ich habe folgendes Problem:
hab mir vorgestern das virus ThinkPoint eingefangen und es nach der Beschreibung hier im Forum entfernt.
Ich bin nach den folgenden Beschreibungen vorgegangen:
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
emrah55
11.12.2010 00:13
Hi,
habe otl laufen lassen wie du es gesagt hast.
Es kam eine Meldung, die hieß:
Cannot create file C:\Windows\System32\drivers\etc\Hosts
Danach gings nicht weiter. Habe Otl geschlossen und musste neu starten.
Nach dem neustart wurde ich erst gefragt ob ich otl wirklich ausführen will.
Habs bestätigt und im dann erscheinenden logfile stand folgendes:
Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Gruß
cosinus
11.12.2010 14:24
Mach zur Kontrolle bitte neue Logs mit OTL
emrah55
11.12.2010 19:21
Hi,
wusste nicht genau welchen Schritt du jetzt meinst. Deshalb habe ich jetzt beides nochmal gemacht.
Die 2 logfiles vo dem ersten Schritt den ich machen sollte sind im Anhang.
Den 2. Schritt habe ich auch nochmal gemacht. Die Meldung kam wieder jedoch ist das logfile jetzt etwas länger:
All processes killed
Error: Unable to interpret <[resethosts]> in the current context!
Error: Unable to interpret <[emptytemp]> in the current context!
Error: Unable to interpret < > in the current context!
OTL by OldTimer - Version 3.2.17.3 log created on 12112010_181450
Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen. Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
emrah55
12.12.2010 20:04
Hi,
Combofix Logfile:
Code:
ComboFix 10-12-11.06 - Emrah 12.12.2010 19:42:32.1.2 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.1977.1108 [GMT 1:00]
ausgeführt von:: c:\users\Emrah\Desktop\cofi.exe
AV: Kaspersky PURE *Disabled/Updated* {AE1D740B-8F0F-D137-211D-873D44B3F4AE}
FW: Kaspersky PURE *Disabled* {9626F52E-C560-D06F-0A42-2E08BA60B3D5}
SP: Kaspersky PURE *Disabled/Updated* {157C95EF-A935-DEB9-1BAD-BC4F3F34BE13}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-12 bis 2010-12-12 ))))))))))))))))))))))))))))))
.
3. Speichere im Notepad als CFScript.txt auf dem Desktop.
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)
5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.
6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
emrah55
13.12.2010 14:17
Combofix Logfile:
Code:
ComboFix 10-12-11.06 - Emrah 13.12.2010 13:58:04.2.2 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.1977.1270 [GMT 1:00]
ausgeführt von:: c:\users\Emrah\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Emrah\Desktop\CFScript.txt
AV: Kaspersky PURE *Disabled/Updated* {AE1D740B-8F0F-D137-211D-873D44B3F4AE}
FW: Kaspersky PURE *Disabled* {9626F52E-C560-D06F-0A42-2E08BA60B3D5}
SP: Kaspersky PURE *Disabled/Updated* {157C95EF-A935-DEB9-1BAD-BC4F3F34BE13}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
- - - - - - - > 'lsass.exe'(544)
c:\program files\Acer Bio Protection\PwdFilter.DLL
.
Zeit der Fertigstellung: 2010-12-13 14:11:55
ComboFix-quarantined-files.txt 2010-12-13 13:11
ComboFix2.txt 2010-12-12 18:57
Vor Suchlauf: 15 Verzeichnis(se), 107.719.774.208 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 107.668.918.272 Bytes frei
- - End Of File - - 775378AFA1FBC72762AFF59FAD954112
--- --- ---
:dankeschoen:
cosinus
13.12.2010 14:39
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.
Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
Doppelklick auf die MBRCheck.exe. Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
emrah55
13.12.2010 17:03
Hallo,
habe alles im Anhang.
Die online Abfrage durch isam habe ich ausversehen doch ausgeführt.
Ich hoffe das ist nicht so schlimm:
OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:50:43 on 13.12.2010
OS: Windows 7 Home Premium Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.13
Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures
Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries
