Das könnte interessant werden, sieht nach einer neuen Variante aus.


Batch-Datei im Reparaturmodus ausführen

1. Batch-Datei erzeugen
   Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
   
   Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
   
   Code: Alles auswählenAufklappen

   ATTFilter

   @echo off
   set log=%0\..\look.txt
   echo ---start--- > %log%
   
   reg Load HKLM\TempSys1\ "c:\Windows\System32\config\system"
   reg Load HKLM\TempSoft1\ "c:\Windows\System32\config\software"
   reg Load HKLM\TempSys2\ "c:\Windows\System32\config\system"
   reg Load HKLM\TempSoft2\ "c:\Windows\System32\config\software"
   
   reg query HKLM\TempSoft1\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
   reg query HKLM\TempHive1\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
   reg query HKLM\TempHive1\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
   reg query HKLM\TempSoft2\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
   reg query HKLM\TempHive2\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
   reg query HKLM\TempHive2\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
   reg unload HKLM\TempSys1\
   reg unload HKLM\TempSoft1\
   reg unload HKLM\TempSys2\
   reg unload HKLM\TempSoft2\
   
   
   echo ---end--- >> %log%
            

   • Wähle Datei --> Speichern unter
   • Dateiname: look.bat
   • Dateityp: Wähle Alle Dateien (*.*)
   • Speichere die Datei auf deinem USB-Stick aber nicht in einem Unterordner.
2. Neustart
   Boote deinen infizierten Rechner und schliesse deinen präparierten USB-Stick an, drücke dabei F8 und starte in den Reparaturmodus.
3. Laufwerksbuchstaben finden
   Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
4. Batch ausführen
   Wenn du deinen USB-Stick gefunden hast, dann gib ein look.bat (Enter) und warte evtl. einige Zeit bis der Befehl abgearbeitet wird.
5. Ergebnis posten
   Es wird eine look.txt auf deinem Stick erzeugt, poste mir bitte diese Datei (CODE-Tags mit #-Symbol).

"Das System kann die angebene Datei nicht finden."
falsch gespeichert?

Kann schon sein. In der Anleitung habe ich eigentlich alles Nötige geschrieben. Mit dem Befehl "dir" kannst du schauen, ob die Datei wirklich so auf dem Stick ist.

datei ist auf dem stick. wird unter "look.bat" angezeigt. wenn ich allerdings nach eingabe ":I" "look.bat" eingebe, erscheint auch "Falscher Parameter" bzw. "Der Wert wurde nicht gefunden"

außerdem noch '"Ungültige Syntax"

Du meinst hoffentlich "I:" ?

Erscheint das sofort? oder erst nach einer Weile?
Wurde dennoch eine look.txt angelegt?

ja meine ich. nein, erscheint sofort. es wird eine look.txt angelegt, da steht allerdings nur "End" drin

Hm gib mal bitte ein:

Zitat:

bcdedit | find "osdevice"

und schreibe mir was das System ausgibt.

ich bin mir fast sicher, dass ich das falsch gemacht habe also wenn ich bcdedit eingebe, erscheint "windows-startladeprogramm", unter osdevice steht dann "partition=E:"
beim befehl find "osdevice" auch in kombi mit bcdedit erscheint nichts

Dann ändern wir das mal folgendermassen:

Code: Alles auswählenAufklappen

ATTFilter

@echo off
set log=%0\..\look.txt
echo ---start--- > %log%

reg Load HKLM\TempSys1\ "d:\Windows\System32\config\system"
reg Load HKLM\TempSoft1\ "d:\Windows\System32\config\software"
reg Load HKLM\TempSys2\ "e:\Windows\System32\config\system"
reg Load HKLM\TempSoft2\ "e:\Windows\System32\config\software"

reg query HKLM\TempSoft1\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
reg query HKLM\TempHive1\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempHive1\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempSoft2\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
reg query HKLM\TempHive2\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempHive2\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
reg unload HKLM\TempSys1\
reg unload HKLM\TempSoft1\
reg unload HKLM\TempSys2\
reg unload HKLM\TempSoft2\


echo ---end--- >> %log%
         

okay, und das jetzt wieder mit frst fixen oder was soll ich mit dem text machen?

Das ist eine neue Batchdatei ... probiere es mit dieser.

system kann die datei immer noch nicht finden. text-datei immer nur "end", allerdings lädt es jetzt länger und am ende steht "der vorgang wurde erfolgreich beendet"

Ich hab das so echt schon lange nimmer gemacht

Beim dritten Mal klappt ja immer alles:

Code: Alles auswählenAufklappen

ATTFilter

@echo off
set log=%0\..\look.txt
echo ---start--- > %log%

reg Load HKLM\TempSys1\ "d:\Windows\System32\config\system"
reg Load HKLM\TempSoft1\ "d:\Windows\System32\config\software"
reg Load HKLM\TempSys2\ "e:\Windows\System32\config\system"
reg Load HKLM\TempSoft2\ "e:\Windows\System32\config\software"

reg query HKLM\TempSoft1\Microsoft\Windows NT\CurrentVersion\Winlogon\ >>  %log%
reg query HKLM\TempHive1\ControlSet001\Control\SafeBoot  /v AlternateShell  >>  %log%
reg query HKLM\TempHive1\ControlSet002\Control\SafeBoot  /v AlternateShell  >>  %log%
reg query HKLM\TempSoft2\Microsoft\Windows NT\CurrentVersion\Winlogon\ >>  %log%
reg query HKLM\TempHive2\ControlSet001\Control\SafeBoot  /v AlternateShell  >>  %log%
reg query HKLM\TempHive2\ControlSet002\Control\SafeBoot  /v AlternateShell  >>  %log%
reg unload HKLM\TempSys1\
reg unload HKLM\TempSoft1\
reg unload HKLM\TempSys2\
reg unload HKLM\TempSoft2\


echo ---end--- >> %log%
         

okay, leider muss ich jetzt los, heute abend werde ich weiter machen. DANKE dir für deine super hilfe und das sonntags

eben nochmal versucht, läuft wieder (hoffe ich). tausend dank! hier die adw-datei:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.305 - Datei am 14/07/2013 um 16:28:05 erstellt
# Aktualisiert am 11/07/2013 von Xplode
# Betriebssystem : Windows 7 Starter Service Pack 1 (32 bits)
# Benutzer : Thorben - THORBEN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Thorben\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\Public\Desktop\eBay.lnk
Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\Users\Thorben\AppData\Local\PackageAware

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Ask.com.tmp
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v [Version kann nicht ermittelt werden]

Datei : C:\Users\Thorben\AppData\Roaming\Mozilla\Firefox\Profiles\9itt6y41.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [2485 octets] - [14/07/2013 16:28:05]

########## EOF - C:\AdwCleaner[S1].txt - [2545 octets] ##########
         

schlechte nachricht. nachdem combofix durchgelaufen ist, erscheint auf dem desktop wieder gvu. allerdings komme ich noch ins startmenü.

Was ist das denn jetzt? Du hast doch jetzt was komplett anderes gemacht?