Trojaner-Board - bka virus: kaspersky rescue-cd wird nicht gebootet und OTLPENet.exe kann nicht gedownloaded werden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - bka virus: kaspersky rescue-cd wird nicht gebootet und OTLPENet.exe kann nicht gedownloaded werden (https://www.trojaner-board.de/100215-bka-virus-kaspersky-rescue-cd-gebootet-otlpenet-exe-gedownloaded.html)

bka virus: kaspersky rescue-cd wird nicht gebootet und OTLPENet.exe kann nicht gedownloaded werden

Hallo alle,
ich hab mir auch den BKA-Virus eingefangen. Das nächste Problem: Die Kaspersky rescue-CD wird auch nach veränderten BIOS-Einstellungen (Boot-Reihenfolge)nicht gebootet. Außerdem kann man offenbar gerade nicht die Datei OTLPENet.exe herunterladen, wie im Foreum vorgeschlagen. Was kann ich jetzt machen um diesen Drecksvirus zu :kloppen: ??
Ich danke Euch!

hi, müsst eig gehen, probier noch mal
download:
http://filepony.de/download-otlpe/
und brenne es mit ISOBurner auf eine CD.
Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW.
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

Hi, das ging ja schnell. Hast Du das mal ausprobiert? Die angezeigte Downloadzeit beträgt jedesmal zwischen 30 Minuten und 11 Stunden. Letztendlich wird der Download automatisch abgebrochen, weil die Wartezeit o. ä. überschritten ist...

na ich probier das ja nicht jeden tag aus :d
1. was für ne internet verbindung hast du im moment?
2. versuchs mal in 2 oder 3 stunden noch mal.

Ich dachte, Du probierst es jetzt;) Dann wissen wir, ob es stimmt. Aber ich werde es auch auf jeden Fall später nochmal probieren. Meine Internetverbindung ist so weit ich weiß top in Schuss.

ne ich meinte eig wie schnell.

hab den download mal gestartet, läuft eig ganz flott im moment.

Som nachdem ich jetzt den 2., beziehungsweise dritten Rechner laufen habe, geht es dann doch. keine Ahnung, was dieser Rechner anders macht als der vorherige...Ich brenne gerade die Datei auf CD. Bis später

Die CD wurde automatisch mit "img burn" gebrannt. In dem infizierten Rechner habe ich dann in den Bios-Proritäten CD Rom auf die 1, Hard Disk Drive auf die 2 gestellt und danach die OTLPENet-CD eingelegt. Mehrmals an und aus geschaltet - wird nicht gebootet! Was kann ich jetzt tun?

hast nen usb stick zur hand, möglischt leeren.

Jepp! Hab da jetzt das OTL Zeugs drauf kopiert. Und nun?

Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht
mehr vorhanden sein.

Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
Solltest
Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere
es.
Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".

http://larusso.trojaner-board.de/Images/otlpe.jpg

Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken

http://larusso.trojaner-board.de/Images/otlpe2.jpg

Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.

http://larusso.trojaner-board.de/Images/otlpe3.jpg

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens
C:\).

Leere den USB Stick auf den Du OTLPE erstellen willst.
Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
Drücke
im DOS Fenster eine beliebige Taste.
Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
Für Drive Label: gib ein OTLPE.
Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
Setze ein Häckchen bei Enable File Copy.
Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device
auswählen)

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt
wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s)
for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt
und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste
den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo, so weit so gut. Mir ist nicht ganz klar, welche Schritte ich auf dem heilen Rechner und welche Schritte ich auf dem befallenen Rechner machen soll:confused:

Du hast geschrieben:

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens
C:\).
Leere den USB Stick auf den Du OTLPE erstellen willst.
Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
Drücke
im DOS Fenster eine beliebige Taste.
Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
Für Drive Label: gib ein OTLPE.
Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
Setze ein Häckchen bei Enable File Copy.
Klicke Start, akzeptiere die Nutzungsbestimmungen.

Da fange ich an auf dem heilen Rechner, weil den anderen kann ich ja nicht benutzen. Wann wechsle ich zu dem befallenenen Rechner?

ist doch klar, ich benötige doch keine otl logs vom sauberen rechner, dass wäre ja ziemlich sinnfrei. also nach erstellen startest du otl von usb auf dem infizierten pc,nach dem du usb als first device festgelegt hast unter boot.

Sorry, ich raff hier gar nix. In dem DOS-Fenster steht an Stelle "0)": USB-Stick. Alles was man machen kann ist "Enter your choice"...
"Source Parh" und "Drive Label" gibt es nicht..."Enable File Copy" gibt es auch nicht...Wo soll das stehen?

und kannst du dort was eintippen? versuchs mal mit 0

Das hatte ich als erstes gemacht. Das Ergebnis ist eine neue Liste, die Anfängt mit "0) Change Type of USB-Drive, currently USB-Harddisk". Wenn man wieder "0" eingibt, kommt wieder die Ausgangsliste ("0) Change Type of USB-Drive, currently USB-Harddisk")...
Wenn man OTLPE oder SCHNITZEL eingibt, kommt immer wieder die Anzeige "Not in the menue - wrong selection - try again"...

hast du kein anderes cd bzw dvd laufwerk oder ist da nur 1 drinnen? wie hast du denn windows instaliert, übers laufwerk? funktionierts überhaupt?
hast du die otl cd mal an nem andern pc probiert ob sie überhaupt funktioniert?

wenn ich die cd in den sauberen rechner einlege, fragt er mich, ob ich reatogomenu.exe ausführen möchte. also scheint sie gut zu sein, oder? bei dem befallenen rechner habe ich in der bios-prioritätenliste "cd rom" an die erste stelle gepackt und das so gespeichert. wenn ich den pc dann runter- und dann wieder rauffahre, läuftr das cd-laufwerk an, aber hört dann irgendwann auf. es passiert nichts. stattdessen logge ich mich auf meinem (einzigen) account ein, dann erscheint sofort der bka-banner und nichts geht mehr...

war zu dem rechner ne windows cd, müssten daten gesichert werden oder kann man den neu aufsetzen?

das betriebssystem (win7) war drauf, keine extra cd. habe nach dem kauf des geräts eine recovery cd gebrannt. muss auf jeden fall daten sichern.
also mit knoppix daten sichern und dann von recovery cd booten? gibt es keine andere möglichkeit, den virus zu killen?

naja wenn bei dir nichts startet dann nicht, läuft knoppix denn? außerdem können wir dann das gerät auch richtig absichern, damit in zukunft ruhe ist.

...Knoppix bootet natürlich auch nicht...Muss man im BIOS noch etwa anderes machen als bei der Bootreihenfolge "CD" auf Platz 1 zu stellen? Wie kann ich abgesehen von Knoppix sonst noch versuchen meine Daten zu sichern?

kommst du ins boot menü wo du dein laufwerk auswählen kannst, ist bei den meisten pcs f11 oder f12 musst mal ausprobieren, dort mal das laufwerk auswählen.

hallo marcus, ich kann jetzt auf meine daten zugreifen!? habe den task manager geöffnet und ganz schnell einen prozess (mit einem komischen namen) beendet. danach bin ich über einen link auf einer cd an meinen explorer gekommen und konnte so alles sichern und auch den browser neutzen, usw. ich habe mehrere anitivirenprogramme drüberlaufen lassen - nichts gefunden!! welches programm findet den virus?

naja dein laufwerk ist wohl trotzdem kaputt, wenn es keine cds mehr einliest benötigst wohl ein neues.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

PS: Der Bildschirm ist schwarz, meine einzige Verbindung zum Rechner ist ein Explorer-Fenster.

starte mal im taskmanager über neuer task die explorer.exe und führe combofix aus.

gottverdammt, nach combofix scheint mein rechner wieder der alte zu sein! ich kann alles sehen und auf alles zugreifen! unten der log, den combofix am ende ausgespuckt hat. muss ich jetzt noch irgendwas machen, oder ist der spuck vorbei?

Combofix Logfile:

Code:

ComboFix 11-06-12.04 - Frederik 13.06.2011  15:13:54.1.2 - x86

Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.3003.1992 [GMT 2:00]

ausgeführt von:: c:\users\Frederik\Desktop\ComboFix.exe

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\Recycle.Bin

c:\recycle.bin\config.bin

c:\recycle.bin\Recycle.Bin.exe.vir

c:\users\Frederik\AppData\Local\TempDIR

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-05-13 bis 2011-06-13  ))))))))))))))))))))))))))))))

.

.

2011-06-13 13:25 . 2011-06-13 13:25        --------        d-----w-        c:\users\Frederik\AppData\Local\temp

2011-06-13 13:04 . 2011-06-13 13:04        --------        d-----w-        c:\users\Frederik\AppData\Roaming\Reviversoft

2011-06-13 13:03 . 2011-06-13 13:03        --------        d-----w-        c:\program files\Reviversoft

2011-06-13 13:03 . 2011-05-17 12:51        16704        ----a-w-        c:\windows\system32\roboot.exe

2011-06-13 12:29 . 2011-06-13 12:29        --------        d-----w-        c:\users\Frederik\AppData\Roaming\f-secure

2011-06-13 12:26 . 2011-06-13 12:26        --------        d-----w-        c:\programdata\F-Secure

2011-06-13 12:03 . 2011-06-13 12:03        --------        d-----w-        c:\program files\CCleaner

2011-05-25 06:48 . 2011-04-22 19:36        26496        ----a-w-        c:\windows\system32\drivers\Diskdump.sys

2011-05-16 07:16 . 2011-05-16 07:16        --------        d-----w-        c:\program files\Avira

2011-05-15 18:15 . 2006-06-19 11:01        69632        ----a-w-        c:\windows\system32\ztvcabinet.dll

2011-05-15 18:15 . 2006-05-25 13:52        162304        ----a-w-        c:\windows\system32\ztvunrar36.dll

2011-05-15 18:15 . 2005-08-25 23:50        77312        ----a-w-        c:\windows\system32\ztvunace26.dll

2011-05-15 18:15 . 2002-03-05 23:00        75264        ----a-w-        c:\windows\system32\unacev2.dll

2011-05-15 18:15 . 2003-02-02 18:06        153088        ----a-w-        c:\windows\system32\UNRAR3.dll

2011-05-15 18:15 . 2011-05-15 18:18        --------        d-----w-        c:\program files\Trojan Remover

2011-05-15 18:15 . 2011-05-15 18:15        --------        d-----w-        c:\users\Frederik\AppData\Roaming\Simply Super Software

2011-05-15 18:15 . 2011-05-15 18:15        --------        d-----w-        c:\programdata\Simply Super Software

2011-05-15 17:39 . 2011-05-15 17:39        --------        d-----w-        c:\users\Frederik\AppData\Roaming\TrojanHunter

2011-05-15 15:58 . 2011-05-16 07:13        --------        d-----w-        c:\program files\TrojanHunter 5.3

2011-05-15 15:49 . 2011-06-13 11:45        --------        d-----w-        c:\users\Frederik\AppData\Roaming\QuickScan

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-04-09 06:13 . 2011-05-11 12:31        3957632        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2011-04-09 06:13 . 2011-05-11 12:31        3901824        ----a-w-        c:\windows\system32\ntoskrnl.exe

2011-04-09 05:56 . 2011-05-11 13:38        123904        ----a-w-        c:\windows\system32\poqexec.exe

2011-03-25 03:06 . 2011-05-11 12:32        258560        ----a-w-        c:\windows\system32\drivers\usbhub.sys

2011-03-25 03:06 . 2011-05-11 12:32        284160        ----a-w-        c:\windows\system32\drivers\usbport.sys

2011-03-25 03:06 . 2011-05-11 12:32        75776        ----a-w-        c:\windows\system32\drivers\usbccgp.sys

2011-03-25 03:06 . 2011-05-11 12:32        43008        ----a-w-        c:\windows\system32\drivers\usbehci.sys

2011-03-25 03:06 . 2011-05-11 12:32        20480        ----a-w-        c:\windows\system32\drivers\usbohci.sys

2011-03-25 03:06 . 2011-05-11 12:32        24064        ----a-w-        c:\windows\system32\drivers\usbuhci.sys

2011-03-25 03:06 . 2011-05-11 12:32        5888        ----a-w-        c:\windows\system32\drivers\usbd.sys

2010-03-15 16:39 . 2010-06-24 22:15        93184        ----a-w-        c:\program files\Default.SFX

2010-03-15 16:39 . 2010-06-24 22:15        74752        ----a-w-        c:\program files\Zip.SFX

2010-03-15 16:39 . 2010-06-24 22:15        70656        ----a-w-        c:\program files\WinCon.SFX

2010-03-15 09:28 . 2010-06-24 22:15        120832        ----a-w-        c:\program files\Uninstall.exe

2010-03-15 09:28 . 2010-06-24 22:15        52224        ----a-w-        c:\program files\RarExt64.dll

2010-03-15 09:28 . 2010-06-24 22:15        45056        ----a-w-        c:\program files\RarExtLoader.exe

2010-03-15 09:28 . 2010-06-24 22:15        141824        ----a-w-        c:\program files\RarExt.dll

2010-03-15 09:26 . 2010-06-24 22:15        378880        ----a-w-        c:\program files\Rar.exe

2010-03-15 09:26 . 2010-06-24 22:15        246272        ----a-w-        c:\program files\UnRAR.exe

2010-03-15 09:26 . 2010-06-24 22:15        1039360        ----a-w-        c:\program files\WinRAR.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-19 39408]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-09-17 1565992]

"ODDPwr"="c:\program files\Acer\Optical Drive Power Management\ODDPwr.exe" [2009-07-30 180224]

"Acer ePower Management"="c:\program files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe" [2009-10-02 494112]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]

"BackupManagerTray"="c:\program files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-09-24 261888]

"NortonOnlineBackupReminder"="c:\program files\Symantec\Norton Online Backup\Activation\NobuActivation.exe" [2009-07-24 588648]

"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-11-01 1091152]

"VitaKeyPdtWzd"="c:\program files\Acer Bio Protection\PdtWzd.exe" [2009-07-21 3567616]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-07-06 7600672]

"PLFSetI"="c:\windows\PLFSetI.exe" [2008-07-29 200704]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-01-12 37888]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]

"NokiaMusic FastStart"="c:\program files\Nokia\Ovi Player\NokiaOviPlayer.exe" [2010-03-04 2192672]

"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2010-04-12 180224]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]

"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2010-07-05 1167296]

.

c:\users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-10-19 708608]

Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-17 795936]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages        REG_MULTI_SZ           c:\program files\Acer Bio Protection\PwdFilter

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 29472]

R3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-08-22 4232192]

R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2010-02-26 137344]

R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2010-02-26 8320]

R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2009-06-18 50432]

R3 RTCore32;RTCore32;e:\program files\RMClock\RTCore32.sys [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 DsiWMIService;Dritek WMI Service;c:\program files\Launch Manager\dsiwmis.exe [2009-08-24 107016]

S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer PowerSmart Manager\ePowerSvc.exe [2009-10-02 690720]

S2 FPSensor;EgisTec-Corp Fingerprint Reader Driver (FPSensor.sys);c:\windows\system32\Drivers\FPSensor.sys [2010-05-26 22528]

S2 Greg_Service;GRegService;c:\program files\Acer\Registration\GregHSRW.exe [2009-08-28 1150496]

S2 IGBASVC;EgisTec Service;c:\program files\Acer Bio Protection\BASVC.exe [2009-07-21 3450368]

S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-09-24 62720]

S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2009-06-18 144640]

S2 ODDPwrSvc;Acer ODD Power Service;c:\program files\Acer\Optical Drive Power Management\ODDPWRSvc.exe [2009-07-30 118784]

S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]

S2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [2009-07-10 253952]

S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2009-07-04 240160]

S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [2009-09-15 6114816]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-05-22 167936]

S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*Deregistered* - avipbb

*Deregistered* - ssmdrv

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=travelmate_8471&r=27050510v406l0331zs75x47n1k951

mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=travelmate_8471&r=27050510v406l0331zs75x47n1k951

IE: &Winamp Search - c:\programdata\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.0.1

FF - ProfilePath - c:\users\Frederik\AppData\Roaming\Mozilla\Firefox\Profiles\xvexjjuj.default\

FF - prefs.js: browser.startup.homepage - www.google.de

FF - prefs.js: keyword.URL - hxxp://www.ask.com/web?o=13796&l=dis&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}

FF - Ext: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\program files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-Locked - (no file)

SafeBoot-mcmscsvc

SafeBoot-MCODS

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'lsass.exe'(620)

c:\program files\Acer Bio Protection\PwdFilter.DLL

.

Zeit der Fertigstellung: 2011-06-13  15:30:49

ComboFix-quarantined-files.txt  2011-06-13 13:30

.

Vor Suchlauf: 8.984.666.112 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 10.316.337.152 Bytes frei

.

- - End Of File - - 7121CE46FAA3A8049D339AC637C030FD

--- --- ---

machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?
privat oder beruflich?

ja, online-banking. ansonsten ab und zu amazon oder ähnliches. soll ich noch andere programme über den rechner laufen lassen? Und wie kann ich verhindern, dass mir so etwas wieder passiert? antivir hats ja nicht erkannt...

rufe deine bank an lasse onlinebanking sperren.
dieser pc muss formatiert und neu aufgesetzt werden, sichere also deine wichtigen daten, bilder dokumente nichts aus tauschbörsen, keine keygens etc.
dann setze neu auf, falls anleitung benötit, bekommst du die
dann sichern wir das system ab
dann müssen alle passwörter geendert werden