neuer log also:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1930
Windows 5.1.2600 Service Pack 2

02.04.2009 00:43:58
mbam-log-2009-04-02 (00-43-58).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 92659
Laufzeit: 19 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

scheint soweit ganz gut zu sein.
Bis auf das andere prob

Vielen dank auf jeden fall für deine hilfe
Echt sehr nett

Heisst der recycled oder resycled ?

Prost:aplaus:

danke dir sehr!!

Verstehe dich nicht ganz....hast du dieses Problem noch?
Oder nicht mehr? Oder selbst gelöst?

DAs erste Problem hast du mir sehr gut und anschaulich gelöst.
HAbe eben scans laufen lassen alles scheint sauber zu sein.

jetzt ist noch das Problem, welches mir beim zugriff aufmeine Laufwerke
angezeigt wird.

C:\resycled/boot.com ist keine zulässige Win 32-Anwendung


meldet ein fenster und ich kann nur x ankliken.
Mit dem explorer kann ich aber alles ganz normal öffnen.

Eventuell kennst du auch hierfür eine lösung.
Wie schon geschrieben, kann in der reg edit unter den HKEY.......
in { klammer ein resycled/boot} gefunden werden und der soll entfernt werden.
Es steht dann der jeweilige laufwerksbuchstabe mit dahinter.
Das habe ich aber bislang nicht gemacht.
Bin mir da zu unsicher.

Hallo,

falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Kamera, Handy, Memorysticks, Speicherkarten, externe Laufwerke, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

....Hör auf den Mann.......

*...und weg

Vielen dank für die Hilfe.
Komme eben erst wieder online.
Ich mache was beschrieben ist und melde mich dann zurück.
ICh muß hier echt ein RIESEN lob aussprechen!!

GAnz toll wie ihr mir helft!
Vielen dank!

HAllo,
endlich bin ich dazu gekommen.
Es scheint so als ob dieser HKEY....... wieder da ist!!
Hier der compofix log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-04-03.01 - xxx 2009-04-05 18:17:00.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1023.723 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((   Dateien erstellt von 2009-03-05 bis 2009-04-05  ))))))))))))))))))))))))))))))
.

2009-03-31 19:26 . 2009-03-31 19:26	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-03-31 19:26 . 2009-03-31 19:26	<DIR>	d--------	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2009-03-31 19:26 . 2009-03-31 19:26	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-31 19:26 . 2009-03-26 16:49	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-31 19:26 . 2009-03-26 16:49	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-03-31 18:24 . 2009-03-31 19:23	<DIR>	d--------	c:\programme\Navilog1
2009-03-31 16:16 . 2009-03-31 16:16	<DIR>	d--------	c:\programme\Trend Micro
2009-03-30 22:28 . 2009-04-03 21:09	15,688	--a------	c:\windows\system32\lsdelete.exe
2009-03-30 21:49 . 2009-04-03 21:09	64,160	--a------	c:\windows\system32\drivers\Lbd.sys
2009-03-30 21:48 . 2009-03-30 21:48	<DIR>	d--------	c:\programme\Lavasoft
2009-03-30 21:48 . 2009-03-30 21:49	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-30 21:48 . 2009-03-30 21:48	<DIR>	d--h-c---	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-03-29 13:09 . 2009-02-13 11:31	55,640	--a------	c:\windows\system32\drivers\avgntflt.sys
2009-03-29 13:08 . 2009-03-29 13:08	<DIR>	d--------	c:\programme\Avira
2009-03-29 13:08 . 2009-03-29 13:08	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-27 17:28 . 2009-03-27 17:28	<DIR>	d--------	c:\programme\CCleaner
2009-03-27 17:19 . 2009-03-27 17:25	<DIR>	d--------	c:\programme\RegCleaner
2009-03-27 16:44 . 2009-03-27 16:44	<DIR>	d--------	c:\programme\Auslogics
2009-03-27 16:44 . 2009-03-27 16:44	<DIR>	d--------	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Auslogics
2009-03-08 14:15 . 2009-03-08 14:15	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-05 16:06	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\uTorrent
2009-04-05 15:49	---------	d-----w	c:\programme\Mozilla Thunderbird
2009-03-26 19:25	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2009-03-23 20:20	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\BOM
2009-03-19 17:11	---------	d-----w	c:\programme\Biet-O-Matic
2009-03-01 17:11	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\MyPhoneExplorer
2009-02-17 21:02	---------	d-----w	c:\programme\ConvertHelper
2009-02-08 15:45	---------	d-----w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Teleca
2009-02-08 15:44	---------	d-----w	c:\programme\Gemeinsame Dateien\Teleca Shared
2009-02-08 15:37	---------	d-----w	c:\programme\TuneUp Utilities 2009
2007-12-24 12:11	15,976	----a-w	c:\dokumente und einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-02-21 11:47	31,232	--sh--r	c:\windows\system32\msfDX.dll
2007-12-17 13:43	27,648	--sh--w	c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-10-28 335872]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-04-03 515416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS\0lsdelete

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2008-10-17 13:32 2223040 c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"LanguageShortcut"=c:\programme\CyberLink\PowerDVD\Language\Language.exe
"InCD"=c:\programme\Nero\Nero 7\InCD\InCD.exe
"SecurDisc"=c:\programme\Nero\Nero 7\InCD\NBHGui.exe
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe
"SoundMan"=SOUNDMAN.EXE
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Dokumente und Einstellungen\\Dieter\\Desktop\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-30 64160]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-29 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 951632]
S3 gkmixern;gkmixern;\??\c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys --> c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys [?]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [2008-07-01 61536]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [2008-07-01 9360]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [2008-07-01 97088]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [2008-07-01 88624]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [2008-07-01 18704]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [2008-07-01 86432]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [2008-07-01 90800]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ee4b8a6-d4ef-11dc-a43e-0010dc5ad7dc}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - d:\resycled\boot.com d:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ee4b8a7-d4ef-11dc-a43e-0010dc5ad7dc}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com i:
\Shell\Open\command - i:\resycled\boot.com i:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c293ab9f-58d5-11dd-a4f7-0010dc5ad7dc}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - d:\resycled\boot.com d:
.
Inhalt des "geplante Tasks" Ordners

2009-04-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-04-03 21:09]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Dieter\Anwendungsdaten\Mozilla\Firefox\Profiles\xnagf4be.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.ebay.de/

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://xxx.gmer.net
Rootkit scan 2009-04-05 18:18:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(824)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-04-05 18:20:10
ComboFix-quarantined-files.txt  2009-04-05 16:20:08
ComboFix2.txt  2009-04-05 16:13:27

Vor Suchlauf: 1.766.936.576 Bytes frei
Nach Suchlauf: 1,759,035,392 Bytes frei

146
         

und der HijackThis log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:59, on 05.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 4337 bytes
         

ich hoffe ich habe alle http...... und namen erwischt.
würde mich über weitere hilfe sehr angenehm freuen.
lg

1.) Kommt die Fehlermeldung beim Öffnen eines Laufwerkes noch?

2.) Was sind deine Laufwerke D: und I:?

3.) Start => Ausführen => cmd => OK (Ein schwarzes Fenster erscheint, dort eingeben)
sc stop gkmixern [Enter]
exit [Enter] (Fenster verschwindet)

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen (die xxx durch den Anmeldenamen ersetzen):

Code: Alles auswählenAufklappen

ATTFilter

c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys
         

Markiere die Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

ciao, andreas

entschuldige bitte, nein diese meldung ist weg.
Kann alle datenträger wider ganz normal öffnen.
Nur bei cccleaner unter fehlersuche meldet der mir einen hkey......
der sich nicht bereinigen lässt.
ich meine das ist der vom ersten mal schon.
Soll ich das nun noch machen ? was du schreibst oder hat sich das erledigt?
Laufwerke gehen ohne fehlermeldung auf

1.) Welchen HKLM meldet CCleaner denn genau?

Zitat:

Soll ich das nun noch machen ?

2.) Ja.

ciao, andreas

hallo andreas,
nach der eingabe die du beschreibst bekomme ich
(SC) ControllService FAILED 1062
da geht also nichts.

Den unten beschriebenen ort (c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys)
kann ich nicht finden und öffnen denn ein scan geht ohne ziel nicht.

Der Fehler bei cc reg cleaner ist

Code: Alles auswählenAufklappen

ATTFilter

Ungenutzte Datei-Endungen	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Veralteter Software-Schlüssel	Wget	HKCU\Software\Wget
         

Zitat:

Den unten beschriebenen ort (c:\dokume~1\xxx\LOKALE~1\Temp\gkmixern.sys)
kann ich nicht finden und öffnen denn ein scan geht ohne ziel nicht.

Deshalb steht in der Anleitung auch, dass du die Zeile kopieren und bei VT einfügen sollst, natürlich nachdem du die xxx durch den Anmeldenamen ersetzt hast. Im nächsten ComboFix-Log bitte nicht editieren.

Solange ich das Script zusammenbastel, kannst du schon mal SUPERAntiSpyware die Punkte 1-3 nach Anleitung laufenlassen und das Log posten.

Ich warte noch auf Antwort bei:

Zitat:

2.) Was sind deine Laufwerke D: und I:?

Der Schlüssel gehört zu Avira und kann im abgesicherten Modus gelöscht werden (ob das sinnvoll ist, sei dahingestellt ).

Deinstalliere:

• AdAware (Schrott)
• utorrent (Virenschleuder)
• Navilog (selbst rumgedoktort?)

ciao, andreas

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
Lbd
Lavasoft Ad-Aware Service
gkmixern

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ad-Watch"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Dokumente und Einstellungen\\Dieter\\Desktop\\uTorrent.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ee4b8a6-d4ef-11dc-a43e-0010dc5ad7dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ee4b8a7-d4ef-11dc-a43e-0010dc5ad7dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c293ab9f-58d5-11dd-a4f7-0010dc5ad7dc}]

RegLock::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System]

Folder::
c:\programme\Navilog1
c:\programme\Lavasoft
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

File::
c:\windows\Tasks\Ad-Aware Update (Weekly).job

DirLook::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas