Es gibt schon wieder ein Problem. Die Wiederherstellungskonsole ist zwar vorhanden, jedoch kann ich sie nicht ausführen. Während den 2 Sekunden in denen mir die Wahl zwischen Konsole und normalem Start gelassen wird, schaff ich es weder mit Pfeiltasten noch mit der Entertaste irgendwie auf die Konsole zu kommen. Da reagiert nichts.

1.) alle Dateien anzeigen lassen => http://www.trojaner-board.de/59624-a...-sichtbar.html
2.) Rechtsklick auf boot.ini direkt auf Laufwerk C:\ => Eigenschaften => Haken bei Schreibschutz rausnehmen => ok
3.) boot.ini per Doppelklick mit notepad.exe (Editor) öffnen
4.) 2. Zeile ändern zu timeout=30
5.) abspeichern und neu starten
6.) Bootmenü sollte nun 30 Sekunden angezeigt werden

Also ich kann immernoch nichts machen. Die Pfeiltasten und die Entertaste funktioneren nicht. Wahrscheinlich liegt an der Tastatur, die beim Hochfahren noch nicht läuft. Werde in morgen eine andere besorgen

USB-Tastatur? Wenn ja, im BIOS die Option USB Keyboard Support aktivieren.

Also wenn ich die Konsole starte kommt da die Frage: Bei welcher Windowsinstallation möchten sie sich anmelden. Dort kann ich dann nur einen Buchstaben eingeben. Konnte also nicht fixmbr etc. eingeben.

Du musst dich da auch schon bei der Windows-Installation anmelden!! Erst dann kann man die Befehle eintippen und ausführen

Ja aber was soll ich denn da eingeben? Wenn ich nur Enter drücke, wird der Vorgang abgebrochen. Ich weiß ja nicht wie ich mich da anmelden soll.

Dir wird eine Ziffer vor der WIndows-INstallation angezeigt. Müsste die 1 sein

Tut mir Leid, dass ich nochmal nachfrage: Da steht, dass das irgendwas mit meinen Partitionen zu tun hat und ich möglicherweise danach nicht mehr darauf zugreifen kann. Ist das richtig so? Da steht nämlich ich soll es lassen, wenn ich keine Probleme mit dem Zugriff habe. Ich weiß das ich Ihnen vertrauen kann, aber wollte nur nochmal sicher gehen.

Ja fixboot und fixmbr müssen bestätigt werden. Musst du machen, sonst werden diese Befehle nicht ausgeführt.

fixmbr und fixboot ausgeführt. MBRChecke nocheinmal versucht, jedoch erscheint immernoch der BlueScreen und ich muss neustarten.

Dann mag dein Rechner mbrcheck nicht...

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So habe nun endlich Zeit gefunden die Scanns laufen zu lassen. Hier die Ergebnisse:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6536

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.04.2011 19:14:53
mbam-log-2011-04-30 (19-14-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 407051
Laufzeit: 2 Stunde(n), 47 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{a70ece43-829d-48c8-862b-2e1c92df30b9}\RP811\A0232408.exe (Trojan.Agent) -> Quarantined and deleted successfully.
         

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/03/2011 at 03:01 PM

Application Version : 4.52.1000

Core Rules Database Version : 7072
Trace Rules Database Version: 4884

Scan type       : Complete Scan
Total Scan Time : 03:48:16

Memory items scanned      : 614
Memory threats detected   : 0
Registry items scanned    : 7827
Registry threats detected : 12
File items scanned        : 233210
File threats detected     : 17

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adfarm1.adition[2].txt
	C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad2.adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tracking.gameforge[2].txt
	C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@sevenoneintermedia.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atwola[1].txt
	inwmedia.net [ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\MFRMJHKN ]
	media.mtvnservices.com [ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\MFRMJHKN ]
	static.eporner.com [ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\MFRMJHKN ]
	C:\Dokumente und Einstellungen\Gast\Cookies\gast@pandasoftware.112.2o7[1].txt

Rogue.VirusHeat
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32#ThreadingModel
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\Nzpy
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\ProgID
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\RUhytS
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\tJOpCcrqxS
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\tXldhOUQmO
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\VersionIndependentProgID
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\whiejdGwd
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\xbvazd
	HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\zxAMxRojJxO

Trojan.Agent/Gen-Bancos
	C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\ANWENDUNGSDATEN\WEBOCTON - SCRIPTLY\PLUGINS\WYSIWYG_EDITOR.DLL
	D:\PROGRAMME\WEBOCTON - SCRIPTLY\ORIGINALS\PLUGINS\WYSIWYG_EDITOR.DLL

Trojan.Agent/Gen-Nullo[Short]
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232398.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232399.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232400.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232401.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232402.EXE
	D:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232403.EXE
         

Überreste und Cookies.

Zitat:

C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\ANWENDUNGSDATEN\WEBOCTON - SCRIPTLY\PLUGINS\WYSIWYG_EDITOR.DLL
D:\PROGRAMME\WEBOCTON - SCRIPTLY\ORIGINALS\PLUGINS\WYSIWYG_EDITOR.DLL

Fehlalarme? Kennst du die Dateien?

Zitat:

Datenbank Version: 6536
30.04.2011 19:14:53

Du hast Malwarebytes vorher nicht aktualisiert bzw. der Scan liegt schon zu lange zurück.
Bitte updaten und einen Vollscan machen.

Also die WYSIWIG Dateien hab ich noch so dunkel in Erinnerung, dass ich die mal gebraucht hab. Aber eigentlich weiß ich nicht mehr so ganz wofür. Was soll ich denn jetzt mit den Funden von SUPERAntiSpyware machen?
Hier der aktuelle Bericht von MBAM:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6633

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.05.2011 01:46:25
mbam-log-2011-05-20 (01-46-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 418432
Laufzeit: 5 Stunde(n), 9 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)