Trojaner-Board - Anti Malware Doctor endgültig entfernen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Anti Malware Doctor endgültig entfernen (https://www.trojaner-board.de/98013-anti-malware-doctor-endgueltig-entfernen.html)

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:11 on 27/04/2011 (Gökhan Gürel)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled

-=E.O.F=-

Mal ne andere Frage....

Wie muss ich denn vorgehen, wenn der Rechner abstürzt?

Muss ich dann alle Schritte von neu ausführen oder einfach weiter machen?

Vielen Dank nochmal!

Hallo xRaptoRxGG,

Zitat:

Muss ich dann alle Schritte von neu ausführen oder einfach weiter machen?

Führe bitte Schritt # 2 und # 3 meines letzten Posts aus und poste die entsprechenden Logfiles.

Zitat:

Wie muss ich denn vorgehen, wenn der Rechner abstürzt?

Leider weiß ich momentan nicht, woher dieser Bluescreen kommt.
Seit wann genau erhältst du diese Fehlermeldung? Erst seit du hier um Hilfe gebeten hast oder auch schon vorher?
Wann trat dieser Fehler das erste Mal auf?

Ich muss mich bezüglich dieses Fehlers erst bei anderen Mitgliedern des Teams kundig machen. Vielleicht können sie uns weiterhelfen.

Es ist schon vorher aufgetreten aber ich ich hab vorher auch schon einige Maßnahmen ergriffen und spybot, add aware, malwarebytes & co installiert und mehrmals ausgeführt.

Wärend des scans habe ich nen
Schwarzen Bildschirm bekommen. Ich warte mal einfach ab. Wie soll ich denn vorgehen wenn ein Scan mit gamer auch nicht klappt?

Hallo xRaptoRxGG,

Zitat:

Wie soll ich denn vorgehen wenn ein Scan mit gamer auch nicht klappt?

Das mit den Scans von GMER und OTL stellen wir vorerst zurück.

Zur Analyse der Bluescreens gehe bitte wie folgt vor:

Hochladen von Dateien

Klicke auf den folgenden Link: Trojaner-Board Upload Channel
Klicke auf Durchsuchen
Kopiere unter Dateinamen

Code:

C:\Windows\Minidump

hinein und drücke Enter.
Wähle die erste .dmp Datei aus und klicke auf Öffnen.
Wiederhole diesen Vorgang gegebenenfalls, wenn sich mehrere .dmp Dateien im Ordner Minidump befinden.
Unter Link zum Thema im Forum gib folgendes ein:

Code:

http://www.trojaner-board.de/98013-anti-malware-doctor-endgueltig-entfernen.html
Gib deinen Benutzernamen ein.
Klicke abschließend auf Hochladen.

Sollten sich mehr als 3 .dmp Dateien im Ordner Minidump befinden, lade die ersten drei Dateien hoch und starte anschließend einen neuen Upload.

Ich drehe noch durch....

der sagt ich hätte keine Berechtigung obwohl ich als einziger User (Admin) angemeldet bin... ist das etwa eine Manipulation vom trojaner?

Kannst du mir noch sagen (oder zeigen wo ich es lesen kann) was ich am Laptop nicht machen darf während der Infizierung.

Hallo xRaptoRxGG,

Zitat:

Kannst du mir noch sagen (oder zeigen wo ich es lesen kann) was ich am Laptop nicht machen darf während der Infizierung.

Lies dir dazu nochmal meinen ersten Post durch. Dort findest du schon einige Hinweise. Meinst du etwas Spezielles?

Zitat:

der sagt ich hätte keine Berechtigung obwohl ich als einziger User (Admin) angemeldet bin... ist das etwa eine Manipulation vom trojaner?

Das hat wohl eher etwas mit der Benutzerkontensteuerung zu tun.

Starte deinen Rechner im abgesicherten Modus auf.

Öffne nun den Ordner C:\Windows\Minidump.
Packe alle .dmp Dateien mit Winrar in ein Archiv.

Starte deinen Rechner im normalen Modus neu auf und lade das komplette Archiv über den Uploadchannel (wie in meinem letzten Post beschrieben) hoch. :)

Ja mit etwas speziellem meine ich z.B. es zu vermeiden Passwörter zu benutzen, OnlineBanking oder ähnliches. Immerhin hab ich nen Trojaner drauf.

Archiv ist hochgeladen aber es sind einige .dmp Dateien...

Danke!

Hallo xRaptoRxGG,

Zitat:

a mit etwas speziellem meine ich z.B. es zu vermeiden Passwörter zu benutzen, OnlineBanking oder ähnliches. Immerhin hab ich nen Trojaner drauf.

Da hast du natürlich Recht. Online-Banking ist auf diesem Rechner bis auf weiteres nicht zu empfehlen.
Solltest du dringende Einkäufe oder Überweisungen tätigen müssen, führe diese bitte von einem anderen Computer (welcher nicht infiziert ist) durch.

Die .dmp Dateien, die du uns geschickt hast, reichen nur bis zum 27.08.2010. Du hattest ja auch vor kurzem diese Bluescreens.
Kontrolliere bitte, ob du wirklich alle .dmp Dateien ins Archiv gepackt hast. Fahre zusätzlich bitte wie folgt vor:

Schritt # 1: Benutzerdefinierter Scan mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

Code:

C:\Windows\Minidump /S

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Nichts und danach den Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile von OTL (OTL.txt).

Das sind definitiv alle .dmp Dateien aus dem Ordner.OTL Logfile:

Code:

OTL logfile created on: 01.05.2011 11:14:45 - Run 4

OTL by OldTimer - Version 3.2.22.3     Folder = C:\Users\Gökhan Gürel\Desktop

Windows Vista Home Basic Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation

Internet Explorer (Version = 7.0.6002.18005)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

952,00 Mb Total Physical Memory | 280,00 Mb Available Physical Memory | 29,00% Memory free

2,00 Gb Paging File | 1,00 Gb Available in Paging File | 50,00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 69,65 Gb Total Space | 14,21 Gb Free Space | 20,40% Space Free | Partition Type: NTFS

Drive D: | 69,64 Gb Total Space | 0,08 Gb Free Space | 0,12% Space Free | Partition Type: NTFS

 

Computer Name: GÖKHANGÜREL-PC | User Name: Gökhan Gürel | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

 
 ========== Custom Scans ==========

 

 
 < C:\Windows\Minidump /S >
 

< End of report >

--- --- ---

Hallo xRaptoRxGG,

Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Eine Ursache für diese Bluescreens könnte ein Treiber von GMER sein. Hast du dieses Programm ausgeführt?
Vielleicht auch schon bevor du hier um Hilfe gebeten hast?
Ich bitte dich, GMER bis auf weiteres nicht mehr zu verwenden!
Solltest du erneut eine Fehlermeldung bekommen, poste sie mir. Versuche alle Schritte abzuarbeiten und berichte, wie dein Rechner läuft.

Schritt # 2: Fix mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL
 

:Commands

[emptytemp]

Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 4: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%PROGRAMFILES%\*.

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\ProgramData\{EBDD7DE0-D012-47DF-859B-DB1061E2D512} /S

C:\Users\Gökhan Gürel\AppData\Roaming\Ucsohi /S

C:\Users\Gökhan Gürel\AppData\Roaming\Obliw /S

/md5start

explorer.exe

regedit.exe 

winlogon.exe

wininit.exe

userinit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Beantwortung der gestellten Fragen,
das Logfile des OTL-Fix,
das Logfile von aswMBR und
das Logfile von OTL (OTL.txt).

Hallo xRaptoRxGG,

deine Partionen

Zitat:

stoßen an ihre Grenzen.

Als Erstes sollten wir deinen Computer aufräumen:
Deinstalliere bzw. lösche alle Programme und Dateien, die du nicht mehr benötigst. Du hast beispielsweise Spybot-Search & Destroy und Ad-Aware erwähnt. Diese kannst du ebenso bedenkenlos wieder deinstallieren. Aber das ist nur ein Anfang.

Solltest du viele persönliche Dateien besitzen, die du nicht löschen kannst/magst, so empfehle ich dir, dich nach einer externen Festplatte oder einem neuen Rechner umzusehen.

Ich bitte um Rückmeldung für das weitere Vorgehen. Vielen Dank. :)

Antwort: Gmer habe ich vorher nicht benutzt

All processes killed
========== OTL ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Gökhan Gürel
->Temp folder emptied: 1248118 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 132267117 bytes
->Flash cache emptied: 1073 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2117170 bytes
RecycleBin emptied: 58490 bytes

Total Files Cleaned = 129,00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 05012011_220227

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\TMP00000003298627D5F3BEA3AF not found!

Registry entries deleted on Reboot...

aswMBR version 0.9.5.232 Copyright(c) 2011 AVAST Software
Run date: 2011-05-01 23:05:04
-----------------------------
23:05:04.207 OS Version: Windows 6.0.6002 Service Pack 2
23:05:04.229 Number of processors: 1 586 0xF0D
23:05:04.232 ComputerName: GÖKHANGÜREL-PC UserName: Gökhan Gürel
23:05:21.825 Initialize success
23:05:49.280 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
23:05:49.284 Disk 0 Vendor: Hitachi_HTS542516K9SA00 BBCOC31P Size: 152627MB BusType: 3
23:05:51.320 Disk 0 MBR read successfully
23:05:51.329 Disk 0 MBR scan
23:05:51.333 Disk 0 TDL4@MBR code has been found
23:05:51.337 Disk 0 MBR hidden
23:05:51.345 Disk 0 MBR [TDL4] **ROOTKIT**
23:05:51.354 Disk 0 trace - called modules:
23:05:51.367 ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85f57730]<<
23:05:51.373 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x859bdaa0]
23:05:51.384 3 CLASSPNP.SYS[86faa8b3] -> nt!IofCallDriver -> [0x85fe4298]
23:05:51.395 \Driver\atapi[0x853f6090] -> IRP_MJ_CREATE -> 0x85f57730
23:05:51.402 Scan finished successfully
23:06:26.339 Disk 0 MBR has been saved successfully to "C:\Users\Gökhan Gürel\Desktop\MBR.dat"
23:06:26.447 The log file has been saved successfully to "C:\Users\Gökhan Gürel\Desktop\aswMBR.txt"