Zitat:

Zitat von Angel21

Ne Frage zwischendurch, hast du eine Ahnung, woher du das Zeugs hast?

klar weiß ich wo ich es her habe...
ich habe die software autocad (Zeichenprogram) aus einer tauschbörse runtergeladen..
ich muss die daten eines kunden irgendwie bearbeiten dafür hätte ich das einmal gebraucht...und dafür nun der ganze Ärger :-(
ich bin ein ganz schöner Trottel...
ich hab von dem ganzen Tauschbörsenzeug keine ahnung vielleicht hätten andere leute es erkannt oder lassen da einen scanner drüber laufen oder was weiß ich... naja :-) was soll ich sagen
lg chris

Zitat:

ich habe die software autocad (Zeichenprogram) aus einer tauschbörse runtergeladen..

Programme aus Tauschbörsen sind meist mit allen möglichen Kram verseucht udn der ist, wie du wohl einsehen kannst nichtmal allzu easy und locker. Ist schon ne ganz schöne Sache, die du dir eingeholt hattest.

so, handball 10 wollte das mbam logfile haben, das aktuelle hatte ich bereits weiter hinten im thread schon...aber hier nochmal... ich würde dann jetzt dieses "gmer" laufen lassen und hoffe sehr, dass ich danach wieder in den abgsicherten überhaupt komme, wegen der neustarts die ich dann da machen muss, oder fällt dir "angel" noch etwas ein was ich vorher machen soll ? und wo man nicht "neustarts" machen muss ? vom netz is der rechner nun getrennt...

logfile mbam

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 3 (Safe Mode)

22.09.2009 12:42:24
mbam-log-2009-09-22 (12-42-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|I:\|J:\|M:\|)
Durchsuchte Objekte: 392123
Laufzeit: 1 hour(s), 20 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Mir fällt nur Dr. Web CureIT ein.
Aber da du sowieso einen File Infector hast so wie es sehr stark zu 99,99% danach aussieht ist Neuaufsetzen eh die beste Lösung. Btw. Virut hat einen Backdoor udn dieser ist in der Lage unbefugten Leuten all Deine Kennwörter mitzuteilen.

Zitat:

Zitat von Angel21

Mir fällt nur Dr. Web CureIT ein.
Aber da du sowieso einen File Infector hast so wie es sehr stark zu 99,99% danach aussieht ist Neuaufsetzen eh die beste Lösung. Btw. Virut hat einen Backdoor udn dieser ist in der Lage unbefugten Leuten all Deine Kennwörter mitzuteilen.

ja, denke auch,ich werd auch neu aufsetzten, aber würde wie gesagt gern an dem rechner noch arbeiten ohne am internet damit zu sein...sprich den versuchen so sauber zu bekommen, dass ich arbeiten kann, meinst du wir bekommen das windows wieder so hin dass der normal ins system bootet ? ich würde es sehr gern probieren... wenn CureIT etwas bringt mach ich das...
ach ja hab noch ne wichtige frage:
wie lese ich meinen windows produktkey aus dem system, hab das windows ja gekauft finde nur den key nicht mehr :-(
(bin im abgesichtern ohne n.w. treiber)
lg

Zitat:

dass ich arbeiten kann, meinst du wir bekommen das windows wieder so hin dass der normal ins system bootet ?

Ich weiß es nicht....das schlimmste ist nicht Ertfor oder der Agent - sondern Virut! Der kann sogar in der Lage sein, wichtige Exe Datein von Antivir Programmen zu manipulieren.

Ich würde eher offline Arbeiten und danach Daten sichern (keinerlei ausführbare Datein) und dann Windoof platt machen.

alles klar... ok !
hier noch ne frage...
wie lese ich meinen windows produktkey aus dem system, hab das windows ja gekauft finde nur den key nicht mehr :-(
(bin im abgesichtern ohne n.w. treiber)
lg

Der müsste bei deinem PC irgendwo stehen, oder bei der CD dabei gewesen sein. Hast du die CD getrennt bekommen von dem PC oder war das alles in einem "Päckchen"?

Zitat:

Zitat von Angel21

Der müsste bei deinem PC irgendwo stehen, oder bei der CD dabei gewesen sein. Hast du die CD getrennt bekommen von dem PC oder war das alles in einem "Päckchen"?

ich hab den key nicht mehr, hab ich vor n paar monaten schon nicht gefunden als ich den mal brauchte... ich mach mich ma so im netz schlau, ich hab ma gehört man kann den auslesen aber dann müsste ich wohl ne kleine software installiern geht das im abgesichertn ?

Schauen wir, ob Du eine gültige Produkt-Lizenz hast. Lade das Tool MGADiag.exe von dieser Seite herunter, führe es aus und kopieren den Output per Copy&Paste (den Button Copy drücken) hier in den Thread.

Zitat:

Zitat von Angel21

Schauen wir, ob Du eine gültige Produkt-Lizenz hast. Lade das Tool MGADiag.exe von dieser Seite herunter, führe es aus und kopieren den Output per Copy&Paste (den Button Copy drücken) hier in den Thread.

ja danke, mach ich gern... is das denn ne gute idee den produktkey hier zu posten ? ich frag nur mal so ;-)

Das ist eine 25 stellige Nummer
Kannst sie mir ja PRIVAT als PN schicken,w enn du dir nicht sicher bist, obs die ist.

ah ok, hmm der produktkey wird bei den ersten 10 stellen verschlüsselt dargestellt, ein weiterer key " produktkey hash" wird ganz angezeigt, aber mit dem kann ich wohl nix angfangen... der key der wie gewohnt mit 5x5 stellen und dazwischen(-) eigegeben werden muss, ist leider mit sternchen verschlüssel !
:-( sorry das ich so nerve und das bei mir nichts zu klappen scheint...

ok, ich hab den key...
ein kleines aber hilfreiches program namens advisor hat mir geholfen...
wenn du ne möglichkeit hast meinen key zu checkn wäre nicht schlecht, hab das xp prf bei ebay gekauft ;-) schick ich dir grad als PN
lasse getz das GMER tool laufen... der abgesicherte modus scheint jetzt immer hoch zu fahren ! wenigstens etwas ;-)

Ui, ein Fortschritt, aber ich würde dennoch neuaufsetzen, breche bitte das mit GMER ab, notiere dir jedenfalls den Key (und vergess es nicht mehr ;O)
Lassen wir mal anstatt Gmer Dr. Web CureIT laufe, mich interessiert das Virut Zeuchs.