|
All processes killed ========== OTL ========== No active process named 2123905.exe was found! No active process named 28299.exe was found! No active process named xtkbs.exe was found! Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\mwcenrsaxo.exe not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\xtkbs.exe not found. File C:\Users\*****\AppData\Local\Temp\xtkbs.exe not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mwcenrsaxo.exe not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan not found. File C:\Users\*****\AppData\Roaming\ohydy.exe not found. D:\AUTOMODE moved successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\helptvol:C:\Windows\system32\cleaosk.dll deleted successfully. File C:\Users\*****\AppData\Roaming\ohydy.exe not found. C:\Users\*****\AppData\Local\Windows Server folder moved successfully. C:\Users\*****\AppData\Roaming\B12491E320CBB39863A02EF2A3860B11 folder moved successfully. File C:\Windows\System32\drivers\xxbsdja.sys not found. File C:\Windows\System32\drivers\cnywu.sys not found. File C:\Users\*****\AppData\Local\aclcoreamd.exe not found. Folder C:\Users\*****\AppData\Roaming\B12491E320CBB39863A02EF2A3860B11\ not found. ADS C:\ProgramData\Temp:82591FF7 deleted successfully. ADS C:\ProgramData\Temp:3A6BC948 deleted successfully. ADS C:\ProgramData\Temp:AC9C6AC1 deleted successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: admo ->Temp folder emptied: 97098 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 41661 bytes User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 41661 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Guest ->Temp folder emptied: 907864 bytes ->Temporary Internet Files folder emptied: 95647380 bytes ->Java cache emptied: 24497735 bytes ->FireFox cache emptied: 40747538 bytes ->Flash cache emptied: 5182 bytes User: ***** ->Temp folder emptied: 3369030875 bytes ->Temporary Internet Files folder emptied: 140718235 bytes ->Java cache emptied: 86498362 bytes ->FireFox cache emptied: 91061862 bytes ->Google Chrome cache emptied: 13818871 bytes ->Flash cache emptied: 472851 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 109051314 bytes RecycleBin emptied: 137918 bytes Total Files Cleaned = 3.789,00 mb OTL by OldTimer - Version 3.2.12.0 log created on 09222010_171019 Files\Folders moved on Reboot... Registry entries deleted on Reboot... ...ok erledigt!danke. is alles wieder gut oder gibts noch mehr zu machen? :) |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
phu also hab alles gemacht was ich sollte,...nur gestern als alles dann fertig war u er im prozess ca 3 mal neu gestartet hat ging weder mein inet noch sonstige programme (spiele etc). es stand dann immer in einem kleinen fenster dass der pfad geloescht wurde ( od so aehnlich, ich habs leider nicht aufgeschrieben) hab dann abgeschalten u heute geht wieder alles. hier ist die log datei: Combofix Logfile: Code: ComboFix 10-09-22.02 - ***** 23.09.2010 0:12.1.2 - x86 |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Registry::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
ok erledigt. diesmal ist wieder dieser error gekomme als ich den inet explorer wieder oeffnen wollte "illegal operation attempted on a registry key that has been marked for deletion" ...erst wenn ich den laptop selbst noch mal ab u aufdrehe geht alles wieder...ist das normal? Combofix Logfile: Code: ComboFix 10-09-22.02 - ***** 23.09.2010 16:34:20.2.2 - x86DANKEEEEE ARNE!!! |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board