Kannst Du schon in den abbgesicherten Modus booten? (nicht über msconfig versuchen !!! )
Umleitungen waren bzw sind nur bei Firefox?

nein, wenn ich f8 drücke habe ich nur auswahl von cd/dvd/festplatte von denen ich booten kann..
und ich habe ehrlich gesagt IE nicht ausprobiert, aber bisher ist es nicht wieder aufgetretten. hoffe es bleibt so

Hi,

prüft bitte noch auf Rootkit... -> GMER (http://www.trojaner-board.de/74908-a...t-scanner.html)...

chris & out

Hallo! heute wurde ich mit dem problem überrascht, dass mein firefox überhaupt nicht mehr geht, startet zwar kann aber keine seiten laden. bin jetzt mit dem IE unterwegs

als ich das programm GMER durchlaufen liess, stürtze mein pc mitten im scan mit der folgenden meldung:
DRIVES-IRQL-NOT-LESS-OR-EQUEL
ab

EDIT:
Konnte jedoch zwar den bildschirm mit den windows modi öffnen, allerdings kann mein pc nicht in den abgesicherten modus rein - in keinen von angezeigten..

Zitat:

Zitat von mairu

EDIT:
Konnte jedoch zwar den bildschirm mit den windows modi öffnen, allerdings kann mein pc nicht in den abgesicherten modus rein - in keinen von angezeigten..

Hi,

mein Ratschlag: brenn/download dir dieses Avira AntiVir Rescue System auf eine neue CD, stelle die Bootreihenfolge so ein, dass dein PC vom CD Laufwerk bootet und boote mit der CD. Untersuche dein PC auf Viren und lösche gefundene Infektionen.
Bootreihenfolge ändern

lg

Hallo!
Ich habe nun den PC nochmal von der CD gebootet, lies Avira und Malwarebytes durchlaufen und die gefundene Objekte löschen, allerdings kann ich immernoch nicht in den abgesicherten Modus, noch GMER ohne absturz durchlaufen lassen, noch geht mein Firefox wieder den ich neu installiert habe.
was könnte man denn da tun?

Hi,

will mich nicht einmischen, aber es wäre hilfreich zu wissen, was erkannt und gelöscht wurde...

Abgesicherter Modus reparieren:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attac...2&d=1187631899 entpacke es auf Deinen Desktop,
mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf.

chris

okay danke ich versuch's!
was gelöscht wurde kann ich nochmal posten, denn es ist immer dasselbe was er findet und anscheinend gar nicht gelöscht werden kann..

EDIT ach ja, mit der reg. datei, soll ich den rechner quasi erst normal neustarten und dann nochmal in den abgesicherten modus oder hab ich das falsch verstanden?

Also, nach dem Neustart mit der anderen reg-Datei konnte ich leider immernoch nicht in den abgesicherten Modus, Avira+Malwarebytes haben jetzt nichts mehr gefunden-
der alte Fund war:

Code: Alles auswählenAufklappen

ATTFilter

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{6E63FD69-89E7-4BA2-9899-65C5B818AA92}\RP1\A0002100.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba12a42.qua' verschoben!
C:\System Volume Information\_restore{6E63FD69-89E7-4BA2-9899-65C5B818AA92}\RP1\A0002101.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a326be3.qua' verschoben!
C:\System Volume Information\_restore{6E63FD69-89E7-4BA2-9899-65C5B818AA92}\RP1\A0002102.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a35632b.qua' verschoben!
C:\System Volume Information\_restore{6E63FD69-89E7-4BA2-9899-65C5B818AA92}\RP1\A0002103.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a347b73.qua' verschoben!
         

und vom Malwarebytes war dieses hier:

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\iebho.dll (Trojan.BHO.H) -> Delete on reboot.
         

wie kriege ich denn nur Firefox zum laufen? ich brauche es unbedingt
gibt es irgendwelche andere scans oder programme die ich noch durchlaufen lassen könnte?

Es tut mir furchtbar leid für erneuten Posting, ich habe leider keine editier-taste mehr gefunden.
also GMER ergab schliesslich folgendes

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-09 21:34:38
Windows 5.1.2600 Service Pack 3
Running: npiptqjc.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\ugtdipow.sys


---- System - GMER 1.0.15 ----

SSDT   BA6911DE                                  ZwCreateKey
SSDT   BA6911D4                                  ZwCreateThread
SSDT   BA6911E3                                  ZwDeleteKey
SSDT   BA6911ED                                  ZwDeleteValueKey
SSDT   BA6911F2                                  ZwLoadKey
SSDT   BA6911C0                                  ZwOpenProcess
SSDT   BA6911C5                                  ZwOpenThread
SSDT   BA6911FC                                  ZwReplaceKey
SSDT   BA6911F7                                  ZwRestoreKey
SSDT   BA6911E8                                  ZwSetValueKey
SSDT   BA6911CF                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!ZwCallbackReturn + 2FA0      8050483C 4 Bytes  CALL 750AB152 
.rsrc  C:\WINDOWS\system32\drivers\mv61xx.sys    entry point in ".rsrc" section [0xB9F03000]
.text  C:\WINDOWS\system32\DRIVERS\ati2mtag.sys  section is writeable [0xB93AB000, 0x198FE0, 0xE8000020]

---- Files - GMER 1.0.15 ----

File   C:\WINDOWS\system32\drivers\mv61xx.sys    suspicious modification

---- EOF - GMER 1.0.15 ----
         

Zitat:

Zitat von mairu

Es tut mir furchtbar leid für erneuten Posting, ich habe leider keine editier-taste mehr gefunden.

Sorry, dass ich/wir uns nicht mehr gemeldet hatten, ich glaubte "Chris4u" würde hier weiter machen. Bitte GMER nach der Anleitung ausführen.

Wie läuft der Computer?

> Lade diese Datei bei Virus Total hoch und werte sie dort aus.
VirusTotal - Kostenloser online Viren- und Malwarescanner

C:\WINDOWS\system32\drivers\mv61xx.sys

> Bitte Combofix ausführen:

Download combofix.exe von einem dieser Seiten auf dein Desktop.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http:
//www.forospyware.com/sUBs/ComboFix.exe

Vor Anwendung von Combofix
sollte man die temporären Dateien löschen mit CCleaner oder CleanUp
schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein!

* Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen

* doppelklick: combofix.exe Combofix

* klicke "Ja" , nach Lesen vom Disclaimer und Warnmeldung

Combofix - warnmeldung

* schreibe "1" - klicke "Enter"


* nun abwarten, bis ein neuer Systemwiederherstellungspunkt erstellt wurde + der Scan erfolgt
* das Log wird automatisch erscheinen (combofix.txt)
* mit der rechten Maustaste den Text markieren -> komplett abkopieren -> im Forum, wo du einen Beitrag eröffnet hast -> einfügen

> Nach dem Scan kann Combofix den Computer restarten - bitte geduldig abwarten bis das Logfile erstellt wird! Nicht am Pc arbeiten, wärend des Scanprozesses!