- Schau mal hier nach:-> http://support.microsoft.com/kb/886549/de - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders...
-> http://www.wintotal.de/tipparchiv/?TID=555

- unter Eigenschaften nachsehen, vermutlich durch Malware erstellt:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\nice\Startmenü\Programme\Windows XP Recovery
C:\Dokumente und Einstellungen\nice\Desktop\Windows XP Recovery.lnk
         

kann man dann noch löschen

- dann Punkt 4. bitte noch:-> http://www.trojaner-board.de/99497-x...tml#post662855

- Diesen Fehler habe ich "doch" gar nicht!?! oder doch zumindest wurde mir diese Fehlermeldung nie angezeigt (Beim Versuch, ein Microsoft-Programm zu installieren oder zu entfernen, wird eine Fehlermeldung "Fehler 1606" angezeigt) und soll ich beide Registrierungs-Teilschlüssel komplett durchgehen und gegebenenfalls die werte etc ändern?! was bringt mir das?!


- Heut nacht habe ich noch mal maleware laufen lassen hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6704

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

31.05.2011 14:11:37
mbam-log-2011-05-31 (14-11-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|K:\|)
Durchsuchte Objekte: 371174
Laufzeit: 1 Stunde(n), 56 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{de744aa2-a064-4b0b-996d-84ad943270d2}\RP174\A0026863.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
         

- Die beiden Win XP Recovery daten habe ich gelöscht! waren das auch Viren?!


- Punkt 4 wird noch gemacht!

- Ausserdem spiele ich GTR2 ein SimulationsSpiel und wenn ich ca. 15-30 min spiele, Minimiert sich das spiel auf einmal und ich sehe mein Desktop. Danach kann ich zwar wieder aufs Spiel klicken und ich kann auch weiter spielen nur darf das ja nicht einfach so passieren, Woran könnte das liegen. Es ist mir Gestern aufgefallen als ich einige Sachen getestet habe!

- Da ich Gestern Frei hatte und gehofft hatte es wäre alles schon Geregelt FREU ich mich über ""JEDE"" schnelle Hilfe und Antwort!

hier nun die LOG vom CC-cleaner über alle meine inst. Progr. :

Code: Alles auswählenAufklappen

ATTFilter

Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	10.2.159.1
Adobe Reader X (10.0.1) - Deutsch	Adobe Systems Incorporated	10.0.1
Alcatech BPM Studio Professional v4.9.1		
Allway Sync version 11.1.24	Botkind Inc	
Avira AntiVir Personal - Free Antivirus	Avira GmbH	10.0.0.648
CCleaner	Piriform	3.06
Creative MediaSource		
Creative-Systeminformationen		
Dropbox	Dropbox, Inc.	1.0.10
EASEUS Partition Master 6.5.2 Home Edition	EASEUS	
Firebird SQL Server - MAGIX Edition	MAGIX AG	2.1.26.0
Flux_BitterSweetII	Flux:: sound and picture development	2.1.19.7099
Fraps (remove only)		
Free Audio CD Burner version 1.4.8	DVDVideoSoft Limited.	
Free Video Dub version 1.8.11.426	DVDVideoSoft Limited.	
Free Video to Flash Converter version 4.7.24.426	DVDVideoSoft Limited.	
Free YouTube Download version 2.10.29	DVDVideoSoft Limited.	
Free YouTube to MP3 Converter version 3.9.37.426	DVDVideoSoft Limited.	
Freecorder 4	Applian Technologies Inc.	4.12
GetFoldersize 2.3.0	Michael Thummerer Software Design	2.3.0
GIMP 2.6.11	The GIMP Team	2.6.11
GTR 2 1.0.0.0	10tacle Studios Publishing AG	v1.0.0.0
GTR2 Online Functionality Patch	SimBin Studios	
High Definition Audio Driver Package - KB835221	Microsoft Corporation	20040219.000000
ICQ7.4	ICQ	7.4
Interlok driver setup x32	PACE Anti-Piracy	5.8.12
Java(TM) 6 Update 23	Sun Microsystems, Inc.	6.0.230
Logitech Gaming Software 5.10	Logitech	5.10.127
LogMeIn Hamachi	LogMeIn, Inc.	2.0.3.111
MAGIX Music Maker 16 Premium Download-Version	MAGIX AG	16.0.0.30
MAGIX Screenshare	MAGIX AG	4.3.6.1987
MAGIX Speed burnR	MAGIX AG	7.0.1.27
Malwarebytes' Anti-Malware	Malwarebytes Corporation	
Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU	Microsoft Corporation	
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	
Microsoft Silverlight	Microsoft Corporation	4.0.60129.0
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	8.0.59193
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	9.0.30729.4148
Mod DTM v3.5	Race-Online	3.5
Mozilla Firefox (3.6.17)	Mozilla	3.6.17 (de)
Mozilla Thunderbird (3.1.10)	Mozilla	3.1.10 (de)
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	4.20.9876.0
MSXML 6 Service Pack 2 (KB973686)	Microsoft Corporation	6.20.2003.0
NVIDIA Grafiktreiber 270.61	NVIDIA Corporation	270.61
NVIDIA nView 135.70	NVIDIA Corporation	135.70
NVIDIA Update 1.1.34	NVIDIA Corporation	1.1.34
OpenOffice.org 3.2	OpenOffice.org	3.2.9502
Opera 11.10	Opera Software ASA	11.10.2092
Phase 5 HTML-Editor	Systemberatung Schommer	5.6.2.3
Python 2.7.1	Python Software Foundation	2.7.1150
RealPlayer	RealNetworks	
Realtek High Definition Audio Driver		
SiSoftware Sandra Lite 2007 (Win64/32/CE)	SiSoftware	10.98.2007.6
SiSoftware Sandra Lite 2011.SP2	SiSoftware	17.50.2011.6
Sound Blaster Audigy 2 ZS		
Steinberg Cubase 5	Steinberg Media Technologies GmbH	5.1.0
Steinberg Drum Loop Expansion 01	Steinberg Media Technologies GmbH	1.0.0.1
Steinberg Groove Agent ONE Content	Steinberg Media Technologies GmbH	1.0.0.003
Steinberg HALionOne	Steinberg Media Technologies GmbH	1.1.0.457
Steinberg HALionOne Additional Content Set 01	Steinberg Media Technologies GmbH	1.0.0.001
Steinberg HALionOne Expression Set	Steinberg Media Technologies GmbH	1.0.1.0
Steinberg HALionOne GM Drum Set	Steinberg Media Technologies GmbH	1.0.1.457
Steinberg HALionOne GM Set	Steinberg Media Technologies GmbH	1.0.1.457
Steinberg HALionOne Pro Set	Steinberg Media Technologies GmbH	1.0.1.457
Steinberg HALionOne Studio Drum Set	Steinberg Media Technologies GmbH	1.0.1.457
Steinberg HALionOne Studio Set	Steinberg Media Technologies GmbH	1.0.1.457
Steinberg LoopMash Content	Steinberg Media Technologies GmbH	1.0.0.005
Steinberg REVerence Content 01	Steinberg Media Technologies GmbH	1.0.0.006
SUPER © v2011.build.48 (April 23, 2011) Version v2011.build.48	eRightSoft	v2011.build.48
System Requirements Lab		
TC.Mod 2010	TC.Crew	2010
TeamSpeak 3 Client	TeamSpeak Systems GmbH	
Text-To-Speech-Runtime	Magix Development GmbH	1.0.0.0
Uninstall 1.0.0.1		
VLC media player 1.1.5	VideoLAN	1.1.5
Winamp	Nullsoft, Inc	5.601 
Winamp Erkennungs-Plug-in	Nullsoft, Inc	1.0.0.1
Windows Installer 3.1 (KB893803)	Microsoft Corporation	3.1
WinRAR		
World of Warcraft	Blizzard Entertainment	4.0.6.13623
wxPython 2.8.11.0 (unicode) for Python 2.7	Total Control Software	2.8.11.0-unicode
µTorrent		2.2.0
         

FREUE mich über ""JEDE"" schnelle Hilfe und Antwort!

wir kommen noch zu deinem problem zurück...

Systemprüfung und Reinigung:

1.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 25 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

ein kleines Problem bei PUNKT 2:

1. soll ich das "cleanmgr" bei allen HDD's duchführen oder nur bei C wegen der TEMP und dem Papierkorb?

2. steht da : (`Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen)
meine Frage: soll ich nun %temp% schreiben oder temp ??? es sind zwei verschiedene Ordner?!?

sicher ist sicher

Ich bin Logisch vorgegangen und habe im TEMP ordener von meinem Benutzer alles gelöscht!


hier der LOG vom SUPERAntiSpyware Scan

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/31/2011 at 08:45 PM

Application Version : 4.53.1000

Core Rules Database Version : 7169
Trace Rules Database Version: 4981

Scan type       : Complete Scan
Total Scan Time : 00:41:53

Memory items scanned      : 476
Memory threats detected   : 0
Registry items scanned    : 5660
Registry threats detected : 0
File items scanned        : 19903
File threats detected     : 1

Adware.Tracking Cookie
	.doubleclick.net [ C:\Dokumente und Einstellungen\nice\Anwendungsdaten\Mozilla\Firefox\Profiles\wc7hoai3.default\cookies.sqlite ]
         

Ich bedanke mich viel zu wenig, Vielen Vielen Dank für deine Hilfe und deine Zeit DANKESCHÖN, ich GLAUBE das wir es schaffen

ALLE Punkte abgearbeitet.

Der ESET Online Scanner hat nichts gefunden, alles sauber leider habe ich am ende das falsche Häckchen gesetzt somit keine LOG.tex erhalten, aber wiederhole den test, dann mit LOG.text


Leider habe ich immernoch Folgende Fehler:

- Wenn ich auf Start Klicke dann auf ALLE PROGRAMME dann zb auf ZUBEHÖR dort wird mir unter Systemprogramme nichts angezeigt, und so sieht es mit anderen wichtigen Programmen auch aus. Die Ordner der Prgramme werden zwar Angezeigt, nur sind die meisten LEER! Hinzukommt noch das ich leider nachdem ich dieses FIX-Tool ausgeführt hatte, feststellen musste das mir jetzt weniger Angezeigt wird als Vorher.



- Ausserdem spiele ich GTR2 ein SimulationsSpiel und wenn ich im spiel bin, Minimiert sich das spiel auf einmal und ich sehe mein Desktop. Danach kann ich zwar wieder aufs Spiel klicken und ich kann auch weiter spielen nur darf das ja nicht einfach so passieren, Woran könnte das liegen. Ich habe es heute nochmals getestet! Das war vor dem Befall nicht! hmmm...

Warte auf Anweisungen

Hmmm leider noch mehr:

Also im Task-Manager finde ich unter Prozese die "IEXPLORE.EXE" hab mal danach gegoogelt und dachte mir, lieber poste ich es mal hier, bei dir du kannst mir da sicherlich weiterhelfen

und,

wenn ich google benutze dann kommt es vor das ich auf eine andere seite komme als ich angeklickt habe. Wenn ich dann zb. auf zurück klicke kommt es vor das ich auf der richtigen seite lande. Sehr verwunderlich!

Tut mir leid, das ich so viele Fehler habe. UND VIELEN VIELEN DANK das du mir hilfst!

Hier nun der LOG vom EST online scan:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=cc735b2b7cefb641920ca37536c9102f
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-06-01 07:57:21
# local_time=2011-06-01 09:57:21 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1797 16775141 100 93 95098 43430024 97512 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=340670
# found=11
# cleaned=11
# scan_time=21838
C:\Dokumente und Einstellungen\nice\Eigene Dateien\Downloads\winamp5601_full_emusic-7plus_all.exe	Win32/OpenCandy Anwendung (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\2010\ehmalige desktop daten\OnlineTV.exe	möglicherweise Variante von Win32/TrojanClicker.Agent.GNQCBJP Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\ICQ Lite\266734524\Maxim-RIP_313641781\OnlineTV.exe	möglicherweise Variante von Win32/TrojanClicker.Agent.GNQCBJP Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\Tools\C Download\Nero.8.Ultra.Edition.v.8.0.3.0.MULTiLANGUAGE-FiCKDiEBiATCH\nero8-fdb.iso	Win32/Toolbar.AskSBar Anwendung (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\Tools\C Download\Nero.8.Ultra.Edition.v.8.0.3.0.MULTiLANGUAGE-FiCKDiEBiATCH\Toolbar.exe	Win32/Toolbar.AskSBar Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\Tools\C Download\Nero.8.Ultra.Edition.v.8.0.3.0.MULTiLANGUAGE-FiCKDiEBiATCH\Nero PhotoShow Express\nero_photoshow_express_5_setup.exe	Win32/Toolbar.AskSBar Anwendung (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\Tools\Download\ (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\Tools\Download\ (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\Tools\Eigene Dateien\Eigene Videos\Veoh\1_VeohWebPlayerSetup_eng.exe	Win32/OpenCandy Anwendung (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\Tools\Eigene Dateien\Eigene Videos\Veoh\VeohWebPlayerSetup_eng.exe	Win32/OpenCandy Anwendung (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
I:\Eigene Datein\Tools\ (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
         

Zitat:

Zitat von GregD

wenn ich google benutze dann kommt es vor das ich auf eine andere seite komme als ich angeklickt habe.

-> nur mit dem Firefox hast Du probleme, oder besteht das Problem mit Internet Explorer auch?
-> Wann und wie wird "falsche Seite" angezeigt? nu während des surfens?

Zitat:

Zitat von GregD

- Wenn ich auf Start Klicke dann auf ALLE PROGRAMME dann zb auf ZUBEHÖR dort wird mir unter Systemprogramme nichts angezeigt, und so sieht es mit anderen wichtigen Programmen auch aus. Die Ordner der Prgramme werden zwar Angezeigt, nur sind die meisten LEER!

gehe bitte auf "Start-> Ausführen-> Regedit-> HKEY_CURRENT_USER\Software\Classes\Applications\unter Startmenü/..."
hier sind die Programme die auch dir fehlen?
dann wähle einfach einen Programmnamen aus (die nicht im Startmenü erscheinen) -> anklicken-> und schaue dir auf der rechten Seite der Wert an
ob da "NoStartPage" steht oder nur "Wert nicht gesetzt"?

Hi,

mir werden unter HKEY_CURRENT_USER\Software\Classes\Applications\ nur 4 Programme angezeigt und dort steht bei drein (wert nicht gesetzt) und dem anderen nichts!

Wie gesagt, mir werden ja jetzt auch wieder weniger Ordner im Startmenü unter ALLE PROG. angezeigt muss ich da "unhide" nochmal drüber laufen lassen? weil der Internet Explorer wird mir gar nicht mehr angezeigt. und ich weiß auch nicht wo der hin ist!?!


- Wenn ich OPERA benutze und trojaner Borad bei google eingebe dann klicke ich auf eure seite und komem auf: hxxp://www.state.lewisburg.us/ oder hxxp://www.ask(i-was)/ ......

Beim Mozilla das selbe nur komme ich auf andere seiten: hxxp://www.catalystmagazine.org/ oder hxxp://searchmirror.com/xtr_new?q=trojaner%20borad&enk=pomGucaZxrknGSa5ZLFkoSaBJqFkiWaBxsmmwUahZhkm

es gelingt mir manchmal indem ich auf ZURÜCK klicke auf die richtige seite zu gelangen.

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  mbr.exe -t > C:\mbr.log & C:\mbr.log
           

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

- Es kann sein, dass die Startmenueeinträge zwar da, aber noch immer versteckt sind.
Gehe in den Ordner:
C:\Dokumente und Einstellungen\BENUTZERNAME\Startmenü
Dort findest du die Ordner des Startmenüs.
Schau dir die Eigenschaften der sich darin befindenden Ordner an, ob die Ordner einen Schreibschutz haben.
Entferne diesen, falls vorhanden.
Schau auch gleich, ob die normalen Verknüpfungen, die normalerweise im Startmenue sein sollten, hier zu finden sind.
Sie könnten wie gesagt versteckt sein.
Also wieder in die Eigenschaften der Dateien und Schreibschutz sowie das Attribut "Versteckt" entfernen.
Sollte in diesen Ordnern hier jedoch keine Verknüpfungen sein, dann müssen wir weiter schauen

ok gemacht was heißt das jetzt?! ich bekomme angst

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ST3120022A rev.3.54 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x898361ED]<< 
1 nt!IofCallDriver[0x804E13B9] -> \Device\Harddisk0\DR0[0x89888AB8]
3 CLASSPNP[0xF765805B] -> nt!IofCallDriver[0x804E13B9] -> \Device\0000006d[0x898AF9E8]
5 ACPI[0xF75AD620] -> nt!IofCallDriver[0x804E13B9] -> \Device\Ide\IdeDeviceP0T0L0-4[0x898AE940]
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi -> 0x898361ed
user & kernel MBR OK 
Warning: possible MBR rootkit infection !
         

Also es befinden sich nur 14 Ordner unter(C:\Dokumente und Einstellungen\BENUTZERNAME\Startmenü ), die Schreibgeschützt sind, aber wenn ich das entferne dann übernimmt er das nicht sprich ich klicke mich durch und wenn ich wieder auf eigenschaften klicke dann ist es wieder schreibgeschützt. Und noch 4 weitere Windows-Prgramm verknüfpungen.

Soll ich nicht nochmal "unhide" drüber laufen lassen, da waren zumindest fast alle Programmordner unter ALLE PROGRAMME zu sehen, auch wenn sie teilweise leer waren?!

Oder wo machen wir weiter... zuviele Baustellen... oder?!


-Zusatz: Ich habe grad den InternetExplorer wieder gefunden bzw. die Verknüpfung war unter : C:\Dokumente und Einstellungen\BENUTZERNAME\Startmenü zu sehen aber nicht im Startmenü unter ALLE PROGRAMME. UND mim IE hatte ich keine Umleitung auf andere seiten als ich zb. nach trojaner board gesucht hatte.

nein, nämlich haben wir da ein kleines Problemchen, zwar:
vermutlich das "bösartige" MBR-Rootkit hat sich im MBR festgesetzt...
Der Master Boot Record (MBR) der ersten Festplatte wird beim Start des Rechners geladen, noch vor dem Betriebssystem. Code, der Dort residiert, kann im Prinzip das Betriebssystem kontrollieren.

wenn Du statt Format C:\ für Systemreinigung entscheidest, dann so geht`s weiter:
TDSSKiller von Kaspersky

• Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
• Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
• deaktiviere vorübergehend dein AntiVirus-Programm
• Starte die TDSSKiller.exe durch Doppelklick.
• Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
  Bestätige das ggfs. mit Y(es).
  Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
• Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.

Hier findest Du eine ausführlichere Anleitung.