Antimalware Doctor eingefangen

Nico9 · 21.03.2011, 20:24

eh ok hoffentlich habe ich dasjetz verstanden:ich lade diese 2 teilealso auf den 2.rechner .

kopiere das eine auf eine cd und starte den infizierten über diese cd. ?

Lg Nico

cosinus · 21.03.2011, 20:26

Jap. Die erstellte CD benutzt du auf dem 2. (infizierten) Rechner.

Nico9 · 21.03.2011, 20:34

Ehm der 2.Link zumdowload geht nicht!!

LG Nico

cosinus · 21.03.2011, 20:40

Ups sry

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Nico9 · 21.03.2011, 21:04

Hat geklaqt bis nach den windows ladebildschrim dann kam eine blaue box in der was von einem problemsteht ..ich bin kurz vorm durchdrehen

cosinus · 21.03.2011, 21:21

Oje. Geh mal ins BIOS vom infizierten Rechner. Stell dort mal den SATA-Controllermodus von AHCI auf IDE bzw. Comptible um. Genaueres kann ich nicht schreiben, da jedes BIOS etwas anders aufgebaut ist.

Nico9 · 21.03.2011, 21:24

Wie komme ich ins bios ??

LG Nico

cosinus · 21.03.2011, 21:27

Sollte alles hier stehen => http://www.trojaner-board.de/81857-c...cd-booten.html

Nico9 · 21.03.2011, 21:51

Ok wenn ichjetz auf das otlpe icon gehe muss ich was auswählen ??

Nico9 · 21.03.2011, 22:10

Ich kann da dann aus einer liste auswählen aber egal was ich nehm es gehtnicht ! ein fehler ist zB meine windows version sei älter als 2000 aber ich habe vista !

Nico9 · 21.03.2011, 23:17

So ich hoffe das hierist was du brauchst

cosinus · 22.03.2011, 10:49

Starte den Rechner über die OTLPE-CD. Öffne darüber das installierte OTL.
Kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
DRV - File not found [Kernel | On_Demand] --  -- (EagleNT)
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic Deutsch FF Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
[2010/10/23 17:42:39 | 000,000,000 | ---D | M] (PriceGong) -- C:\PROGRAM FILES\PRICEGONG\2.1.0\FF
O3 - HKLM\..\Toolbar: (Toolbar fuer eBay) - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Users\Nico Fuhrmann\AppData\Roaming\Toolbars\Toolbar fuer eBay\ebay.dll ()
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - C:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKLM\..\Toolbar: (SplitCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\SplitCam Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (Softonic Deutsch FF Toolbar) - {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Program Files\softonic-de3\tbsoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (Toolbar fuer eBay) - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Users\Nico Fuhrmann\AppData\Roaming\Toolbars\Toolbar fuer eBay\ebay.dll ()
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (SplitCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\SplitCam Toolbar\tbcore3.dll ()
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (Softonic Deutsch FF Toolbar) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Program Files\softonic-de3\tbsoft.dll (Conduit Ltd.)
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKU\Nico_Fuhrmann_ON_C\..\Toolbar\ShellBrowser: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)
O3 - HKU\Nico_Fuhrmann_ON_C\..\Toolbar\WebBrowser: (Toolbar fuer eBay) - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Users\Nico Fuhrmann\AppData\Roaming\Toolbars\Toolbar fuer eBay\ebay.dll ()
O3 - HKU\Nico_Fuhrmann_ON_C\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKU\Nico_Fuhrmann_ON_C\..\Toolbar\WebBrowser: (SplitCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\SplitCam Toolbar\tbcore3.dll ()
O3 - HKU\Nico_Fuhrmann_ON_C\..\Toolbar\WebBrowser: (Softonic Deutsch FF Toolbar) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
O3 - HKU\Nico_Fuhrmann_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Program Files\softonic-de3\tbsoft.dll (Conduit Ltd.)
O3 - HKU\Nico_Fuhrmann_ON_C\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [Lhemaqo] C:\Users\Administrator\AppData\Local\utupomukimu.dll (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [tukdtjsr] C:\Windows\System32\tukdtjsr.exe ()
O4 - HKLM..\Run: [tukdtjsrx] C:\Windows\System32\tukdtjsrx.exe ()
O4 - HKU\Administrator_ON_C..\Run: [A9YA3MI1CF] C:\Users\Administrator\AppData\Local\Temp\Bkn.exe (AVG Technologies CZ, s.r.o.)
O4 - HKU\Administrator_ON_C..\Run: [Alikidedu] C:\Users\Administrator\AppData\Local\prpdp7.dll (Red Hat)
O4 - HKU\Administrator_ON_C..\Run: [ansi70sepmod.exe] C:\Users\Administrator\AppData\Roaming\B419880EE538EB1C3F0C18CA8A974723\ansi70sepmod.exe ()
O4 - HKU\Administrator_ON_C..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe (NEXON Inc.)
O4 - HKU\Administrator_ON_C..\Run: [Linktree] C:\Users\Administrator\AppData\Roaming\Crtvis\twaindep.exe ()
O4 - HKU\Administrator_ON_C..\Run: [Metropolis] C:\Windows\System32\sshnas21.dll (AVG Technologies CZ, s.r.o.)
O4 - HKU\Administrator_ON_C..\Run: [Recycle.Bin.exe] C:\Recycle.Bin\Recycle.Bin.exe (Macrovision)
O4 - HKU\Nico_Fuhrmann_ON_C..\Run: [EleFunAnimatedWallpaper]  File not found
O4 - HKU\Nico_Fuhrmann_ON_C..\Run: [ICQ]  File not found
O4 - HKLM..\RunOnce: [*fatappedit.exe] C:\Windows\System32\fatappedit.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2009/12/14 10:00:22 | 000,008,192 | ---- | M] (Microsoft) - D:\AutoOff.exe -- [ FAT32 ]
O32 - AutoRun File - [2010/03/16 21:14:04 | 000,000,064 | ---- | M] () - D:\autorun.unf -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0ea66d90-4c70-11df-9515-001d72b07da0}\Shell - "" = AutoRun
O33 - MountPoints2\{0ea66d90-4c70-11df-9515-001d72b07da0}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O33 - MountPoints2\{7d5b68d8-1e0b-11df-9d3c-001d72b07da0}\Shell\AutoRun\command - "" = F:\pccompanion\Startme.exe
O33 - MountPoints2\{7d5b68d8-1e0b-11df-9d3c-001d72b07da0}\Shell\menu1\command - "" = F:\pccompanion\Startme.exe
[2011/03/21 00:54:28 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\Crtvis
[2011/03/20 15:21:21 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor
[2011/03/20 15:18:33 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Local\{99AD03EB-D719-408D-8D75-D5F4C37E3858}
[2011/03/20 15:17:45 | 000,123,392 | ---- | C] (AVG Technologies CZ, s.r.o.) -- C:\Windows\Bbexea.exe
[2011/03/20 15:17:39 | 000,178,176 | ---- | C] (AVG Technologies CZ, s.r.o.) -- C:\Windows\System32\sshnas21.dll
[2011/03/20 15:17:37 | 000,015,360 | ---- | C] (????) -- C:\Windows\System32\dgjasr46w.exe
[2011/03/20 15:16:32 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\B419880EE538EB1C3F0C18CA8A974723
[2009/05/27 10:06:31 | 000,377,856 | ---- | C] (Realtek Semiconductor Corp.) -- C:\Users\Administrator\AppData\Local\utupomukimu.dll
[2009/05/27 10:06:31 | 000,091,648 | ---- | C] (Red Hat) -- C:\Users\Administrator\AppData\Local\prpdp7.dll
[2011/03/21 15:51:02 | 000,000,308 | -H-- | M] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/03/21 15:28:01 | 000,000,318 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/03/21 15:27:04 | 000,000,262 | -H-- | M] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011/03/21 12:23:31 | 000,148,480 | ---- | M] () -- C:\Windows\System32\fatappedit.exe
[2011/03/21 00:59:55 | 000,000,000 | ---- | M] () -- C:\Windows\System32\Access.dat
[2011/03/20 22:00:03 | 000,000,310 | ---- | M] () -- C:\Windows\tasks\Crysis Wars(R) Updates.job
[2011/03/20 18:34:45 | 000,000,120 | ---- | M] () -- C:\Users\Administrator\AppData\Local\Pneqewadage.dat
[2011/03/20 15:31:46 | 000,000,247 | -H-- | M] () -- C:\Windows\mlog
[2011/03/20 15:21:21 | 000,001,162 | ---- | M] () -- C:\Users\Administrator\Desktop\Antimalware Doctor.lnk
[2011/03/20 15:21:21 | 000,001,154 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk
[2011/03/20 15:21:21 | 000,001,142 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
[2011/03/20 15:18:34 | 000,000,000 | ---- | M] () -- C:\Users\Administrator\AppData\Local\Itajapaximiba.bin
[2011/03/20 15:17:41 | 000,000,040 | ---- | M] () -- C:\Windows\System32\service.sys
[2011/03/20 15:17:40 | 000,123,392 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Windows\Bbexea.exe
[2011/03/20 15:17:39 | 000,178,176 | ---- | M] (AVG Technologies CZ, s.r.o.) -- C:\Windows\System32\sshnas21.dll
[2011/03/20 15:17:37 | 000,133,120 | ---- | M] () -- C:\Windows\System32\tukdtjsr.exe
[2011/03/20 15:17:37 | 000,015,360 | ---- | M] (????) -- C:\Windows\System32\dgjasr46w.exe
[2011/03/20 15:17:33 | 000,146,160 | ---- | M] () -- C:\Windows\System32\tukdtjsrx.exe
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Nico9 · 22.03.2011, 14:19

Ehm.. wo finde ich OTL ???

Nico9 · 22.03.2011, 14:20

Achso schon guthabs !!

Nico9 · 22.03.2011, 14:29

Also ich hab bei rebooten yes gedrückt aber es tut sich nichts kann ich ihn aiuch manuell runterfahren und einafch neu booten ?? und wo sind dann die dinge dieich posten soll ??

Lg Nico

21.03.2011, 20:26	#17
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antimalware Doctor eingefangen Jap. Die erstellte CD benutzt du auf dem 2. (infizierten) Rechner. __________________ __________________

21.03.2011, 21:21	#21
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antimalware Doctor eingefangen Oje. Geh mal ins BIOS vom infizierten Rechner. Stell dort mal den SATA-Controllermodus von AHCI auf IDE bzw. Comptible um. Genaueres kann ich nicht schreiben, da jedes BIOS etwas anders aufgebaut ist. __________________ --> Antimalware Doctor eingefangen

21.03.2011, 21:27	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antimalware Doctor eingefangen Sollte alles hier stehen => http://www.trojaner-board.de/81857-c...cd-booten.html __________________ Logfiles bitte immer in CODE-Tags posten

Antimalware Doctor eingefangen

Plagegeister aller Art und deren Bekämpfung: Antimalware Doctor eingefangen