Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile nach Beseitigung (?) MS Removal Tool (https://www.trojaner-board.de/100235-logfile-beseitigung-ms-removal-tool.html)

AnschaPC 12.06.2011 09:04

Logfile nach Beseitigung (?) MS Removal Tool
 
Hallo,

hatte Besuch vom MS Removal Tool. Die hier angegebenen Möglichkeiten, diesen zu entfernen, haben nicht funktioniert- warum auch immer.

Irgendwie (genau weiß ich das auch nicht) bin ich den Tool doch losgeworden.

[Ich habe Dateien in ProgramData gelöscht (wurde so von Chip.de empfohlen). Danach hatte ich ständig die Meldung, dass er conhost.exe nicht finden kann. Das Problem an sich bestand aber weiter.
Irgendwann später meldete sich der Windows Sicherheitscenter, dass er drei bedenkliche Dateien gesichtet hat. Diese befanden sich, wenn ich mich richtig erinnere u.a. im AppData. Die habe ich also auch gelöscht. Da ich nur Anwender bin, weiß ich selber nichts Genaueres. Es kann sein, dass ich im Zuge dessen diese conhost.exe gelöscht habe; das diese also die dritte Datei war; im OTL habe ich zwei der Dateien, die ich gelöscht habe, als fehlend entdeckt:
AppData\Roaming\dwm.exe
AppData\Local\temp\csrss.exe
--> Da die jetzt nicht gefunden werden können: sind die wichtig???]

Zumindest erscheinen die Meldungen nicht mehr und der PC läuft. Da ich den Rechner beruflich dringend benötige und meine Kollegen auf Dateien von mir warten, bitte ich Euch, mal zu schauen, ob der jetzt tatsächlich wieder okay ist.

In der Anlage ist das, was OTL ausgespuckt hat. Lt. Info zu OTL sollte ich zwei Logfiles haben. Ich hab nur das obige... Und im Beispiel ist das auch nicht sooo lang.
Edit: Vielleicht ist die zweite die "Extra.txt"??

Hoffe, dass ihr nur Gutes darin findet!

Gruß,

Anscha

cosinus 14.06.2011 10:41

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com/?l=dis&o=1586&gct=hp
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:63172
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 63172
FF - prefs.js..network.proxy.type: 4
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.05.16 11:08:08 | 000,000,121 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.09.26 15:26:00 | 000,000,040 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{a929e0ae-13e6-11df-a899-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{a929e0ae-13e6-11df-a899-806e6f6e6963}\Shell\AutoRun\command - "" = E:\shelexec.exe start.pdf
O20 - HKCU Winlogon: Shell - (C:\Users\Nutzer\AppData\Roaming\dwm.exe) -  File not found
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

AnschaPC 15.06.2011 15:01

Hallo!

Vielen Dank schon mal für die erste Antwort. Meine neue OTL:

========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "Ask.com" removed from browser.search.selectedEngine
Prefs.js: "127.0.0.1" removed from network.proxy.http
Prefs.js: 63172 removed from network.proxy.http_port
Prefs.js: 4 removed from network.proxy.type
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File move failed. E:\autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a929e0ae-13e6-11df-a899-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a929e0ae-13e6-11df-a899-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a929e0ae-13e6-11df-a899-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a929e0ae-13e6-11df-a899-806e6f6e6963}\ not found.
File E:\shelexec.exe start.pdf not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Nutzer\AppData\Roaming\dwm.exe deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.24.0 log created on 06152011_155555

Files\Folders moved on Reboot...
File move failed. E:\autorun.inf scheduled to be moved on reboot.

Registry entries deleted on Reboot...


Viele Grüße

cosinus 15.06.2011 15:08

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

AnschaPC 19.06.2011 11:55

Hallo Arne!

Hier nun der TDSSKiller-Report. Gefunden wurde nichts.

Gruß,

Anscha

cosinus 20.06.2011 09:05

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

AnschaPC 20.06.2011 16:23

Hallo,

die txt-Datei:
ComboFix 11-06-19.0r1 - Nutzer 20.06.2011 17:00:33.1.4 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3063.1715 [GMT 2:00]
ausgeführt von:: c:\users\Nutzer\Desktop\cofi.exe
AV: Norton Internet Security *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton Internet Security *Enabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Norton Internet Security *Disabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Nutzer\AppData\Local\Microsoft\Windows\Temporary Internet Files\{876640D4-FA8E-4A54-B627-51437A1A6819}.xps
c:\users\Nutzer\AppData\Local\Microsoft\Windows\Temporary Internet Files\{DA5586AE-3127-4D95-8625-E52CA57D7193}.xps
c:\users\Nutzer\AppData\Local\Microsoft\Windows\Temporary Internet Files\{E1E39BD7-0429-4826-A5B2-203EA9B92CAB}.xps
c:\users\Nutzer\AppData\Local\Microsoft\Windows\Temporary Internet Files\{FAD4914E-0612-4202-8C15-73DD89D68975}.xps
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-05-20 bis 2011-06-20 ))))))))))))))))))))))))))))))
.
.
2011-06-20 15:06 . 2011-06-20 15:06 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-06-15 13:55 . 2011-06-15 13:55 -------- d-----w- C:\_OTL
2011-06-13 18:40 . 2011-06-13 18:40 -------- d-----w- c:\program files\Common Files\Plasmoo
2011-06-13 18:40 . 2011-06-13 18:40 -------- d-----w- c:\program files\Common Files\DVDVideoSoft
2011-06-13 18:40 . 2011-06-13 18:40 -------- d-----w- c:\program files\DVDVideoSoft
2011-06-12 05:15 . 2011-06-12 05:15 -------- d-----w- c:\windows\system32\SPReview
2011-06-12 05:13 . 2011-06-12 05:13 -------- d-----w- c:\windows\system32\EventProviders
2011-06-11 20:02 . 2011-06-11 20:10 -------- d-----w- c:\program files\Common Files\Symantec Shared
2011-06-11 20:02 . 2011-06-11 20:02 127096 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2011-06-11 20:02 . 2011-06-11 20:02 -------- d-----w- c:\program files\Symantec
2011-06-11 20:02 . 2011-06-11 20:02 -------- d-----w- c:\windows\system32\drivers\NIS
2011-06-11 20:02 . 2011-06-11 20:02 -------- d-----w- c:\program files\Norton Internet Security
2011-06-11 19:58 . 2011-06-11 19:58 -------- d-----w- c:\program files\NortonInstaller
2011-06-11 15:43 . 2011-06-11 15:43 -------- d-----w- c:\users\Nutzer\AppData\Roaming\DVDVideoSoft
2011-06-05 16:10 . 2010-11-20 12:21 1227776 ----a-w- c:\windows\system32\wdc.dll
2011-06-05 16:09 . 2010-11-20 12:21 351232 ----a-w- c:\windows\system32\wmicmiplugin.dll
2011-06-05 16:09 . 2010-11-20 12:21 780288 ----a-w- c:\windows\system32\wbem\wbemcore.dll
2011-06-05 16:09 . 2010-11-20 12:21 363008 ----a-w- c:\windows\system32\wbemcomn.dll
2011-06-05 16:09 . 2010-11-20 12:19 606208 ----a-w- c:\windows\system32\wbem\fastprox.dll
2011-06-05 16:08 . 2010-11-20 12:21 697344 ----a-w- c:\windows\system32\SmiEngine.dll
2011-06-05 16:08 . 2010-11-20 12:21 189952 ----a-w- c:\windows\system32\wdscore.dll
2011-06-05 16:08 . 2010-11-20 12:17 209920 ----a-w- c:\windows\system32\PkgMgr.exe
2011-06-05 16:05 . 2010-11-20 12:18 323072 ----a-w- c:\windows\system32\drvstore.dll
2011-06-05 16:05 . 2010-11-20 12:18 257024 ----a-w- c:\windows\system32\dpx.dll
2011-06-02 13:19 . 2011-06-02 13:19 -------- d-----w- c:\users\Nutzer\AppData\Roaming\Nero
2011-05-25 13:10 . 2011-04-22 19:14 27008 ----a-w- c:\windows\system32\drivers\Diskdump.sys
2011-05-24 15:47 . 2011-04-09 05:56 123904 ----a-w- c:\windows\system32\poqexec.exe
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-12 05:22 . 2009-07-14 02:05 152576 ----a-w- c:\windows\system32\msclmd.dll
2011-04-09 06:02 . 2011-05-11 17:37 3967872 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:02 . 2011-05-11 17:37 3912576 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-03-25 02:58 . 2011-05-11 17:37 258560 ----a-w- c:\windows\system32\drivers\usbhub.sys
2011-03-25 02:58 . 2011-05-11 17:37 284672 ----a-w- c:\windows\system32\drivers\usbport.sys
2011-03-25 02:57 . 2011-05-11 17:37 43008 ----a-w- c:\windows\system32\drivers\usbehci.sys
2011-03-25 02:57 . 2011-05-11 17:37 20480 ----a-w- c:\windows\system32\drivers\usbohci.sys
2011-03-25 02:57 . 2011-05-11 17:37 24064 ----a-w- c:\windows\system32\drivers\usbuhci.sys
2011-05-07 10:59 . 2011-05-07 10:59 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-12-10 247144]
"dradio-RecorderTimer"="c:\program files\dradio-Recorder\phonostarTimer.exe" [2010-11-23 39936]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-04 7703072]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"PDF4 Registry Controller"="c:\program files\ScanSoft\PDF Professional 4.0\\RegistryController.exe" [2006-09-05 40960]
"ScanSoft PDF Professional 4-reminder"="c:\program files\ScanSoft\PDF Professional 4.0\Ereg\ereg.exe" [2006-04-20 1409024]
"Ulead Memory Card Detector"="c:\program files\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe" [2002-12-10 49152]
"USBToolTip"="c:\progra~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe" [2007-02-20 199752]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-12-06 74752]
"Bonus.SSR.FR10"="c:\program files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2009-11-30 940808]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"CTSysVol"="c:\program files\Creative\Sound Blaster Play\Surround Mixer\CTSysVol.exe" [2007-09-05 57344]
"VolPanel"="c:\program files\Creative\Sound Blaster Play\Volume Panel\VolPanlu.exe" [2008-05-05 221300]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-07 136176]
R3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [2011-05-26 191752]
R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2011-03-21 79360]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-07 136176]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-03-25 30969208]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 twtyfilt;twtyfilt;c:\windows\system32\drivers\twtyfilt.sys [2008-04-10 20480]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1300000.080\SYMDS.SYS [2011-05-16 340088]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1300000.080\SYMEFA.SYS [2011-05-16 897656]
S1 BHDrvx86;BHDrvx86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.0.0.128\Definitions\BASHDefs\20110616.021\BHDrvx86.sys [2011-05-31 810616]
S1 ccSet_NIS;Norton Internet Security Settings Manager;c:\windows\system32\drivers\NIS\1300000.080\ccSetx86.sys [2011-05-23 131208]
S1 IDSVix86;IDSVix86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.0.0.128\Definitions\IPSDefs\20110615.031\IDSvix86.sys [2011-06-03 367736]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1300000.080\Ironx86.SYS [2011-05-16 149624]
S1 SymNetS;Symantec Network Security WFP Driver;c:\windows\system32\drivers\NIS\1300000.080\SYMNETS.SYS [2011-05-09 310392]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\program files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [2009-11-25 814344]
S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [2011-03-10 249648]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 NIS;Norton Internet Security;c:\program files\Norton Internet Security\Engine\19.0.0.128\ccSvcHst.exe [2011-05-24 138760]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-07-06 173352]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2010-12-10 92008]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2011-06-09 105592]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-03-04 277536]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-06-07 600608]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-07 16:40]
.
2011-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-07 16:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
IE: An OneNote s&enden - c:\progra~1\MIF5BA~1\Office14\ONBttnIE.dll/105
IE: Free YouTube Download - c:\users\Nutzer\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Mit ScanSoft PDF Converter 4.0 öffnen - c:\program files\ScanSoft\PDF Professional 4.0\cnvres_ger.dll /100
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MIF5BA~1\Office14\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Nutzer\AppData\Roaming\Mozilla\Firefox\Profiles\93fqjbc9.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
WebBrowser-{081230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-LaunchList - c:\program files\Pinnacle\Studio 11\LaunchList2.exe
HKCU-Run-conhost - c:\users\Nutzer\AppData\Roaming\Microsoft\conhost.exe
AddRemove-PC-Kaufmann Komplettpaket Pro 2009 - c:\windows\IsUn0407.exe
AddRemove-Uninstall_is1 - c:\program files\Common Files\DVDVideoSoft\unins000.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NIS]
"ImagePath"="\"c:\program files\Norton Internet Security\Engine\19.0.0.128\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files\Norton Internet Security\Engine\19.0.0.128\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-06-20 17:19:20
ComboFix-quarantined-files.txt 2011-06-20 15:19
.
Vor Suchlauf: 8 Verzeichnis(se), 672.425.963.520 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 672.669.458.432 Bytes frei
.
- - End Of File - - 0E639BDABE224FFE6522D89F02DBEBED


Gruß,
Anscha

cosinus 20.06.2011 18:10

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

AnschaPC 25.06.2011 12:55

Hallo,

endlich kam ich mal wieder an meinen Computer und sende Dir hier die Dateien.

Herzlichen Dank!!

Anscha

cosinus 25.06.2011 17:09

Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Win7 (32-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-32-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Win7-Installations-DVD (32-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.

AnschaPC 27.06.2011 19:01

Hallo,

hier die aktuellsten Logs.

Viele Grüße,

Anscha

cosinus 28.06.2011 09:40

Hast du wirklich einen fixmbr gemacht?? MBRCheck zeigt immer noch einen unbekannten MBR an!!

AnschaPC 29.06.2011 08:27

Komisch,

hatte vor zwei Tagen alles brav gemacht und geantwortet...

Naja, hier die Dateien.

Gruß,

Anscha

cosinus 29.06.2011 09:19

Ja wie gesagt ist der MBR immer noch unbekannt. Wiederhol den Schritt mit fixmbr und fixboot bitte.

AnschaPC 29.06.2011 11:22

Hallo,

ich hatte nicht die von Dir genannte Auswahl "Computerreparaturoptionen" nach dem Booten nicht gefunden und alle mir dort genannten fünf Möglichkeiten ausprobiert (Startup Repair, System Restore, System Image Recovery, Windows Memory Diagnostic, System Recovering options). Nur einer davon machte das (MS DOS ?)-Fenster auf, wo ich überhaupt irgendwas eingeben konnte. Da hab ich dann beide Begriffe eingegeben.

War ich da falsch?

Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131