Virus oder Wurm lässt mich nicht auf die Registry zugreifen

Kombi · 26.01.2010, 14:53

Ok mach ich die Virus Meldungen am anfang siind weg nur auf die regedit.exe funktionirt immer noch nicht

Kombi · 26.01.2010, 17:21

Hier das neue Log File
File-Upload.net - mbam-log-2010-01-26--16-03-10-.txt

cosinus · 26.01.2010, 21:30

Hast Du die Funde auch entfernt?

Bitte noch ein Log mit CF machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kombi · 26.01.2010, 22:29

ja sicher habe ich die Funde entfernt

ahm dieses programm beendet sich bei 36 mit nem Bluescreen in c wird keine .txt datei sondern eine datei vom typ dateiordner habs 2 mal ausprobiert

cosinus · 26.01.2010, 23:05

Hmm..
Dann mach bitte Logs mit OTL, abe schade, CF nimmt ein immer sehr viel Arbeit ab

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

cosinus · 27.01.2010, 11:42

Da seh ich so direkt (noch) nichts

Kannst Du auf die Registry (regedit) wieder zugreifen? Mach bitte auch einen Lauf mit GMER und poste das Log.

cosinus · 27.01.2010, 16:38

Zitat:

File C:\Windows\system32\drivers\nvstor.sys suspicious modification

Hier sitzt der Vogel

Schmeiß mal bitte die Windows-Suche nach nvstor.sys an (geschützte System- und versteckte Dateien in die Suche mit einbeziehen) und poste die Ausgabe - kompletter Pfad ist wichtig, sonst können wir die später nicht reparieren!

Kombi · 27.01.2010, 17:24

es wurden 2 dateien dieses names gefunden die erste in

C:\Windows\System32\DriverStore\FileReposit\nvraid.inf_x86_neutral_5bde3fe2945bce9e

und die 2. ist in

C:\Windows\system32\drivers\

cosinus · 27.01.2010, 18:28

1.) Lade von hier die originale nvstor.sys direkt auf c:\ (ins Basisverzeichnis) herunter. (diese nvstor.sys zum Herunterladen stammt aus meiner VistaSP2-Partition)

2.) Boote mal von der Vista-DVD, geh in die Wiederherstellungskonsole / Eingabeaufforderung. Dort diese beiden Befehle ausführen:

Code:

ATTFilter

copy c:\windows\system32\drivers\nvstor.sys c:\nvstor.bad

Code:

ATTFilter

copy c:\nvstor.sys C:\windows\system32\drivers

Wobei X: für den Buchstaben des Laufwerks mit der Vista-DVD steht. Bei Abfrage die nvstor.sys überschreiben mit Ja bestätigen!
Wenn der 2. Befehl erfolgreich war, neu starten (normal Vista von Platte), achte darauf, dass der Virenscanner die Datei c:\nvstor.bad in Ruhe lässt!!
Diese dann bitte diese bei Virustotal.com auswerten lassen und Ergebnislink posten.

Kombi · 27.01.2010, 18:39

ich hab aber windows 7 macht das n unterschied ?

cosinus · 27.01.2010, 19:10

Ups

Warte ich schau mal, ob ich ne nvstor.sys für Windows7 finde...schau Du mal in der Zwischenzeit auf der Windows7-DVD nach. Da müsste es eigentlich eine nvstor geben.

Kombi · 27.01.2010, 19:54

ok ich guck mal

Kombi · 27.01.2010, 20:11

ne keine nvstor.sys vorhanden auf der cd

cosinus · 27.01.2010, 20:18

Ok. Dann probier das bitte einfach mal mit der nvstor.sys aus, die ich hochgeladen habe, ich hoffe zwischen Vista und 7 sind da keine Unterschiede. Falls Dein System nicht mehr bootet, musst Du wieder über die Wiederherstellungskonsole die C:\nvstor.bad zurückkopieren, Überschreibungshinweis wieder mit J bestätigen.

copy c:\nvstor.bad c:\windows\system32\drivers\nvstor.sys

Kombi · 27.01.2010, 20:35

ok hab ich gemacht das ist das ergebnis

Virustotal. MD5: c99f251a5de63c6f129cf71933aced0f Heuristic.BehavesLike.Win32.Rootkit.L

27.01.2010, 11:42	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virus oder Wurm lässt mich nicht auf die Registry zugreifen Da seh ich so direkt (noch) nichts Kannst Du auf die Registry (regedit) wieder zugreifen? Mach bitte auch einen Lauf mit GMER und poste das Log. __________________ --> Virus oder Wurm lässt mich nicht auf die Registry zugreifen

27.01.2010, 19:10	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virus oder Wurm lässt mich nicht auf die Registry zugreifen Ups Warte ich schau mal, ob ich ne nvstor.sys für Windows7 finde...schau Du mal in der Zwischenzeit auf der Windows7-DVD nach. Da müsste es eigentlich eine nvstor geben. __________________ Logfiles bitte immer in CODE-Tags posten

Virus oder Wurm lässt mich nicht auf die Registry zugreifen

Plagegeister aller Art und deren Bekämpfung: Virus oder Wurm lässt mich nicht auf die Registry zugreifen