Plagegeister aller Art und deren Bekämpfung: "Windows Recovery" + AVG führte zu Endlosschleife beim BootenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.
| ![]() "Windows Recovery" + AVG führte zu Endlosschleife beim Booten Hi, Ich habe ein ähnliches Problem wie http://www.trojaner-board.de/97537-c...ry-virus.html, aber nich das selbe. Ich haben Windows XP home Das Problem: Wenn ich den PC starte, kommt er bis zum Windows Logo. Während der Ladebalken durchläuft kommt dann nach ein paar Sekunden für den Bruchteil einer Sekunde ein Bluescreen, dann rebootet der PC und das ganze fängt von vorne an. Abgesicherter Modus etc. gehen natürlich auch nicht, selbes Problem. Die Meldung habe ich per Kamera mal identifiziert, liefert aber nichts interessantes Code:
ATTFilter Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird. Wenn Sie diese Fehlermeldung zum erten Mal angezeigt bekommen, sollten Sie den Computer neu starten. Wenn diese Meldung weiterhin angezeigt wird, müssen Sie folgenden Schritten folgen: Überprüfen Sie den Computer auf Viren. Entfernen Sie alle neu installierten Festplatten, bzw. Festplattencontroller. Stellen Sie sicher, dass die Festplatte richtig konfiguriert und beendet ist. Führen Sie CHKDSK/F aus, um festzustellen, ob die Festplatte beshädigt ist, und starten Sie anschließend den Computer erneut. Technische Information: *** stop: oxoooooo7B (und noch was in Klammern) Ich bin ein wenig gesurft, nichts spektakuläres, Google, Youtube, 4Players, und prallel Windows Update, da kam die "Hard drive Failure" Meldung und noch ein paar andere. Da hab ich denen noch geglaubt, weil ich eigentlich mit einem ganz anderen Problem zu kämpfen hatte, und die HD als Ursache auch im Verdacht hatte. Der PC startete bei dem Problem vorher eine paar Tage lang nicht, nur Lüfter gingen an, sonst tat sich gar nichts. ich habe eigentlich auch nix gemacht außer an ein paar Kabeln zu rütteln (also schon mehr probiert, aber im Endeffekt ist jetzt alles wie vorher), und dann ging er wieder an, ohne das ich groß was geändert habe oder weiß, woran es lag. Jedenfalls bin ich froh das der PC wieder läuft, schon kommen diese Fehlermerldungen. Und weil WinUpdate das auch gerade wollte, und ich wissen wollte, ob das alte Problem wieder da ist starte ich den PC neu. Nach reboot kommt dann das windwos Recovery Fenster, der Desktop lädt nicht mehr richtig fertig (z.B. kein Wallpaper), und da bin ich dann stutzig geworden. AVG hat mir dann Funde gemeldet, 2 oder 3 habe ich in die Quarantäne verschoben, einen hat AVG dann nicht mehr finden können oder so. Habe dann reboot gemacht, und hatte den Salat, in dem ich jetzt sitze. Was habe ich bereits getan (alles wirkungslos): - CMOS clear - chkdsk /r mit Wiederherstellungskonsole - mit der nachgeschaut, ob die volsnap.sys da ist: ist sie - mir mal so eine Ubuntu boot disk gemacht, nachdem ein alter Knoppix boot Stick von mir die Partitionen nicht mounten konnte, mit Ubuntu hab ich aber Zugriff, und habe mich auf die Suche nach AVG gemacht. auf "C" ist ein Ordner "$AVG", da sind 4 Dateien drin, die Namen sagen mir aber nichts, ka ob das die Quarantäne ist. Bei google finde ich widersprüchliches dazu. hab noch nen Ornder "quarantine" gefunden, da ist eine kryptisch betitelte zip datei drin. unter "C ![]() Code:
ATTFilter Current timezone is (GMT+02:00) Westeuropische Sommerzeit Tue Apr 19 17:49:24.890 2011 [35] R PID:3844,TID:1772,INFO|REMOVAL_REPORT:Process killed: name=C:\DOKUMENTE UND EINSTELLUNGEN\JOHANNES\LOKALE EINSTELLUNGEN\TEMP\NCRMEOSWAX.TMP, pid=680 Tue Apr 19 17:49:24.984 2011 [37] R PID:3844,TID:1772,INFO|REMOVAL_REPORT:Process killed: name=C:\DOKUMENTE UND EINSTELLUNGEN\JOHANNES\LOKALE EINSTELLUNGEN\TEMP\NCRMEOSWAX.TMP, pid=5688 Tue Apr 19 17:49:25.93 2011 [39] R PID:3844,TID:1772,INFO|REMOVAL_REPORT:Process killed: name=C:\DOKUMENTE UND EINSTELLUNGEN\JOHANNES\LOKALE EINSTELLUNGEN\TEMP\NCRMEOSWAX.TMP, pid=5380 Tue Apr 19 17:49:25.203 2011 [41] R PID:3844,TID:1772,INFO|REMOVAL_REPORT:Process killed: name=C:\WINDOWS\SYSTEM32\RUNDLL32.EXE, pid=1152 Tue Apr 19 17:49:25.359 2011 [42] R PID:3844,TID:1772,INFO|REMOVAL_REPORT:File removed: name=C:\DOKUMENTE UND EINSTELLUNGEN\JOHANNES\LOKALE EINSTELLUNGEN\TEMP\NCRMEOSWAX.TMP Tue Apr 19 17:49:25.390 2011 [43] R PID:3844,TID:1772,INFO|REMOVAL_REPORT:File removed: name=C:\WINDOWS\CDPASUT.DLL also bin ich am Ende meines Lateins angekommen, und weiß auch nicht wo AVG welche Protokolle oder die Quarantäne hat. wäre für Hilfe sehr dankbar, und wende mich daher mal hoffnungsvoll hier ans Forum. grüße |
/// Winkelfunktion /// TB-Süch-Tiger™

"Windows Recovery" + AVG führte zu Endlosschleife beim Booten Vllt kann man mit OTLPE was retten....
__________________Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
"Windows Recovery" + AVG führte zu Endlosschleife beim Booten Hi Arne
__________________Eine Extras.txt gibt es nicht. Jedenfalls wird nur die OTL.txt geöffnet, und liegt auf C: sie ist aber zu groß, um sie als Datei anzuhängen. OTL Logfile: Code:
========== [2009/04/03 15:24:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Acronis [2011/03/31 20:08:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\AVG10 [2010/07/29 22:35:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Azureus [2009/10/03 11:04:19 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Command & Conquer 3 Tiberium Wars [2009/04/03 07:20:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DAEMON Tools [2009/11/28 10:53:01 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DAEMON Tools Lite [2009/04/03 07:20:46 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DAEMON Tools Pro [2010/05/11 17:33:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DVDVideoSoftIEHelpers [2009/08/28 12:06:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\FFSJ [2010/05/04 16:32:08 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Haenlein-Software [2009/04/03 15:36:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\ICQLite [2009/04/26 17:29:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\id Software [2009/09/22 05:59:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\InterVideo [2009/03/30 15:24:01 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\OfficeUpdate12 [2009/04/03 07:40:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Opera [2010/07/30 16:20:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Red Alert 3 [2009/11/02 16:47:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\ROCCAT [2011/04/18 19:57:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Sony [2010/05/11 15:00:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Sony Setup [2010/03/12 19:29:49 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\temp [2011/02/27 19:58:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\The Creative Assembly [2010/05/25 14:40:57 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Ubisoft [2011/04/02 10:40:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Uwulih [2011/04/02 12:17:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Ycqy [2009/03/31 03:10:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Acronis [2009/03/31 03:08:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis [2011/03/17 14:11:32 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software [2011/04/18 20:09:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avanquest [2011/04/02 12:46:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVG10 [2010/12/17 13:00:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg9 [2010/05/22 08:55:09 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software [2010/11/15 19:51:21 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters [2011/03/31 20:07:41 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files [2009/11/28 10:48:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2011/04/02 13:31:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts [2009/10/29 18:22:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fallout3 [2009/04/26 17:27:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\id Software [2011/03/31 20:06:41 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MFAData [2009/12/02 17:36:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Paradox Interactive [2009/11/02 16:45:43 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ROCCAT [2009/03/30 14:10:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SBT ========== Purity Check ========== < End of report > |
"Windows Recovery" + AVG führte zu Endlosschleife beim Booten bzw nochmal als zip...nach remote Registry wurde ich uebrigens nicht gefragt
/// Winkelfunktion /// TB-Süch-Tiger™

"Windows Recovery" + AVG führte zu Endlosschleife beim Booten Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
ATTFilter :OTL DRV - File not found [Kernel | On_Demand] -- -- (aswznvno) FF - prefs.js..network.proxy.http: "localhost" FF - prefs.js..network.proxy.http_port: 9666 FF - prefs.js..network.proxy.socks: "localhost" FF - prefs.js..network.proxy.socks_port: 9050 FF - prefs.js..network.proxy.socks_remote_dns: true FF - prefs.js..network.proxy.ssl: "localhost" FF - prefs.js..network.proxy.ssl_port: 9666 O4 - HKU\Johannes_ON_C..\Run: [dlUnqaYBbo] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dlUnqaYBbo.exe (BitSprx) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009/03/30 05:48:31 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{5fd324d0-65a0-11df-aa2e-0015f24dbc94}\Shell - "" = AutoRun O33 - MountPoints2\{5fd324d0-65a0-11df-aa2e-0015f24dbc94}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{5fd324d0-65a0-11df-aa2e-0015f24dbc94}\Shell\AutoRun\command - "" = O:\Startme.exe O33 - MountPoints2\{a02c3df0-3aab-11e0-b044-001731fa4f1e}\Shell\AutoRun\command - "" = R:\setupSNK.exe [2011/04/19 11:58:03 | 000,000,184 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18538292 [2011/04/19 11:58:02 | 000,000,152 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18538292r [2011/04/19 11:55:40 | 000,000,829 | -H-- | M] () -- C:\Dokumente und Einstellungen\Johannes\Desktop\Windows Recovery.lnk [2011/04/19 11:55:29 | 000,000,344 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18538292 [2011/04/19 11:55:25 | 000,487,424 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18538292.exe [2011/03/31 21:23:47 | 000,946,176 | -H-- | M] () -- C:\Dokumente und Einstellungen\Johannes\Desktop\u1003.exe :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
"Windows Recovery" + AVG führte zu Endlosschleife beim Booten also so ganz wie erwartet hat das nicht geklappt. nen log wurde danach nicht angezeigt, er hat nur gesagt, dass er neu booten will, hat das dann aber nicht gemacht, wenn man "ja" klickt. aber in dem _OTL Ordner ist ein log, ich denke das wolltest du
/// Winkelfunktion /// TB-Süch-Tiger™

"Windows Recovery" + AVG führte zu Endlosschleife beim Booten Ok. Startet Windows jetzt wieder normal?
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
"Windows Recovery" + AVG führte zu Endlosschleife beim Booten Ne. leider nicht, weder abgesicherter Modus noch normal. selbes Problem wie vorher
"Windows Recovery" + AVG führte zu Endlosschleife beim Booten Ich hab noch so eine desinfec't boot dvd von c't gehabt, mit 4 verschiedenen Virenscannern. hab damit mal C: gescannt, Egebnis anbei. was ist denn dieses trash-999 für ein ordner? erstellt den OTL? und könnte es an dieser 15497.sys liegen? mein netbook jedenfalls hat so eine nicht.
/// Winkelfunktion /// TB-Süch-Tiger™

"Windows Recovery" + AVG führte zu Endlosschleife beim Booten Dann wird das Windows vermutlich nicht zu retten sein. Ich würde jetzt falls notwendig noch Daten von C: sichern und eine Neuinstallation von Windows machen.
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
"Windows Recovery" + AVG führte zu Endlosschleife beim Booten Na ok, dann werd ich wohl in den sauren Apfel beißen müssen. Nichts als wie Ärger mit den PC's. Aber danke dir für die Mühe. Aber mal was anderes. dieses Reatogo-X-PE Boot auf Windwos Basis ist ja ne nette Sache, weißt du zufällig, ob es da noch andere fertige bootfähige Images gibt mit ähnlich netten Programmen wie DriveImage, aber auf Deutsch, mit ME Zeitzone und Treibersupport für meine Maus? Die läuft bei dem von Oldtimer nämlich nicht.
/// Winkelfunktion /// TB-Süch-Tiger™

"Windows Recovery" + AVG führte zu Endlosschleife beim Booten Das OTLPE ist auch eigentlich nur Notfälle gedacht. Schau dir mal BartPE an, damit kannst du dir indivuelle Live-CDs erstellen, das Tool dazu nennt sich pebuilder
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
