|
System Tool 2011 infection. Abgesicherter Modus startet nicht Hallo , ich habe mir auch eine System tool 2011 Infektion eingefangen. Bin über Chip.de auf die Anleitung mit der .exe Datei gekommen. Die .exe Datei konnte ich finden und löschen. System Tool startet jetzt nicht mehr aber ich kann trotzdem den abgesicherten Modus nicht nutzen. Ich habe dann OTL wie im Board beschrieben laufen lassen und anbei findet Ihr die beiden Log files. Wäre toll wenn Ihr mir helfen könntet. DANKE |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL :files C:\Dokumente und Einstellungen\Rasselbande\Anwendungsdaten\Dvdmod C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jIjEgAn06504 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jFhChJi06504 :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html |
All processes killed ========== OTL ========== ========== FILES ========== C:\Dokumente und Einstellungen\Rasselbande\Anwendungsdaten\Dvdmod folder moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jIjEgAn06504 folder moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jFhChJi06504 folder moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User User: LocalService User: NetworkService User: Rasselbande ->Flash cache emptied: 624 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 1064472 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 2124888 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Rasselbande ->Temp folder emptied: 1363515 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 15982358 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 6527 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1124509 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 21,00 mb OTL by OldTimer - Version 3.2.21.0 log created on 02252011_085357 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix upload hat geklappt, thx |
Hallo, es gibt Probleme mit Combofix. Der Start funktioniert einwandfrei und die Systemwiederherstellungsroutine lief auch. Ca. bei Step 50 wurde der Rechner runter gefahren und endete dann im Bluescreen mit dem Hinweis auf Bad_Pool_Header Speicherabild wurde erstellt Danach ging es nicht weiter. Neustart und neuer Versuch, wieder mit dem Bluescreen. Beim nächsten Start lief der Rechner hoch und Combofix versucht nun seit Stunden das LOG file zu erstellen. Was tun?? |
kommst du jetzt wieder in den abgesicherten modus? falls ja versuchs dort |
Hallo Markus, leider nein. Rechner startet nur im normalen Modus. |
Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren. Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der Bereinigung rückgängig machen. Lade http://filepony.de/download-defogger/ herunter und speichere es auf Deinem Desktop. Doppelklicke DeFogger, um das Tool zu starten. • Es öffnet sich das Programm-Fenster des Tools. • Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren. • Klicke Ja, um fortzufahren. • Wenn die Nachricht 'Finished!' erscheint, • klicke OK. • DeFogger wird nun einen Reboot erfragen - klicke OK • Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird. |
OK, habe mich für das Tool entschieden. Reboot wurde nicht erfragt aber das folgende logfile erstellt. defogger_disable by jpshortstuff (23.02.10.1) Log created at 16:41 on 25/02/2011 (Rasselbande) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- |
|
Hallo, das führt nach Ausführung sofort zum bluescreen und wieder der Meldung Bad_Pool_Header |
ok erst mal folgendes. lade den ccleaner slim: Piriform - Builds falls der ccleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Ist es normal das bei der Installation der Punkt Prüfe System und Updates über 30 M Minuten dauert? |
Hallo, der Download macht schon Probleme und das Programm bleibt immer bei der Position Prüfe System und Updates stehen. In den Details sieht man dann folgendes "Bitte warten, installiere CCleaner... Zielverzeichnis: C:\Programme\CCleaner" |
irgendwas stimmt mit deinem system nicht... Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? ausführen ergebniss posten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board