Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   [Vista] TR/Crpyt.ZPACk.Gen2 schwarzer Bildschirm, Mauszeiger vorhanden (https://www.trojaner-board.de/97126-vista-tr-crpyt-zpack-gen2-schwarzer-bildschirm-mauszeiger-vorhanden.html)

cosinus 06.04.2011 17:55
Ich fürchte damit kriegen wir das Vista nicht repariert. Willst du an Vista unbedingt festhalten? Win7 ist das bessere Vista. Wenn du Win7 hast brauchst du eigentlich kein Vista.

tokn 06.04.2011 20:21
Sagen wir es so, es sind so viele Date(ie)n auf der Platte,
dass es für mich ein ungeheueren Verlust bedeuten würde,
für den Fall, dass ich die Partition nun im Stich ließe. ;)

Wenn es Zeit und Arbeit in Anspruch nehmen wird, dann bin
ich bereit, dies durchzustehen.

Zwei Lösungsansätze konnte ich schon finden.
Zum Einen das Tool FixWin und zum Anderen ein von MS
bereitgestelltes Hotfix (!)

hxxp://www.thewindowsclub.com/repair-fix-windows-7-vista-problems-with-fixwin-utility (Seite hat etwas viel Werbung)
hxxp://support.microsoft.com/kb/977675

cosinus 06.04.2011 22:35
Naja - die Dateien selbst kann man noch sichern über das installierte Win7 oder notfalls über ein Live-Linux.

tokn 07.04.2011 12:11
Es sind ja auch benutzerspezifische Einstellungen ;)
Ich habe herausfinden können, dass die Benutzerprofile noch
existieren - es muss also an den Starteinstellungen oder an
manipulierten (korrupten) Startdateien liegen.
Ich habe mir mit Hilfe des WAIK, eines Vista Isos (msdnaa) und der
Recovery DVD des Herstellers ein eigenständiges Vista Home Premium
basteln können. Mein nächster Schritt war, zumindest die für den abgesicherten
Modus benötigten Dateien, mit denen aus der erstellten Vista DVD zu ersetzen -
keine Sorge, die betreffenden Daten habe ich vorher gesichert.
So gelang es mir immerhin von einem Blackscreen zu einem Bluescreen zu
kommen, mit der Meldung, dass autochk nicht einverstanden war.
Um auf das MS-Hotfix zu kommen: darin wird ein Problem zwischen dem
Dateisystemtreiber und autchk beschrieben, allerdings mit einem Blackscreen als
Folge.

Es muss sich entweder um einen Eintrag in der Registry handeln oder um die für die
Anmeldung benötigten Dateien. Vielleicht könntest du mir eine Info per PM zukommen
lassen, welche Einstellungen und Dateien für die Anmelderoutine erforderlich sind.
Um eventuelle Bedenken zu entkräftigen: wenn der Angreifer weiß, um welche Dateien
es sich dabei handelt, wieso sollte es auch nicht der Verteidiger wissen? ;)

btw:

Ich habe auf der Vistapartition immer noch einen Schädling finden können.
Er wurde wohl nicht entfernt.

cosinus 07.04.2011 14:07
Wir müssen mit OTLPE ran. Erstell die CD mal auf einem laufenden Windows.

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.

Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
    Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote den Rechner mit kaputtem Vista von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

tokn 07.04.2011 17:10
OTL
Code:
OTL logfile created on: 4/7/2011 8:48:20 PM - Run
OTLPE by OldTimer - Version 3.1.46.0    Folder = X:\Programs\OTLPE
Windows 7 Professional Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 176.14 Gb Total Space | 2.17 Gb Free Space | 1.23% Space Free | Partition Type: NTFS
Drive D: | 10.62 Gb Total Space | 2.66 Gb Free Space | 25.00% Space Free | Partition Type: NTFS
Drive E: | 18.58 Gb Total Space | 1.25 Gb Free Space | 6.70% Space Free | Partition Type: NTFS
Drive F: | 28.13 Gb Total Space | 0.11 Gb Free Space | 0.40% Space Free | Partition Type: NTFS
Drive G: | 5.73 Gb Total Space | 0.04 Gb Free Space | 0.61% Space Free | Partition Type: NTFS
Drive H: | 40.32 Gb Total Space | 3.79 Gb Free Space | 9.40% Space Free | Partition Type: NTFS
Drive I: | 18.56 Gb Total Space | 2.80 Gb Free Space | 15.09% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (WwanSvc)
SRV - File not found [On_Demand] --  -- (WbioSrvc)
SRV - File not found [On_Demand] --  -- (wbengine)
SRV - File not found [On_Demand] --  -- (WatAdminSvc)
SRV - File not found [On_Demand] --  -- (UmRdpService)
SRV - File not found [Auto] --  -- (Themes)
SRV - File not found [On_Demand] --  -- (StorSvc)
SRV - File not found [On_Demand] --  -- (sppuinotify)
SRV - File not found [Auto] --  -- (sppsvc)
SRV - File not found [On_Demand] --  -- (SensrSvc)
SRV - File not found [On_Demand] --  -- (scan)
SRV - File not found [Auto] --  -- (RpcEptMapper)
SRV - File not found [Auto] --  -- (Power)
SRV - File not found [On_Demand] --  -- (PNRPsvc)
SRV - File not found [On_Demand] --  -- (PNRPAutoReg)
SRV - File not found [On_Demand] --  -- (PeerDistSvc)
SRV - File not found [On_Demand] --  -- (p2pimsvc)
SRV - File not found [On_Demand] --  -- (ImmunetProtect)
SRV - File not found [On_Demand] --  -- (HomeGroupProvider)
SRV - File not found [On_Demand] --  -- (HomeGroupListener)
SRV - File not found [On_Demand] --  -- (Fax)
SRV - File not found [Auto] --  -- (Dhcp)
SRV - File not found [On_Demand] --  -- (defragsvc)
SRV - File not found [Auto] --  -- (CscService)
SRV - File not found [On_Demand] --  -- (BDESVC)
SRV - File not found [On_Demand] --  -- (AxInstSV)
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - File not found [On_Demand] --  -- (AppIDSvc)
SRV - File not found [Disabled] --  -- (AMD External Events Utility)
SRV - [2009/07/13 21:16:13 | 000,021,504 | ---- | M] (Microsoft Corporation) [On_Demand] -- H:\Windows\System32\seclogon.dll -- (seclogon)
SRV - [2009/07/13 21:16:12 | 000,210,944 | ---- | M] (Microsoft Corporation) [On_Demand] -- H:\Windows\System32\qwave.dll -- (QWAVE)
SRV - [2008/01/20 22:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [File_System | On_Demand] --  -- (WIMMount)
DRV - File not found [Kernel | System] --  -- (WfpLwf)
DRV - File not found [Kernel | System] --  -- (vwififlt)
DRV - File not found [Kernel | On_Demand] --  -- (vwifibus)
DRV - File not found [Kernel | System] --  -- (vpcvmm)
DRV - File not found [Kernel | On_Demand] --  -- (vpcuxd)
DRV - File not found [Kernel | On_Demand] --  -- (vpcusb)
DRV - File not found [Kernel | System] --  -- (vpcnfltr)
DRV - File not found [Kernel | On_Demand] --  -- (vpcbus)
DRV - File not found [Kernel | On_Demand] --  -- (VMBusHID)
DRV - File not found [Kernel | Boot] --  -- (vmbus)
DRV - File not found [Kernel | On_Demand] --  -- (vhdmp)
DRV - File not found [Kernel | Boot] --  -- (vdrvroot)
DRV - File not found [Kernel | On_Demand] --  -- (TsUsbFlt)
DRV - File not found [Kernel | On_Demand] --  -- (storvsc)
DRV - File not found [Kernel | Boot] --  -- (storflt)
DRV - File not found [Kernel | On_Demand] --  -- (stexstor)
DRV - File not found [Kernel | Boot] --  -- (sptd)
DRV - File not found [Kernel | On_Demand] --  -- (scfilter)
DRV - File not found [Kernel | On_Demand] --  -- (s3cap)
DRV - File not found [Kernel | On_Demand] --  -- (RTL8167)
DRV - File not found [Kernel | Boot] --  -- (rdyboost)
DRV - File not found [Kernel | System] --  -- (RDPREFMP)
DRV - File not found [Kernel | On_Demand] --  -- (rdpbus)
DRV - File not found [Kernel | On_Demand] --  -- (RasAgileVpn) WAN Miniport (IKEv2)
DRV - File not found [Kernel | Boot] --  -- (pcw)
DRV - File not found [Kernel | On_Demand] --  -- (pcmcia)
DRV - File not found [Kernel | On_Demand] --  -- (NETw5s32) Intel(R)
DRV - File not found [Kernel | On_Demand] --  -- (NdisCap)
DRV - File not found [Kernel | On_Demand] --  -- (MTConfig)
DRV - File not found [Kernel | On_Demand] --  -- (mshidkmdf)
DRV - File not found [Kernel | On_Demand] --  -- (LSI_SAS2)
DRV - File not found [Kernel | Boot] --  -- (KSecPkg)
DRV - File not found [File_System | System] --  -- (ImmunetSelfProtectDriver)
DRV - File not found [File_System | System] --  -- (ImmunetProtectDriver)
DRV - File not found [Kernel | Boot] --  -- (hwpolicy)
DRV - File not found [Kernel | On_Demand] --  -- (HpSAMD)
DRV - File not found [Kernel | On_Demand] --  -- (hcw85cir)
DRV - File not found [File_System | On_Demand] --  -- (FsDepends)
DRV - File not found [Kernel | On_Demand] --  -- (ebdrv)
DRV - File not found [Kernel | System] --  -- (discache)
DRV - File not found [Kernel | On_Demand] --  -- (CompositeBus)
DRV - File not found [Kernel | Boot] --  -- (CNG)
DRV - File not found [Kernel | On_Demand] --  -- (CmBatt)
DRV - File not found [Kernel | On_Demand] --  -- (b06bdrv)
DRV - File not found [Kernel | On_Demand] --  -- (AppID)
DRV - File not found [Kernel | Boot] --  -- (amdxata)
DRV - File not found [Kernel | On_Demand] --  -- (amdsbs)
DRV - File not found [Kernel | On_Demand] --  -- (amdsata)
DRV - File not found [Kernel | On_Demand] --  -- (AmdPPM)
DRV - File not found [Kernel | On_Demand] --  -- (AcpiPmi)
DRV - File not found [Kernel | On_Demand] --  -- (1394ohci)
DRV - [2010/08/03 22:21:42 | 006,096,384 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2010/07/13 22:34:16 | 006,680,064 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\NETwNv32.sys -- (NETwNv32) ___ Intel(R)
DRV - [2009/10/26 10:09:06 | 001,095,936 | ---- | M] (Motorola Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\smserial.sys -- (smserial)
DRV - [2009/10/26 09:47:34 | 004,247,552 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\NETw5v32.sys -- (netw5v32) Intel(R)
DRV - [2008/12/24 10:39:44 | 000,014,392 | ---- | M] (ATK0100) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ATKACPI.sys -- (MTsensor)
DRV - [2008/01/18 18:43:20 | 000,131,000 | ---- | M] (Microsoft Corporation) [File_System | On_Demand] -- C:\Windows\System32\drivers\wimfltr.sys -- (WimFltr)
DRV - [2007/08/08 23:42:08 | 000,045,568 | ---- | M] (REDC) [Kernel | Auto] -- C:\Windows\System32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2007/07/30 14:54:02 | 000,038,400 | ---- | M] (REDC) [Kernel | Auto] -- C:\Windows\System32\drivers\rixdptsk.sys -- (rismxdp)
DRV - [2007/07/30 13:42:58 | 000,043,008 | ---- | M] (REDC) [Kernel | Auto] -- C:\Windows\System32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2007/03/17 07:35:40 | 000,071,539 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\StMp3Rec.sys -- (StMp3Rec)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\FX_ON_H\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\GuestF_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\GuestF_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\GuestF_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = D2 2C 23 E9 60 A8 CB 01  [binary data]
IE - HKU\GuestF_ON_H\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\guestI_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\guestI_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\guestI_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = A8 C0 D1 43 6C F1 CB 01  [binary data]
IE - HKU\guestI_ON_H\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010/11/20 12:20:29 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010/11/20 14:41:45 | 000,000,000 | ---D | M]
 
[2010/11/20 12:20:27 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010/11/04 08:14:44 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010/10/29 15:10:09 | 000,000,000 | ---D | M] (Kaspersky URL Advisor) -- C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
[2010/11/04 08:14:36 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
[2010/08/03 11:25:16 | 000,075,208 | ---- | M] (Foxit Software Company) -- C:\Program Files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
[2010/07/12 12:33:56 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npwachk.dll
[2010/10/27 01:44:13 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010/10/27 01:44:13 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2010/10/27 01:44:13 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010/10/27 01:44:13 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010/10/27 01:44:13 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010/11/17 15:50:31 | 000,425,907 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1        www.007guard.com
O1 - Hosts: 127.0.0.1        007guard.com
O1 - Hosts: 127.0.0.1        008i.com
O1 - Hosts: 127.0.0.1        www.008k.com
O1 - Hosts: 127.0.0.1        008k.com
O1 - Hosts: 127.0.0.1        www.00hq.com
O1 - Hosts: 127.0.0.1        00hq.com
O1 - Hosts: 127.0.0.1        010402.com
O1 - Hosts: 127.0.0.1        www.032439.com
O1 - Hosts: 127.0.0.1        032439.com
O1 - Hosts: 127.0.0.1        www.0scan.com
O1 - Hosts: 127.0.0.1        0scan.com
O1 - Hosts: 127.0.0.1        1000gratisproben.com
O1 - Hosts: 127.0.0.1        www.1000gratisproben.com
O1 - Hosts: 127.0.0.1        1001namen.com
O1 - Hosts: 127.0.0.1        www.1001namen.com
O1 - Hosts: 127.0.0.1        www.100888290cs.com
O1 - Hosts: 127.0.0.1        100888290cs.com
O1 - Hosts: 127.0.0.1        100sexlinks.com
O1 - Hosts: 127.0.0.1        www.100sexlinks.com
O1 - Hosts: 127.0.0.1        10sek.com
O1 - Hosts: 127.0.0.1        www.10sek.com
O1 - Hosts: 127.0.0.1        1-2005-search.com
O1 - Hosts: 127.0.0.1        www.1-2005-search.com
O1 - Hosts: 14677 more lines...
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [ClamWin]  File not found
O4 - HKLM..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware]  File not found
O4 - HKU\LocalService_ON_H..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_H..\RunOnce: [mctadmin]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O30 - LSA: Security Packages - (pku2u) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - I:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/03/14 13:47:26 | 003,600,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2011/03/14 13:47:26 | 000,614,376 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ci.dll
[2011/03/14 13:47:26 | 000,438,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mcupdate_GenuineIntel.dll
[2011/03/14 13:47:26 | 000,177,128 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\hal.dll
[2011/03/14 13:47:26 | 000,017,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\kdcom.dll
[2011/03/14 13:47:25 | 000,050,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\PSHED.DLL
[2011/03/14 13:47:25 | 000,024,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\BOOTVID.DLL.bak
[2011/03/14 13:47:25 | 000,024,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\BOOTVID.DLL
[2011/03/14 13:25:43 | 000,000,000 | ---D | C] -- C:\Windows\System32\drivers.bak
[2007/01/24 21:08:39 | 000,005,632 | ---- | C] ( ) -- C:\Windows\System32\drivers\kbfiltr.sys
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/04/07 12:12:55 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011/03/14 13:47:26 | 003,601,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe.bak
[2011/03/14 13:47:26 | 000,614,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\ci.dll.bak
[2011/03/14 13:47:26 | 000,438,744 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\mcupdate_GenuineIntel.dll.bak
[2011/03/14 13:47:26 | 000,177,128 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\hal.dll.bak
[2011/03/14 13:47:26 | 000,050,664 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\PSHED.DLL.bak
[2011/03/14 13:47:26 | 000,017,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\kdcom.dll.bak
[2011/03/14 13:47:25 | 000,024,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\BOOTVID.DLL.bak
[2011/03/14 06:52:57 | 000,000,398 | RHS- | M] () -- C:\boot.ini
[2011/03/14 06:46:07 | 000,008,192 | R-S- | M] () -- C:\BOOTSECT.BAK
[2011/03/14 06:46:07 | 000,000,396 | -H-- | M] () -- C:\Boot.BAK
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/03/09 18:35:46 | 000,000,396 | -H-- | C] () -- C:\Boot.BAK
[2011/01/07 14:55:41 | 000,132,736 | ---- | C] () -- C:\Windows\System32\drivers\ext2fs.sys
[2011/01/07 14:55:41 | 000,004,608 | ---- | C] () -- C:\Windows\System32\drivers\IfsDrives.sys
[2010/10/29 15:10:00 | 000,115,465 | ---- | C] () -- C:\Windows\System32\drivers\klin.dat
[2010/10/29 15:10:00 | 000,097,545 | ---- | C] () -- C:\Windows\System32\drivers\klick.dat
[2010/09/29 17:04:16 | 000,233,128 | ---- | C] () -- C:\Windows\System32\drivers\SRS_PremiumSound_i386.sys
[2010/09/26 10:42:55 | 000,000,032 | ---- | C] () -- C:\Windows\Menu.INI
[2010/08/03 21:14:26 | 000,023,040 | ---- | C] () -- C:\Windows\System32\atitmpxx.dll
[2010/06/24 16:03:52 | 000,000,043 | ---- | C] () -- C:\Windows\gswin32.ini
[2010/06/16 09:22:56 | 000,219,348 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2010/06/15 18:28:54 | 000,002,857 | ---- | C] () -- C:\Windows\System32\atipblag.dat
[2010/02/07 09:14:57 | 000,000,195 | ---- | C] () -- C:\Windows\System32\ic.ini
[2009/12/03 04:27:30 | 000,080,416 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009/09/09 13:01:40 | 000,027,675 | ---- | C] () -- C:\Windows\System32\drivers\klopp.dat
[2009/06/11 14:24:25 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009/06/11 14:24:25 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2009/06/09 16:16:34 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2009/02/13 16:21:37 | 000,196,096 | ---- | C] () -- C:\Windows\System32\macd32.dll
[2009/02/13 16:21:37 | 000,138,752 | ---- | C] () -- C:\Windows\System32\mase32.dll
[2009/02/13 16:21:37 | 000,136,192 | ---- | C] () -- C:\Windows\System32\mamc32.dll
[2009/02/13 16:21:37 | 000,057,856 | ---- | C] () -- C:\Windows\System32\masd32.dll
[2009/02/13 16:21:37 | 000,027,648 | ---- | C] () -- C:\Windows\System32\ma32.dll
[2009/02/12 18:26:50 | 000,000,012 | ---- | C] () -- C:\Windows\bthservsdp.dat
[2009/01/19 15:31:32 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2008/12/02 14:23:09 | 000,237,568 | ---- | C] () -- C:\Windows\System32\lame_enc.dll
[2008/11/23 14:59:48 | 000,765,952 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2008/11/23 14:59:48 | 000,180,224 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2008/11/23 14:59:48 | 000,008,704 | ---- | C] () -- C:\Windows\System32\vidccleaner.exe
[2008/11/23 14:58:44 | 000,040,960 | ---- | C] () -- C:\Windows\unS385N.dll
[2008/11/18 18:50:52 | 002,463,976 | ---- | C] () -- C:\Windows\System32\NPSWF32.dll
[2008/11/13 12:35:52 | 000,502,784 | ---- | C] () -- C:\Windows\x2.64.exe
[2008/11/13 12:35:52 | 000,240,128 | ---- | C] () -- C:\Windows\System32\x.264.exe
[2008/11/13 12:35:52 | 000,066,560 | ---- | C] () -- C:\Windows\MOTA113.exe
[2008/11/13 12:35:52 | 000,027,648 | ---- | C] () -- C:\Windows\System32\AVSredirect.dll
[2008/11/13 12:35:51 | 000,217,073 | ---- | C] () -- C:\Windows\meta4.exe
[2008/11/12 15:11:05 | 000,096,016 | ---- | C] () -- C:\Windows\System32\drivers\VBoxDrv.sys
[2008/11/10 11:46:59 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2008/11/09 17:33:07 | 000,000,000 | ---- | C] () -- C:\Windows\oodcnt.INI
[2008/11/09 16:39:48 | 000,000,182 | ---- | C] () -- C:\Windows\NeroDigital.ini
[2008/11/09 16:17:18 | 000,010,752 | ---- | C] () -- C:\Windows\System32\BASSMOD.dll
[2008/11/08 14:20:37 | 000,045,056 | ---- | C] () -- C:\Windows\System32\acovcnt.exe
[2008/11/08 11:05:45 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2008/10/28 11:40:48 | 000,173,552 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat
[2008/08/27 21:56:13 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2008/08/27 21:42:21 | 000,047,672 | ---- | C] () -- C:\Windows\AsScrProlog.exe
[2008/06/18 09:59:56 | 000,007,680 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2008/04/16 07:11:34 | 000,684,342 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2008/04/16 07:11:34 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2008/04/16 07:11:34 | 000,150,426 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2008/04/16 07:11:34 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2008/04/16 06:43:39 | 000,000,010 | ---- | C] () -- C:\Windows\System32\ABLKSR.ini
[2008/03/29 02:51:09 | 003,107,788 | ---- | C] () -- C:\Windows\System32\atiumdva.dat
[2008/03/04 22:01:59 | 000,090,112 | ---- | C] () -- C:\Windows\System32\atibrtmon.exe
[2007/06/19 10:25:08 | 000,000,022 | ---- | C] () -- C:\ProgramData\8f01a90e-7eb3-48d3-93b1-50d88fd146fb
[2007/06/19 09:25:08 | 000,000,022 | ---- | C] () -- C:\ProgramData\60a7806a-0eea-424c-a464-20f4730cd631
[2007/03/06 17:39:19 | 000,049,152 | ---- | C] () -- C:\Windows\revdevdll.dll
[2006/11/02 08:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 08:47:37 | 001,819,232 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 08:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 06:33:01 | 000,642,914 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 06:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 06:33:01 | 000,123,558 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 06:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 06:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 04:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 04:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 03:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 03:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006/03/09 12:57:59 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[1999/01/26 18:00:00 | 000,114,816 | ---- | C] () -- C:\Windows\System32\MSMT4232.DLL
 
========== LOP Check ==========
 
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2008/11/16 15:45:47 | 000,000,000 | ---D | M] -- C:\ProgramData\ASUS
[2010/03/29 11:29:58 | 000,000,000 | ---D | M] -- C:\ProgramData\BIFAB
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2008/11/16 14:31:40 | 000,000,000 | ---D | M] -- C:\ProgramData\InterVideo
[2008/11/08 10:39:05 | 000,000,000 | ---D | M] -- C:\ProgramData\LightScribe
[2008/08/27 21:41:19 | 000,000,000 | ---D | M] -- C:\ProgramData\P4G
[2010/06/15 15:19:06 | 000,000,000 | ---D | M] -- C:\ProgramData\PDF Writer
[2010/07/29 12:35:11 | 000,000,000 | ---D | M] -- C:\ProgramData\Pinnacle
[2010/09/30 16:19:41 | 000,000,000 | ---D | M] -- C:\ProgramData\RapidSolution
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2008/08/27 20:41:48 | 000,000,000 | ---D | M] -- C:\ProgramData\Temp
[2006/11/02 09:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2009/03/17 19:41:35 | 000,000,000 | ---D | M] -- C:\ProgramData\WindowsSearch
[2010/11/21 06:55:12 | 000,032,536 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >
Leider wurde keine Extras.Txt erzeugt.
Ich bin die Anweisung zum Erstellen dieses Mediums durchgegangen und
bis dahin gab es keine Probleme.
Als der Scan aber durchgeführt wurde, tauchte mehrmals folgende Meldung auf:
"The procedure entry point [Name des Objekts] could not be located in the dynamic link library msvcrt.dll"

Das Programm wurde bei mir im klassischen Win98 Stil geladen.
Bei dem Punkt "Remote User Profile" war mein Win7 Administrator angewählt -
das Häkchen war natürlich gesetzt, es waren desweiteren meine zwei anderen
Benutzerprofile von Win7, ein LocalService, ein NetworkService und ein systemprofile aufgelistet.

Hat man das Programm ein zweites Mal gestartet, war nun der MacOs Stil vorhanden.

cosinus 07.04.2011 19:13
Zitat:
OTLPE by OldTimer - Version 3.1.46.0 Folder = X:\Programs\OTLPE
Windows 7 Professional Service Pack 1
Du hast mit OTLPE dein Win7 gescannt - wir wollen aber doch dein Vista untersuchen!

tokn 07.04.2011 19:42
Das ist ja das Merkwürdige.
Korrigiere mich wenn ich falsch liege aber nimmt Windows nicht
die Partition als default, von der zuletzt gebootet wurde?
Ich habe vor dem Scan zweimal von der kaputten Vistapartition (den Eintrag)
booten lassen, bis zum blackscreen.
Anhand des Logfiles konnte ich auch feststellen, dass C: in dem Fall
die betreffende Problempartition war. Das Komische daran war die Tatsache, dass
ich bei OTL nur meine Win7 Profile auswählen konnte.

Ferner wurde der Inhalt der hosts-Datei von Vista angezeigt, nachfolgend kommen aber
Einträge von FF 4, das auf meiner Win7 Partition eingerichtet ist :confused:

cosinus 07.04.2011 19:55
Da muss ich jetzt aber auch passen.
OTLPE hab ich schon mehrmals selbst an Windowsrechnern gestartet, aber noch nie an einem PC auf dem zweimal Windows installiert war :nixda:

ich hab den Eindruck dein Vista bekommt man nicht mehr repariert. Von der Vista-DVD zwecks Computerreparatur hast du schon gebootet? Wenn nicht und du das machen willst, wäre ein Komplettbackup ratsam, nichts dass nachher Win7 auch nicht mehr läuft :crazy:

tokn 07.04.2011 20:08
Ok, ich werde nochmals den Vistadatenträger drüber laufen lassen.

Ich muss dabei erwähnen, dass mein Vista auf dem Patch-Stand von Okt 2010
sein dürfte, der Datenträger aber nur auf dem Stand von SP2.
Er hatte schon einmal Fehler erkannt und repariert aber weiter als bis zum blackscreen
kam es leider nicht.

Für eine genauere Analyse kann ich dir die Auszüge aus dem ntbt.log und dem
Ereignisprotokoll schicken, das wäre kein Problem :daumenhoc

Anbei: Es haben doch Viele Win7 mit Xp parallel laufen oder täusche ich mich da ;)

cosinus 08.04.2011 04:57
Zitat:
Anbei: Es haben doch Viele Win7 mit Xp parallel laufen oder täusche ich mich da
Ist mir selten bis garnicht untergekommen. Es eh schon recht selten, dass welche 2x Windows installiert haben. Wenn zwei Betriebssysteme, dann IMHO eher Windows und Linux.

tokn 08.04.2011 22:22
Liste der Anhänge anzeigen (Anzahl: 4)
Ok, ich habe bfvsec nochmal drüber laufen lassen und es kam nur ein Hinweis
mit der Meldung: Das Problem wurde möglicherweise durch nicht angegebene
Systemkonfigurationsänderungen verändert. :rolleyes:

Die Fehlermeldung von OTLPE kann man jetzt eingrenzen, sie taucht
standargemäß bei "AeLookupSvc", "Firefox4" und Windows\Fonts\Global..." auf.
Eine Extra.Txt wird nicht ausgegeben.

Ich habe noch mir nochmal die Vistapartition unter die Lupe genommen, dabei ist mir
aufgefallen, dass der Inhalt von Windows\installer (ein Ort wo ein Virus drauf war)
über 1 GB groß ist. Ist das normal?
Ferner befinden sich im catroot Ordner 2 bak Ordner mit catalog-Dateien und eine Tempdatei.

Desweiteren habe ich schonmal versucht das Hotfix anzuwenden, was unter Bootbetrieb
ohne WuAuSvc ja schwer fällt (mus-Datei).
Ich habe daraufhin mal einige dll-Dateien neu registrieren lassen (den Inhalt findest du unter IEreg.bat.txt), dabei wurde die "wulctui.dll" nicht gefunden.
Bei der "shdocvw.dll" gab es ebenfalls Probleme, scheint für den Explorer wichtig zu sein.

Soviel dazu ;)

tokn 11.04.2011 18:48
Okay, wie es aussieht werde ich Vista nochmal neuinstallieren müssen,
hätte allerdings vorher nochmal die Möglichkeit diverse Dateien von meinem
Wim-Abbild, mittels Bootbetrieb, mit denen der Vistapartition auszutauschen
und neu registrieren zu lassen :D

Ich habe von der Win7-Partition nochmal einen Scan machen lassen.
Die Uhrzeit funktioniert zwar wieder, jedoch öffnen sich die Ordner immer in
einem neuen Fenster.

Kann man das fixen oder sollte ich mal einen Scan mit Gmer machen?


Das Problem liegt darin nicht Schadcode unwissentlich auszuführen, sondern
darin, dass die verwendeten Programme z.T. erhebliche Sicherheitslücken aufweisen.
Zitat:
Die aktuelle VLC-Version 1.1.8 hat zwei kritische Lücken, durch die Angreifer Schadcode ins System einschleusen können. Da auch das Browser-Plugin betroffen ist, kann bereits der Besuch einer manipulierten Webseite ausreichen.
hxxp://www.trojaner-board.de/97336-kritische-luecken-aktueller-vlc-version.html

cosinus 11.04.2011 18:58
Zitat:
Das Problem liegt darin nicht Schadcode unwissentlich auszuführen, sondern
darin, dass die verwendeten Programme z.T. erhebliche Sicherheitslücken aufweisen.
Natürlich muss man seine Programme ständig aktuell halten. Aber man muss auch eingeschränkte Rechte verwenden, damit falls so eine Lücke usgeführt wird, der Schädlinge nicht gleich ohne Weiteres Adminrechte hat.

An diesem kaputten Vista und 7 würde ich ehrlich nicht mehr viel rumdoktorn, aus der Ferne kann ich die Stabilität und Funktionstüchtigkeit nicht richtig abschätzen, hört sich aber echt nicht gut an.

Ich würde Daten sichern und das OS sauber neu aufsetzen. Es gibt eigentlich auch keinen Grund Vista und 7 parallel zu betreiben oder hast du einen bestimmten Grund? :dummguck:

tokn 11.04.2011 19:21
Das ist ja der springende Punkt: ich habe mir extra für den Internetzugang einen
Standardbenutzeraccount eingerichtet. :uglyhammer:

Die Vistapartition war meine Videobearbeitungs und Spielepartition, von daher kann ich mich nur
schweren Herzens davon trennen. Win7 war mehr für Internet und andere Anwendungen gedacht.
Ich wäre dir sehr dankbar, wenn du dir nochmal die OTL-Dateien von Win 7 anschauen
könntest.

btw:
Das ist der große Unterschied zwischen Windows und Linux: bei Linux kann man, dank
Paketmanagment, selbst bestimmen, was aktualisiert werden soll, während man bei
Windows gleich die komplette Anwendung aktualisieren muss.
Bestes Beispiel ist Firefox, anstatt die Programmteile (dll?) auszutauschen, die für XSS
anfällig waren, muss man gleich auf die komplette 4er Version umsteigen.
So war ich z.B. davon überzeugt, dass der einzige Unterschied zwischen der 3.6.1.6er Version und der 4er Version derjenige war, dass das Programm mit einem neuen Design und einer neuen Javascriptengine bestückt wurde...

Wenn ich die Partition neu einrichte, macht es Sinn sie als virtuelle Festplatte anzulegen?
Und zu welchem Emulator würdest du mir raten, Wine for Windows oder Sandboxie?


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:28 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19