PC arbeitet nicht mehr ordnungsgemäß-Fehlermeldungen server.exe, metinmetinmetin.exe bei PC Start
 

Hallo.
Ich habe ein Problem. Und zwar funktioniert mein PC seit ein paar Tagen nicht mehr richtig. Beim Start dauert es ewig bis die Desktopverknüpfungen angezeigt werden; der Sound geht nicht mehr; es kommen einige Fehlermeldungen am Anfang bezüglich server.exe, metinmetinmetin.exe etc.; Systemwiederherstellung ist auch nicht möglich und geöffnete Fenster bzw Ordner/Programme werden nicht mehr in der Taskleiste angezeigt. Das sind die Probleme die ich bisher rausfinden konnte.
Wäre schön wenn mir jemand helfen könnte.

Wenn ich die DDS Datei ausführe öffnet sich nur die dds.txt datei, welche ich hier mit gepostet habe. Die attach.txt öffnet sich nach dem scan nicht. Woran kann das liegen?





.DDS Logfile:
--- --- ---

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Leider geht mailwarebytes nicht installieren. Ich wollte die neueste version installieren. Es kommt folgende Fehlermeldung:
"Run-Time error '372':

Failed to load control 'vbalsgrid6.ocx. Your version of vbalsgrid6.ocx may outdated. Make sure you are using the version of the control that was provided with your application.

Dann macherstmal mit ESET weiter

Habe das mit der attach datei doch noch hinbekommen. Hier noch als Anhang. Lieben Gruß

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Also wie schon oben beschrieben, an sich funktioniert alles, außer die systemwiederherstellung, dann werden geöffnete Programme in der taskleiste nicht angezeigt, Windows media player lässt sich nicht öffnen (Fehlermeldung :"die operation kann aufgrund zu geringen Arbeitsspeichers nicht durchgeführt werden") und beim starten des PC's dauert es ziemlich lange bis die Desktopverknüpfungen geladen haben und es kommen vorab zig Fehlermeldungen. Außerdem geht der sound nicht, wenn ich zum Bsp YoutubeVideos anschauen möchte. Habe aber eben bemerkt, das der Sound an sich geht, also wenn ich über Winamp oder meinen LastfmPlayer Musik hören will.

Im Startmenü ist alles beim alten, soweit ich das überblicken kann.

Habe den PC noch mit Gmer scannen lassen. Im Anhang ist das Textdokument.

Außerdem vllt noch was zu den Fehlermeldungen die am Anfang erscheinen:

"server.exe- Komponente nicht gefunden- Anwendung konnte nicht gestartet werden, weil mozglue.dll, nspr4.dll, plc4.dll, mozsqlite3.dll, nssutil3.dll nicht gefunden werden konnten" - diese Fehlermeldungen erscheinen jeweils 3-4 mal hintereinander, welche ich mit OK bestätigen muss und dann öffnen sich noch Meldungen, dass metinmetinmetin.exe, server.exe und firefox.exe ein Problem festgestellt haben und beendet werden müssen.

Führe mal vorsichtshalber unhide aus - und bitte JETZT keine Programme mehr ohne Absprache einfach so ausführen!


Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Ok habe ich gemacht. Hat sich aber nichts groß verändert. die eigtl Probleme bestehen ja noch weiterhin.

Das ist mir schon klar, unhide sollte auch nur für den Fall der Fälle verschwundene Icons wieder anzeigen

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Habe die Datei runtergeladen, doch wenn ich sie starten will kommt eine Fehlermeldung. OTL hat ein Problem festgestellt und muss beendet werden.

Probier es dann bitte im abgesicherten Modus aus

OTL geht leider im abgesicherten Modus auch nicht starten.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Ok danke. Ich kann das erst am Wochenende machen, da ich momentan keinen andern PC zur Verfügung habe.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Ok habe die movedfiles datei hochgeladen. Der PC startet auch wieder normal und die Fehlermeldungen erscheinen nicht mehr.

Ich seh da aber nichts von dir
Lad es nochmal hoch. Wenn die ZIP zu groß ist, lad es hier hoch => http://file-upload.net und verlink das hier

www.file-upload.net/download-4334458/MovedFiles.7z.html

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten, Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Das TDSS File System bitte mit dem TDSS-Killer löschen lassen, starte Windows danach neu und mach ein neues Log mit diesem Tool. Poste es wieder mit CODE-Tags umschlossen.

Sorry aber ich weiß gerade nicht so recht was und wie ich das machen soll.

soll ich jetzt nur die 2 Sachen löschen?
15:38:32.0406 2968 \Device\Harddisk0\DR0 ( TDSS File System ) - skipped by user
15:38:32.0406 2968 \Device\Harddisk0\DR0 ( TDSS File System ) - User select action: Skip

wenn ja wie mach ich das mit dem TDSS-Killer? oder soll ich alle im Programm gefundenen Objekte löschen?

Du musst den TDSS-Killer nochmal scannen lassen, wenn die Ergebnisse angezeigt werden alles skippen, nur das TDSS Files System löschen

Ist unvollständig, die untere Zusammenfassung fehlt

19:15:00.0703 0472 BEHRINGER_2902 ( UnsignedFile.Multi.Generic ) - skipped by user
19:15:00.0703 0472 BEHRINGER_2902 ( UnsignedFile.Multi.Generic ) - User select action: Skip
19:15:00.0703 0472 cercsr6 ( UnsignedFile.Multi.Generic ) - skipped by user
19:15:00.0703 0472 cercsr6 ( UnsignedFile.Multi.Generic ) - User select action: Skip
19:15:00.0718 0472 cmpci ( UnsignedFile.Multi.Generic ) - skipped by user
19:15:00.0718 0472 cmpci ( UnsignedFile.Multi.Generic ) - User select action: Skip
19:15:03.0000 0420 Deinitialize success

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Combofix Logfile:
--- --- ---

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

GMER Logfile:
--- --- ---

aswMBR werkelt noch?

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-10 17:43:34
-----------------------------
17:43:34.953 OS Version: Windows 5.1.2600 Service Pack 2
17:43:34.953 Number of processors: 1 586 0x204
17:43:34.953 ComputerName: FREUDENHAUS UserName: caro
17:43:36.859 Initialize success
17:45:02.203 AVAST engine defs: 12061000
17:45:06.546 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
17:45:06.578 Disk 0 Vendor: ST380020A 3.39 Size: 76319MB BusType: 3
17:45:06.609 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c
17:45:06.640 Disk 1 Vendor: Maxtor_4W060H4 AAH41310 Size: 58644MB BusType: 3
17:45:07.093 Disk 0 MBR read successfully
17:45:07.125 Disk 0 MBR scan
17:45:07.281 Disk 0 Windows XP default MBR code
17:45:07.312 Disk 0 MBR hidden
17:45:07.343 Disk 0 Partition 1 00 07 HPFS/NTFS NTFS 58635 MB offset 63
17:45:07.375 Disk 0 scanning sectors +156280320
17:45:07.640 Disk 0 scanning C:\WINDOWS\system32\drivers
17:45:07.671 Service scanning
17:45:55.343 Modules scanning
17:45:59.296 Disk 0 trace - called modules:
17:45:59.484 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys
17:45:59.625 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x83b60ab8]
17:45:59.765 3 CLASSPNP.SYS[f77a505b] -> nt!IofCallDriver -> \Device\0000005c[0x83b40208]
17:45:59.890 5 ACPI.sys[f76fa620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x83b3fd98]
17:46:01.390 AVAST engine scan C:\WINDOWS
17:46:01.734 AVAST engine scan C:\WINDOWS\system32
17:46:02.156 AVAST engine scan C:\WINDOWS\system32\drivers
17:46:02.406 AVAST engine scan C:\Dokumente und Einstellungen\caro
17:46:02.687 AVAST engine scan C:\Dokumente und Einstellungen\All Users
17:46:02.828 Scan finished successfully
18:13:49.062 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\caro\Desktop\MBR.dat"
18:13:49.109 The log file has been saved successfully to "C:\Dokumente und Einstellungen\caro\Desktop\aswMBR.txt"

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!