ja sicher habe ich die Funde entfernt

ahm dieses programm beendet sich bei 36 mit nem Bluescreen in c wird keine .txt datei sondern eine datei vom typ dateiordner habs 2 mal ausprobiert

Hmm..
Dann mach bitte Logs mit OTL, abe schade, CF nimmt ein immer sehr viel Arbeit ab

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

ok das hat jetzt funktionirt

http://www.file-upload.net/download-...5/Otl.rar.html

Da seh ich so direkt (noch) nichts
Kannst Du auf die Registry (regedit) wieder zugreifen? Mach bitte auch einen Lauf mit GMER und poste das Log.

nein ich kann noch nicht darauf zugreifen

http://www.file-upload.net/download-2201352/Gemer.txt.html

Zitat:

File C:\Windows\system32\drivers\nvstor.sys suspicious modification

Hier sitzt der Vogel
Schmeiß mal bitte die Windows-Suche nach nvstor.sys an (geschützte System- und versteckte Dateien in die Suche mit einbeziehen) und poste die Ausgabe - kompletter Pfad ist wichtig, sonst können wir die später nicht reparieren!

es wurden 2 dateien dieses names gefunden die erste in

C:\Windows\System32\DriverStore\FileReposit\nvraid.inf_x86_neutral_5bde3fe2945bce9e

und die 2. ist in

C:\Windows\system32\drivers\

1.) Lade von hier die originale nvstor.sys direkt auf c:\ (ins Basisverzeichnis) herunter. (diese nvstor.sys zum Herunterladen stammt aus meiner VistaSP2-Partition)

2.) Boote mal von der Vista-DVD, geh in die Wiederherstellungskonsole / Eingabeaufforderung. Dort diese beiden Befehle ausführen:

Code: Alles auswählenAufklappen

ATTFilter

copy c:\windows\system32\drivers\nvstor.sys c:\nvstor.bad
         

Code: Alles auswählenAufklappen

ATTFilter

copy c:\nvstor.sys C:\windows\system32\drivers
         

Wobei X: für den Buchstaben des Laufwerks mit der Vista-DVD steht. Bei Abfrage die nvstor.sys überschreiben mit Ja bestätigen!
Wenn der 2. Befehl erfolgreich war, neu starten (normal Vista von Platte), achte darauf, dass der Virenscanner die Datei c:\nvstor.bad in Ruhe lässt!!
Diese dann bitte diese bei Virustotal.com auswerten lassen und Ergebnislink posten.

ich hab aber windows 7 macht das n unterschied ?

Ups
Warte ich schau mal, ob ich ne nvstor.sys für Windows7 finde...schau Du mal in der Zwischenzeit auf der Windows7-DVD nach. Da müsste es eigentlich eine nvstor geben.

ok ich guck mal

ne keine nvstor.sys vorhanden auf der cd

Ok. Dann probier das bitte einfach mal mit der nvstor.sys aus, die ich hochgeladen habe, ich hoffe zwischen Vista und 7 sind da keine Unterschiede. Falls Dein System nicht mehr bootet, musst Du wieder über die Wiederherstellungskonsole die C:\nvstor.bad zurückkopieren, Überschreibungshinweis wieder mit J bestätigen.

copy c:\nvstor.bad c:\windows\system32\drivers\nvstor.sys

ok hab ich gemacht das ist das ergebnis

Virustotal. MD5: c99f251a5de63c6f129cf71933aced0f Heuristic.BehavesLike.Win32.Rootkit.L

Oha, konntest Du wirklich die nvstor.sys mit meiner Vista-nvstor ersetzen und Win7 bootete danach klaglos?

Mach bitte nen neuen Lauf mit GMER und poste wieder das Log.