Security Tool

Larusso · 07.01.2010, 18:24

Dateien mit OTM verschieben

Bitte erstelle eine Sicherung Deiner Registry (falls noch nicht gemacht) nach dieser Anleitung.

Falls noch nicht vorhanden, lade Dir OTM von OldTimer herunter.

Speichere das Programm auf Deinem Desktop.
Sollte Dein Anti-Virus-Programm "Alarm" schlagen, bitte ignorieren und/oder OTM auf die Liste der Ausnahmen setzen.
Doppelklick auf die OTM.exe, um das Programm auszuführen.
Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
Einen Haken setzen bei "Unregister Dll's and Ocx's"
Kopiere den Inhalt der folgenden Codebox komplett in die OTM-Box mit dem gelben Titel
(Paste Instructions for Items to be Moved)
Code:
ATTFilter
```
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex\1428]
"rdghixrd"=-
:files
C:\combofix
:commands
[emptytemp]
         
```
Den roten Moveit! Button anklicken.
Bitte alles aus dem Ergebnisfenster (Results) herauskopieren oder
den Inhalt der Datei C:\_OTM\MovedFiles\<datum_nr.>.log kopieren
und das Ergebnis in Deine nächste Antwort posten.
Die Dateien und/oder Ordner werden nach C:\_OTM\MovedFiles\ verschoben.
Schließe OTM

Sollte eine Datei oder ein Ordner nicht verschoben werden können, wirst Du eventuell aufgefordert, den PC neuzustarten damit der Prozess abgeschlossen werden kann. Sollte dies der Fall sein, bestätige das mit Ja.

schritt 2

starte bitte systemlook.exe und füge folgendes script ein

Code:

ATTFilter

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex]
:regfind
CF21150

Poste mir bitte beide Logs und berichte

chillie · 07.01.2010, 19:29

Ok ich hab alles so gemacht. Es scheint aber kein Ergebnis zu geben. Seh ich das richtig?

OTM:

Code:

ATTFilter

All processes killed
========== REGISTRY ==========
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex\1428\\rdghixrd scheduled to be deleted on reboot.
========== FILES ==========
File/Folder C:\combofix not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: user01
->Temp folder emptied: 14442414 bytes
->Temporary Internet Files folder emptied: 736524 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 39308285 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 197496 bytes
RecycleBin emptied: 104 bytes
 
Total Files Cleaned = 52,00 mb
 
 
OTM by OldTimer - Version 3.1.4.0 log created on 01072010_191830

Files moved on Reboot...

Registry entries deleted on Reboot...
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex\1428 not found.

SystemLook:

Code:

ATTFilter

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 19:26 on 07/01/2010 by user01 (Administrator - Elevation successful)

========== reg ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex]
(No values found)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex\1428]


========== regfind ==========

Searching for "CF21150"
No data found.

-=End Of File=-

chillie · 07.01.2010, 19:48

Juchu! Das Combofix-Fenster ist weg! Ich hab gleich 2mal neugestartet um sicherzugehen. Danke sehr!

Ich hab noch ne kleine Frage: Wenn Avira Systemprüfung noch einen Trojaner findet und in Quarantäne schiebt, dann kann ich dem schon vertrauen, dass der weg ist und nicht noch mehr davon rumhängen? Ich muss nicht nochmal den ganzen Computer "auseinandernehmen" um noch weitere zu suchen...oder?

Viele Grüße und vielen, vielen Dank euch beiden für die viele Hilfe!!!

Angel21 · 07.01.2010, 19:49

Was zeigt dein Avira wo an?
Bitte Dateiname und Pfad. Oder am besten gleich ein komplettes Log.

chillie · 07.01.2010, 20:15

Sorry, ich glaub, ich hab überreagiert.

Hab mir den Pfad genauer angeschaut und es ist im System Volume Information. Da hast du ja gesagt, das ist da harmlos. Puh! Sorry, dass ich dich erschreckt hab!
So jetzt nerv ich euch erstmal nicht mehr! Aber trotzdem Herzlichen Dank nochmal!!!!!!!!

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 7. Januar 2010  14:36

Es wird nach 1503943 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NB-***

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes  02.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 13:33:51
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 13:33:51
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 13:33:51
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 13:33:51
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 13:33:52
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 13:33:52
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 13:33:52
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 13:33:52
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 13:33:52
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 13:33:52
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 13:33:52
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 13:33:53
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 13:33:57
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 13:34:01
VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 13:34:06
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 13:34:10
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 13:34:14
VBASE018.VDF   : 7.10.2.30    198144 Bytes  21.12.2009 13:34:18
VBASE019.VDF   : 7.10.2.63    187392 Bytes  24.12.2009 13:34:22
VBASE020.VDF   : 7.10.2.93    195072 Bytes  29.12.2009 13:34:27
VBASE021.VDF   : 7.10.2.131    201216 Bytes  07.01.2010 13:34:31
VBASE022.VDF   : 7.10.2.132      2048 Bytes  07.01.2010 13:34:31
VBASE023.VDF   : 7.10.2.133      2048 Bytes  07.01.2010 13:34:31
VBASE024.VDF   : 7.10.2.134      2048 Bytes  07.01.2010 13:34:32
VBASE025.VDF   : 7.10.2.135      2048 Bytes  07.01.2010 13:34:32
VBASE026.VDF   : 7.10.2.136      2048 Bytes  07.01.2010 13:34:32
VBASE027.VDF   : 7.10.2.137      2048 Bytes  07.01.2010 13:34:32
VBASE028.VDF   : 7.10.2.138      2048 Bytes  07.01.2010 13:34:32
VBASE029.VDF   : 7.10.2.139      2048 Bytes  07.01.2010 13:34:32
VBASE030.VDF   : 7.10.2.140      2048 Bytes  07.01.2010 13:34:32
VBASE031.VDF   : 7.10.2.141     36864 Bytes  07.01.2010 13:34:33
Engineversion  : 8.2.1.130
AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.3.7      594296 Bytes  07.01.2010 13:35:19
AESCN.DLL      : 8.1.3.0      127348 Bytes  07.01.2010 13:35:14
AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44
AERDL.DLL      : 8.1.3.4      479605 Bytes  07.01.2010 13:35:13
AEPACK.DLL     : 8.2.0.4      422263 Bytes  07.01.2010 13:35:07
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.192   2195833 Bytes  07.01.2010 13:35:02
AEHELP.DLL     : 8.1.9.0      237943 Bytes  07.01.2010 13:34:42
AEGEN.DLL      : 8.1.1.83     369014 Bytes  07.01.2010 13:34:40
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.9.1      180598 Bytes  07.01.2010 13:34:36
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 7. Januar 2010  14:36

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '47433' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinTVTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acevents.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Scan2pc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pthosttr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accrdsub.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accelerometerST.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PTChangeFilterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HauppaugeTVServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DWRCS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accoca.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpFkCrypt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '57' Prozesse mit '57' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{9073CCAE-D115-4A0A-9F00-7FCD4B13A769}\RP274\A0035154.exe
    [FUND]      Enthält Erkennungsmuster des Droppers DR/DelFiles.EU.12
C:\System Volume Information\_restore{9073CCAE-D115-4A0A-9F00-7FCD4B13A769}\RP275\A0035172.dll
    [FUND]      Ist das Trojanische Pferd TR/Proxy.Agent.byf
C:\WINDOWS\system32\drivers\SafeBoot.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{9073CCAE-D115-4A0A-9F00-7FCD4B13A769}\RP274\A0035154.exe
    [FUND]      Enthält Erkennungsmuster des Droppers DR/DelFiles.EU.12
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b75efde.qua' verschoben!
C:\System Volume Information\_restore{9073CCAE-D115-4A0A-9F00-7FCD4B13A769}\RP275\A0035172.dll
    [FUND]      Ist das Trojanische Pferd TR/Proxy.Agent.byf
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae28c47.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 7. Januar 2010  15:29
Benötigte Zeit: 51:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   7151 Verzeichnisse wurden überprüft
 357047 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 357043 Dateien ohne Befall
   2653 Archive wurden durchsucht
      2 Warnungen
      3 Hinweise
  47433 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Angel21 · 07.01.2010, 20:23

Deaktivieren der Systemwiederherstellung:

- Start - Systemsteuerung - System
- Haken bei "systemwiederherstellung bei allen Laufwerken deaktivieren" setzen
- Bestätigen - Neustart
- Nochmal in den Pfad hinein - Haken rausnehmen - auf OK

chillie · 07.01.2010, 20:45

Ok, hab ich gemacht! Jetzt ist wohl das Zeug im System Volume Information gelöscht worden?

Angel21 · 07.01.2010, 21:03

Japp.

Wie geht es deinem rechner nun so allgemein? Treten noch Probleme oder Komplikationen auf?

chillie · 07.01.2010, 21:25

Also dem Rechner geht es eigentlich gut! Arbeitet wieder normal! Deine Trojaner-Behandlung scheint erfolgreich gewesen zu sein!

Hm...Ich hab jetzt eigentlich nur noch folgendes Problem: Kann der Trojaner das Beschreiben und Abpsielen von DVDs (CDs gehen noch) zerstört haben oder liegt das an der Hardware? Das funktioniert nämlich nicht bei mir nicht mehr.

Angel21 · 08.01.2010, 14:44

Das glaube ich weniger, dass müsste dann an deiner Hardware liegen. Aber ich frage mal nach, was es hiermit auf sich hat.

Angel21 · 08.01.2010, 16:51

Starte Systemlook.exe und füge folgendes ein:

Zitat:

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Poste das Ergebnis hier.

chillie · 08.01.2010, 19:55

Ok hab ich gemacht, das kam raus:

Code:

ATTFilter

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 18:15 on 08/01/2010 by user01 (Administrator - Elevation successful)

========== reg ==========

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"= 0x0003ffffff (67108863)
"NoDrives"= 0000000000 (0)
"NoDriveTypeAutoRun"= 0x0000000143 (323)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run]


-=End Of File=-

Was bedeuted das genau?

Wachsgestalt · 09.01.2010, 18:15

Hallo!
Erstmal großes Lob an Angel und Larusso, das ihr Chillie so sehr helft! Das ist wirklich sehr nett von euch! Ich habe ebenfalls ein Problem, und hoffe, dass ihr mir auch weiterhelfen könnt.
Ich habe heute, als ich meinen PC angemacht hab, die Meldung erhalten, dass Security Tool erfolgreich installiert wurde oder etwas in der Art. Dann musste ich aber arbeiten und konnte mich nicht mehr darum kümmern. Und als ich dann nach Hause kam und meinen PC hochgefahren hab, war der Desktop komplett schwarz, und immer, wenn ich ein Programm öffnen möchte, zeigt er mir nun an, dass die entsprechende .exe von einem Wurm befallen wurde und meine nicht vorhandenen Kreditkarteninformationen senden möchte und verbietet mir, das Programm zu öffnen. Kann man das irgendwie wieder hinbiegen oder muss ich jetzt neu aufsetzen?

Chris4You · 09.01.2010, 18:41

Hi,

kein Autorun für alle Laufwerke (NoDriveAutoRun), NoDrives=0 (keine Laufwerke ausblenden), der Wert für NoDriveTypeAutoRun (0x143) ist unsinnig, da er nur bis 0xff definiert ist...:

Zitat:

Wert Bedeutung
0x1 oder 0x80 Deaktiviert AutoRun auf Laufwerken unbekannten Typs.
0x4 Deaktiviert AutoRun auf Wechseldatenträgern.
0x8 Deaktiviert AutoRun auf lokalen Festplattenlaufwerken.
0x10 Deaktiviert AutoRun auf Netzlaufwerken.
0x20 Deaktiviert AutoRun auf CD-ROM-Laufwerken.
0x40 Deaktiviert AutoRun auf RAM-Datenträgern.
0xFF Deaktiviert AutoRun auf allen Arten von Laufwerken.

0x143 wäre 0xff+0x40+0x04, das entspricht:
Deaktivieren aller Laufwerke+Deaktivieren aller RAM-Datenträger+Deaktivieren der Wechseldatenträger, nur mit 0xff sind schon alle Arten von Laufwerken ausgeschaltet (autorun)...

Siehst Du das DVD-Laufwerk oder ist es ausgeblendet im Explorer?
Handelt es sich um zwei Laufwerke (CD und DVD) oder um ein Laufwerk?
Lass im Gerätemanager mal nach neuer HW suchen, vielleicht findet er es dann wieder und aktualisiert die Treiber...

Prüfe im Gerätemanager ob vor dem Laufwerk ein gelbes Fragezeigen eingeblendet ist (Treiberproblem)...
Ev. hat es was mit dem wiederhergestelltem SATA-Treiber (ahcix86.sys) zu tun, hast Du eine entsprechende Treiber-CD für den Rechner?

chris

Chris4You · 09.01.2010, 18:43

@Wachsgestalt
Bitte einen eigenen Thread eröffnen mit:

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Security Tool

Plagegeister aller Art und deren Bekämpfung: Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Security Tool

Ähnliche Themen: Security Tool

07.01.2010, 19:49	#79
Angel21	Security Tool Was zeigt dein Avira wo an? Bitte Dateiname und Pfad. Oder am besten gleich ein komplettes Log. __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!

07.01.2010, 20:23	#81
Angel21	Security Tool Deaktivieren der Systemwiederherstellung: - Start - Systemsteuerung - System - Haken bei "systemwiederherstellung bei allen Laufwerken deaktivieren" setzen - Bestätigen - Neustart - Nochmal in den Pfad hinein - Haken rausnehmen - auf OK __________________ --> Security Tool

07.01.2010, 20:45	#82
chillie	Security Tool Ok, hab ich gemacht! Jetzt ist wohl das Zeug im System Volume Information gelöscht worden?

07.01.2010, 21:03	#83
Angel21	Security Tool Japp. Wie geht es deinem rechner nun so allgemein? Treten noch Probleme oder Komplikationen auf? __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!

07.01.2010, 21:25	#84
chillie	Security Tool Also dem Rechner geht es eigentlich gut! Arbeitet wieder normal! Deine Trojaner-Behandlung scheint erfolgreich gewesen zu sein! Hm...Ich hab jetzt eigentlich nur noch folgendes Problem: Kann der Trojaner das Beschreiben und Abpsielen von DVDs (CDs gehen noch) zerstört haben oder liegt das an der Hardware? Das funktioniert nämlich nicht bei mir nicht mehr.

08.01.2010, 14:44	#85
Angel21	Security Tool Das glaube ich weniger, dass müsste dann an deiner Hardware liegen. Aber ich frage mal nach, was es hiermit auf sich hat. __________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!