Trojaner-Board - Think Point unter Vista loswerden?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Think Point unter Vista loswerden? (https://www.trojaner-board.de/92619-think-point-vista-loswerden.html)

Also, ich habe mir das SP1 runtergeladen, wollte es installieren, und es kam erstmal wieeder die maldungm dass nicht darauf zugegriffen werden kann, weil ich nicht über ausreichend berechtigung verfüge. Dann wollte ich im abgesichterten Modus starten und beim herunterfahren hat windows irgendwas geupdated. im abgesicherten Modus ging es auch nicht.
Aber ich den System-infos steht ja schon, dass ich SP2 habe?

a sorry stimmt.
wo genau hast du das sp denn hin geladen? kannst du denn sonst dowloads /programme öffnen?

Ich habe es erst in das DL-Verzeichnis geladen und dann auf den Desktop gezogen.
Das mit dem starten voon Programmen ist sone Sache. teilweise funktioniert es problemlos, wie bei malwarebytes und gmer (im abgesicherten Modus), und bei anderen dann wieder nicht. Wie z.B. bei combofix und dem SP.
Also mit Programmen sind eigentlich nicht Programme, sondern in erster Linie die Installationsfiles gemeint. Programme, die schon vorher drauf waren, laufen.

Was ansonsten noch den selben Fehler zeigt, sind beispielsweise das windows-servicecenter und wenn ich über rechtsklick->anpassen->anzeige die Auflösung umstellen möchte.
In der Leiste oben von der Fehlermeldung steht dann meistens C:\Windows\system32\rundll32.exe oder, wie beim SP, C:\e62b5bbaef9a6b6ec1135b99afa191\spinstall.exe, o.ä.
Die meldung an sich ist aber immer die selbe.
aber auch schon versucht, die benutzerkontensteuerung aus-/einzuschalten. Und mit "als Administrator starten", und im abgesicherten Modus, und alles zusammen.
Hat alles nicht geklappt.

PS: vielleicht sollte ich dazu sagen, dass ich zum Beispiel, anstatt das Windows servicecenter mit der schnellstartleiste zu starten, aus der Systemsteuerung erfolgreich war. Die Auflösung konnte ich auch ändern, aber nur über die NVidia-Systemsteuerung.

war das schon immer so oder erst seit der malware infektion

Also das erste was ich gemacht habe, nachdem ich ThinkPoint wegbekommen habe, war ja quasi Malwarebytes zu installieren und durchlaufen zu lassen, was ja auch funktioniert hat.
Das 2. war combofix, wo mir der Fehler das erste mal angezeigt wurde.
Die Besitzerin habe ich auhc gerade gefragt und soweit sie weiß, ist ihr das noch nie begegnet.

ok.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Ok es läuft durch. wenigstens das funktioniert :kaffee:

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\System32\drivers\blbdrive.sys File not found
IE - HKU\S-1-5-21-2336289093-2002683084-2480212549-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50370
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {ee1babcf-cbe2-4c07-8e18-dfe6fc08c30a} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-2336289093-2002683084-2480212549-1000..\Run: [] File not found
O4 - HKU\S-1-5-21-2336289093-2002683084-2480212549-1000..\Run: [WindowsBootController] C:\Users\Public\L-77685-67895-5687\winsvnc32.exe File not found
O33 - MountPoints2\{357255ec-730b-11df-bde5-001d09ccbac5}\Shell\AutoRun\command - "" = G:\DARKAN\\sharic.exe -- File not found
O33 - MountPoints2\{357255ec-730b-11df-bde5-001d09ccbac5}\Shell\explore\command - "" = G:\DARKAN\\sharic.exe -- File not found
O33 - MountPoints2\{357255ec-730b-11df-bde5-001d09ccbac5}\Shell\open\command - "" = G:\DARKAN\\sharic.exe -- File not found
O33 - MountPoints2\{417dd488-b985-11dd-be5b-001d09ccbac5}\Shell\AutoRun\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe
O33 - MountPoints2\{417dd488-b985-11dd-be5b-001d09ccbac5}\Shell\open\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe
[2010.11.10 18:03:11 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.11.10 18:03:11 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.11.07 18:47:35 | 000,000,006 | ---- | M] () -- C:\Users\Vivian\AppData\Roaming\start
[2010.11.05 22:42:15 | 000,000,006 | ---- | M] () -- C:\Users\Vivian\AppData\Roaming\completescan
[2010.11.05 18:31:24 | 000,000,729 | ---- | M] () -- C:\Users\Vivian\Desktop\ThinkPoint.lnk
[2010.11.05 18:31:24 | 000,000,010 | ---- | M] () -- C:\Users\Vivian\AppData\Roaming\install

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

So, das müsste die hier sein. Lag im moved files ordner.

hattest du dich im abgesicherten modus als administrator angemeldet? versuchs bitte noch mal.

naja, bisher habe ich eben nur diesen einen benutzer gesehen, der auch als administrator verzeichnet war.
jetzt sehe ich 2 benutzer, einmal den nutzer (die nutzerin) und einmal administrator. also gut ich starte dann mal im abgesicherten modus.

dazu habe ich jetzt aber noch nochmal eine frage.
undzwar war ja der benutzer "administrator" bisher garnicht vorhanden.
Da es diesen jetzt aber gibt, und der besitzer keine ahnung von dem Passwort hat, geschweige denn etwas von dieser neuen möglichkeit weiß (das gab es wohl noch nie), kann ich mich nicht mit ihm anmelden.

versuchs mal ohne passwort eingabe.