Btw hier mal nochmal ne seite auf die ich automatisch weitergeleitet werde:
Search Results for Trojaner Board ? MonsterMarketplace.com

Scans starte ich jetzt gleich...

OTL.exe ist mit deinem code gelaufen, dann hat er neu gestartet, doch nach der Eingabe des Passwort ist er nicht auf den Desktop gelangt. Stattdessen nur ein schwarzer Bildschirm mit Maus...
Habe dann nach einigem Warten neu gestartet und wieder das selbe... erst beim dritten Versuch bin ich auf den Desktop gelangt, jedoch ist das Textfile nicht auf dem Desktop und auch im von dir angegebenen Ordner kann ich es nicht finden.

Bevor ich jetzt was anderes versuche, wollte ich Rücksprache mit dir halten, wie ich verfahren soll. Soll ich es nochmal mit OTL versuchen? Besteht die Gefahr, dass ich dann gar nicht mehr auf den Desktop gelange???

Schritt 2, also Malwarebytes hab ich noch nicht gestartet.

Führe zuerst Schritt 2 aus wenn es im Normalmodus geht.

und im anschluss dann nochmal otl mit deinem code oder erst mal nicht?

Also ich habs gerade versucht, aber leider funktioniert Malwarebytes immer noch nicht im Normalmodus.

Was soll ich machen :-(

Mal vielleicht noch eine kurz Beschreibung, was beim Auführen von otl.exe und deinem Code passiert ist:
Nach dem Klick auf "Fix" hat er unten ein paar sachen angezeit, dann war für einige Zeit nur der Desktophintergrund zu sehen, sonst gar nichts. Nach einiger Zeit kam dann die Anmeldeseite mit der Aufforderung zur Passworteingabe. Von Runterfahren und Hochfahren mit Windows-Bildschirm war nichts da... nur eben irgendwann wieder der Anmeldebildschirm. Nach der Passworteingabe war wie gesagt der schwarze Bildschirm mit Mauszeiger da (dieser ließ sich bewegen).

Hoffe das hilft vielleicht ein bisschen was :-)

Besten Dank für deine Hilfe!!!!

Dann führ OTL mit diesem Script aus:

Zitat:

:OTL
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.149.98.66 217.237.151.97
:Commands
[purity]
[emptytemp]

Soll ich auf "Fix" oder "Scan" oder "Quick Scan" klicken?

Okay, sorry der Klick auf "Fix" sollte es natürlich sein :-) Hab grad eben mal nicht mitgedacht^^

Hier kommt nun die Textdatei beim Hochfahren nach dem Reboot. Die beinhaltet folgenden Text:



All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer| /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Andreas
->Temp folder emptied: 17375739 bytes
->Temporary Internet Files folder emptied: 803320 bytes
->Java cache emptied: 9426 bytes
->FireFox cache emptied: 43591616 bytes
->Flash cache emptied: 990 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1718662 bytes
RecycleBin emptied: 618 bytes

Total Files Cleaned = 61,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03182011_215804

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Und wie sieht es mit den Umleitungen auf?

Bis jetzt noch nichts aber die kamen auch immer sporadisch... Sollte jetzt alles unerwünschte von meinem Rechner runter sein????

Wenn ja sollte ich mal noch Malwarebytes durchlaufen lassen? Oder was ist jetzt noch zu tun?

Na die kamen ja immer sporadisch... Ich muss mal abwarten.
Sollte jetzt alle unerwünschte Software vom Rechner runter sein???

Könnte ich jetzt noch mal Malwarebytes laufen lassen?

Was ist jetzt noch zu tun?

Danke :-)

Ja versuche zuerst Malwarebytes im Normalmodus.

Leider keine guten Nachrichten: Malwarebytes hat nen Absturz mit Bluescreen verursacht.

Folgende Treiber meldet BlueScreenView im Stack:

ataport.sys
ntkrnlpa.exe


Die Bluescreenmeldung ist die folgende:



A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: ataport.SYS

KERNEL_DATA_INPAGE_ERROR

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000007a (0xc0447808, 0xc0000185, 0x05fc2860, 0x88f019e8)

*** ataport.SYS - Address 0x88f019e8 base at 0x88eee000 DateStamp 0x4ce788e8

Dann versuchen wir nochmals CF.

Schritt 1

Systempartition mit chkdsk überprüfen und reparieren

• Im Suchfeld cmd eingeben, STRG+Shift-Tasten gedrückt halten und Enter drücken
  - dadurch wird die Kommandozeile im Admin-Modus gestartet.
• 3. Tippe dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit Enter.
• 4. Die folgende Abfrage mit j bestätigen und Enter drücken.
• 5. Windows neu starten,
  es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen
  - die Zeit verstreichen lassen, keine Taste drücken!! -
• 6. Abwarten bis der Vorgang abgeschlossen ist.
  Bei großen Partitionen kann es u. U. recht lange dauern.
  Windows bootet automatisch neu.

In der Ereignisanzeige (Start => ausführen => eventvwr.msc (reinschreiben) => OK) müsstest Du einen Eintrag mit Quelle Winlogon sehen (evtl. auch mehrere), die Dir eine Zusammenfassung von chkdsk geben. Schau nach Fehlern bzw. fehlerhaften Blöcken und - sofern diese vorhanden sind - poste diese.

Schritt 2

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.

Schritt 3

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Sodala leider hat er mich nicht alles so machen lassen, wie du beschrieben hast. Aber der Reihe nach:

chkdsk hat geklappt.

Leider stelle ich mich beim Finden in der Ereignisanzeiger aber recht dumm an. WO soll die Auswertung genau sein? Ich habe hier links die Ordner "Benutzerdef. Ansichten", "Windows-Protokoll", "Anwendungs- und Dienstprotokplle", "Abonnements"....


Mit dem Defogger hat alles wie von dir beschrieben geklappt. Im Logfile steht folgendes:



defogger_disable by jpshortstuff (23.02.10.1)
Log created at 01:41 on 19/03/2011 (Andreas)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-



Als ich dann mal kurz ins Forum wollte, kam mir mal schnell zwischen durch ein Bluescreen entgegen. Im Stack die altbekannten:

ataport.sys
halmacpi.dll
ntkrnlpa.exe

Meldung:


A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: ntkrnlpa.exe

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000000a (0xa959ba10, 0x00000002, 0x00000001, 0x82e878dc)

*** ntkrnlpa.exe - Address 0x82e8f5cb base at 0x82e4e000 DateStamp 0x4ce78a09




Anschließend hab ich es dann ComboFix gestartet, doch wie immer hat sich nur das kleine Fenster geöffnet, in dem der grüne Balken läuft. Als der Balken voll war, ebenfalls wie immer, dann der Absturz mit Bluescreen.

Treiber im Stack:

ntkrnlpa.exe


Meldung:


A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: ntkrnlpa.exe

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000000a (0x00000001, 0x00000002, 0x00000000, 0x82ec9a1c)

*** ntkrnlpa.exe - Address 0x82e915cb base at 0x82e50000 DateStamp 0x4ce78a09







Nochmal das selbe versucht und wieder das gleiche. Diesmal Treiber im Stack:

ntkrnlpa.exe
halmacpi.dll


Meldung:


A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: halmacpi.dll

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000000a (0x00000001, 0x00000002, 0x00000000, 0x82e93a1c)

*** halmacpi.dll - Address 0x83230000 base at 0x8322c000 DateStamp 0x4ce788d2




Zu guter letzt muss ich dir noch mitteilen, dass ich auch weiterhin die Weiterleitungen im Browser habe :-/