab und starte sie per Doppelklick. Poste den Inhalt des sich öffnenden Editor- Fensters.

Sollte das nicht gehen:

Option 2:
Starte cmd
Gebe dort nach und nach folgende Zeilen ein (jeweils mit Enter bestätigen):

Code: Alles auswählenAufklappen

ATTFilter

Hinweis: in cmd kannst Du mit Pfeil nach oben/Pfeil nach unten bereits 
getippte Befehle nochmal herholen und dann auch ändern. So wird aus 
diesem Berg eine sehr überschaubare Sache. Am besten druckst Du Dir 
diese Zeilen aus oder schreibst sie sorgfältigst ab!

reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /va /f
reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegedit /f
reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableTaskMgr /f
reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegistryTools /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /va /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegedit /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableTaskMgr /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegistryTools /f
         

Sieht nach viel zu tippen aus, ist aber in 2 Minuten erledigt.

%ComSpec%

Wäre es nicht möglich daraus eine Batch Datei zu schreiben?

Zitat:

Zitat von Lucky

Wäre es nicht möglich daraus eine Batch Datei zu schreiben?

Doch, wenn der Autor nicht sowieso vergessen hätte, die ein oder andere Datei anzuhängen, wäre da einiges möglich. Der Autor hat seinen Beitrag aber vor dem zweiten Kaffee geschrieben, was bei ihm 47,2% der geistigen Kapazität brachliegen lässt.

@TO
Wenn Du Batchdateien ausführen kannst (speichern, umbenennen in .bat und per Doppelklick starten - zur Not auch per cmd) dann sind hier zwei Dateien für Dich.

Zuerst bitte mit der antirestrictions.txt (bzw antirestrictions.bat !) mögliche Einschränkungen in Explorer etc entfernen und mit restricons.txt (bzw restrictions.bat !) anzeigen lassen was in den entsprechenden Zweigen steht.

%ComSpec%

P.S.: es wäre geradezu grandios, wenn man hier bestimmten Leuten auch das Hochladen von z.B. Batchdateien und anderem ermöglichen würde.

hallo zusammen,

als ich antirestriction.bat ausgeführt habe ist das dos-fenster kurz aufgegangen und gleich wieder geschlossen worden.
dann hab ich restriction.bat ausgeführt. dos.fenster wieder aufgegangen und paar einträge sind dort zu finden und dann ist restriction.log aufgegangen.
die erstellte restrictions.log lässt sich nicht abspeichern. ich hab sie jetzt mal abgeschrieben:

Code: Alles auswählenAufklappen

ATTFilter

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System

dontdisplaylastusername     REG_DWORD     0x0
legalnoticecaption  REG_SZ
legalnoticetext      REG_SZ
shutdownwithoutlogon                 REG_DWORD    0x1
undockwithoutlogon  REG_DWORD     0x1
DisableTaskMgr        REG_DWORD     0x1

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun    REG_DWORD           0x91

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr    REG_DWORD    0x1
         

Gefällt mir gar nicht. DisableTaskMgr hätte eigentlich weg sein sollen. Vllt war es ein Fehler in der Batch. Ich möchte da jetzt nicht lange rummachen. Wir versuchen es grad mal andersrum:
In abgesicherten Modus > cmd folgende Zeilen eintippen (jeweils mit ENTER bestätigen):

Code: Alles auswählenAufklappen

ATTFilter

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
         

Danach neustarten und nochmal die Restrictionsbat laufen lassen. Taucht dann bei DisableTaskMgr wieder 0x1 und nicht 0x0 auf, fällt mir leider auch nichts praktikables mehr ein.

%ComSpec%