Hallo liebe Hilfsbereiten.

Ich habe mir wohl auch diesen komischen Trojaner oder was auch immer eingefangen. Hab mir auch schon eniges dazu durch gelesen, allerdings stand dazu der Hinweis das die Hilfe-Tipps nur speziell auf diesen Fall zu münzen sein.
Also, ich brauche selber auch Hilfe und fänds schön wenn mir einer erläutert was ich da machen muss. Hab selber nur wenig Ahnun von PC´s, deswegen bitte genau erklären.
vielen lieben dank

bitte
esage lab - resources
herunterladen.
entpacke das archiv in einen eigenen ordner.
doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im
MBR suchen.
poste das ergebniss.
welches windows nutzt du? xp, vista etc?

hi

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: b6305d935ffe3d2c88fbdca980abf6be
\\.\D: -> \\.\PhysicalDrive0

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...


so, das ist das was er mir nun anzeigt. für mich alles chinesisch, hoffe du, ihr, könnt damit mehr anfangen.
benutze xp

ok
start ausführen cmd.exe enter
kopiere rein:
START remover.exe fix \\.\PhysicalDrive0
enter
falls es eine fehlermeldung gibt, musst du die remover.exe nach c:\windows\system32 verschieben und noch mal
START remover.exe fix \\.\PhysicalDrive0
enter
exit enter
pc neu starten, remover.exe noch mal ausführen, log posten

so, danke dir. hab alles so gemacht wie du es gesagt hast.


Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd
\\.\D: -> \\.\PhysicalDrive0

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


Press any key to quit...

vom ersten gefühl her würde ich sagen ist das problem behoben, oder? zumindest ist der wave regeler wieder automatisch da wo er hingehört was mich schon mal erfreut. hoffe das ist es nun, oder kommt noch was?
vielen lieben dank schon mal

ja, so soll es sein :-)
download malwarebytes:
Malwarebytes
installieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte nun alles an laufenden programmen ab, auch antivirus. trenne die internetverbindung, in dem du das netzwerkkabel ziehst, oder wlan abschaltest, starte nun nen komplett scan, funde löschen, antivirus und internet ein, log posten

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4336

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

22.07.2010 00:46:47
mbam-log-2010-07-22 (00-46-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 163028
Laufzeit: 29 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


hi du.

so, das sagt rmir nun. ich hoffe alles ok? :-) klingt ja schon so, oder?
dir also mnochmals danke für die schnelle hilfe, alles gute

als erstes, windows update seite besuchen, alle wichtigen updates, + internet explorer 8.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide.

hi

updates hatte er eh gerade geladen:-) benutze kein ie sondern opera

reicht es vll. wenn ich dir da bestimmte auszüge schicke? ich bin in einigen ausschüssen und vorständen drinne und da will ich jetzt nicht wirklich das jeder held die dokument namen lesen kann etc.

bis dann