Trojaner-Board - antimalware bytes startet nicht mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - antimalware bytes startet nicht mehr (https://www.trojaner-board.de/111241-antimalware-bytes-startet-mehr.html)

antimalware bytes startet nicht mehr

Wenn ich malwarebytes starte, verschwindet das Prog gleich wieder. Das interne Tool Cameleyon bringt mich nicht weit - umbennen der exe auch nicht - habe das prog schon x-mal deistalliert und neu drauf keine Änderung.

Punkt 1 - defogger:
Ich kliche die exe, dann öffnet sichne Dos-Box - in der ersten Zeile stehen alle möglichen Sonderzeichen und gleichzeitig kommt folgende Fehlermeldung:
Die NTVDM-CPU hat einen ungültigen Befehl entdeckt. CS:0558 IP:01bb OP:63 68 61 72 73
Klicken Sie auf "Schließen", um die Anwendung zu beenden.

Punkt 2: dds
Der Rechner hängt sich auf - da kommt ne Meldung in der Dos-Box mit " # " - die läuft bis ca. 3/4 der Zeile - dann geht der cursor in die nächste Zeile und nichts geht mehr auch kein ctrl*alt*del

Punkt 3: Gmer:
Ich starte das Prog. und ich bekomme nach dem Start der Exe nen Blue-Screen
"Bad_Pool_Header"

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Hast Du Malwarebytes auch schon im abgesicherten Modus versucht?

ja - habe Malwarebytes auch schon im abgesicherten Modus versucht - stoppt auch dort sofort wieder.
Derzeit ist Anti-Malwarebytes deistalliert und Micro Ttanium Maximum Security aktiv.

Kanst Du aber im abgesicherten Modus arbeiten?

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

so - erledigt - die beiden txt-files sind unter archive.zip anbei.

von dem system, das ich von cd gestartet habe, habe ich auch online-zugriff.

Ich sehe dass Du schon jegliche Programme angewendet hast. Darunter auch Combofix und TDSS-Killer. Wieso dies und aufgrund welcher Anleitung?

ich habe schon 1000 Dinge versucht, die ich gelesen habe - aber irgendwie wird alles blockiert - jedes Prog, das ich starte haengt sich entweder auf, wird gar nicht erst gestartet oder gibt nen blue-screen......allerdings ist mir diese ebene hier neu / habe bisher nur im normal oder abgesicherten versucht weiter zu kommen

....was mich auf den gedanken bringt, die anfangs-aufforderungen nochmals zu probieren - anbei die logs....

...gmer starte zwar, aber da kommt dann gleich nen fehler x:/i386/config/systems.....

Versuche nun einmal Malwarebytes und berichte.

ich kann antimalwarebyte leider nicht installieren / der versucht nen treiber auf x = reatogoPE anzulegen - dort ist aber kein speicher verfuegbar.....

x:/i386/system32/drivers/mbam.sys / fehler beim erstellen einer datei im zielordner.

Stimmt. Hab ich vergessen.

Festplatte mit TestDisk über OTLPE prüfen lassen

Starte TestDisk auf dem Reatogo X-Desktop per Doppelklick auf dieses Icon:
http://image.hijackthis.de/upload/testdisk_icon.jpg

Berücksichtige, dass Du Dich in diesem Programm über die Pfeiltasten (hoch, runter, links und rechts) bewegst.

Das erste Fenster zeigt Dir die Optionen für das Logfile.
Wähle [No log] und drücke Enter.

http://image.hijackthis.de/upload/testdisk_nolog.jpg

TestsDisk wird Dein System scannen und die Laufwerks-Informationen auflisten.
Wenn mehr als ein Laufwerk vorhanden ist, wähle mit den Pfeiltasten das zu prüfende Laufwerk aus.
Stelle sicher, dass [Proceed] markiert ist und drücke auf Enter.

http://image.hijackthis.de/upload/1t...k_laufwerk.jpg

Wähle [Intel] und drücke Enter.

http://image.hijackthis.de/upload/2testdisk_intel1.jpg

Wähle [Analyse] und drücke Enter.

http://image.hijackthis.de/upload/3t...k_analyse1.jpg

Wähle [Quick Search] und drücke Enter.

http://image.hijackthis.de/upload/4testdisk_quick.jpg

Auf die Frage, ob TestDisk nach Partition, die unter Vista erstellt wurden, gib N für Nein ein und drücke Enter.

http://image.hijackthis.de/upload/5testdisk_vista.jpg

Nun wird die gewählte Partition geprüft.
Wenn alles Ok ist, sollte das so aussehen.
Drücke Enter, um das Fenster zu verlassen.

http://image.hijackthis.de/upload/6t..._structure.jpg

Nun kannst Du entweder über [Quit] das Tool beenden, oder
wähle [Deeper Search] für einen vollständigen Scan.

http://image.hijackthis.de/upload/7testdisk_deeper.jpg

Nun wird die gewählte Partition tiefergehend geprüft.
Es wird der Fortschritt der Prüfung in % angezeigt.

http://image.hijackthis.de/upload/8t...ortschritt.jpg

Wenn alles Ok ist, sollte das so aussehen.
Drücke Enter, um das Fenster zu verlassen.

http://image.hijackthis.de/upload/9testdisk_ok.jpg

Nun den Scan-Bereich verlassen, indem Du [Quit] wählst und Enter drückst.

http://image.hijackthis.de/upload/10testdisk_quit.jpg

Das Programm verlässt Du ebenfalls, indem Du [Quit] solange wählst und Enter drückst, bis sich das Programmfenster schließt.

http://image.hijackthis.de/upload/11testdisk_quit2.jpg

ok - scheint alles ok zu sein - habe zumindest nichts gefunden, das anders aussieht......

War es das schon und alles ist wieder ok?

Ich nehme an das Problem mit den Programmausführungen hast Du immer noch?

Geht gar kein Programm? Respektive kannst Du gar keine EXE ausführen? Welche Meldung kommt ganz genau?