|
so okay nun der link zum log von random's system information tool: http://www.file-upload.net/download-1570787/log.txt.html hoffe, das hat geklappt. lg, irie |
so und nun zum letzten: was ist die bootplatte? die mit windows drauf und nicht die recovery, oder? ich frag lieber nochmal! lg, irie |
habe hier folgendes problem: hab die mbr.exe unter C:\ gepackt. wäre der pfad ja dann also C:\mbr. wenn ich start --> ausführen --> cmd eingebe, kommt aber immer sofort C:\Dokumente und Einstellungen\HP-Besitzer...kann da nix verändern. Soll ich die mbr.exe dann in diesen ordner verschieben? fragen über fragen...sorry. lg, irie |
Hi, die mit Windows drauf.... Noch zwei Sachen: ......RegisterySearch: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Zitat:
Notepad wird sich oeffnen - poste den text Danach bitte noch nach: Zitat:
Online bitte prüfen (virustotal): C:\WINDOWS\system32\DRIVERS\NMnt.sys chris Ps.: Wenn Du die commandline öffnest (cmd.exe), dann kannst Du durch die Eingabe von cd \Pfad_wo_ich_hinmöchte das Verzeichnis wechseln (CD=change Directory) In Deinem Fall würde ein C:\ genügen um auf C.\ zu kommen |
hier schon mal die ergebnisse von registry search zu nm.sys Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 06.04.2009 16:49:13 for strings: ; 'nm.sys ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Hier die Ergebnisse zu NMnt.sys: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 06.04.2009 16:53:07 for strings: ; 'nmnt.sys' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nm] ; Contents of value: ; system32\DRIVERS\NMnt.sys "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\ 00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nm] ; Contents of value: ; system32\DRIVERS\NMnt.sys "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\ 00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nm] ; Contents of value: ; system32\DRIVERS\NMnt.sys "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\ 00,79,00,73,00,00,00 ; End Of The Log... |
Hi, hast Du oben die Anweisung im vorangegangen Post gesehen, wie Du in der CMD das Verzeichnis wechseln kannst? Bin jetzt weg, morgen wieder erreichbar... chris |
Hier die Ergebnisse (hab auf Permalink geklickt und dann kam folgendes): Code: Antivirus Version letzte aktualisierung ErgebnisHab deine Anweisungen zu cmd gelesen, aber leider komm ich da trotzdem nicht weiter. Nach der Eingabe von ausführen --> cmd kommt dann der schwarze kasten und da steht dann voreingestellt C:\Dokumente und Einstellungen\Hp_Besitzer\...was soll ich dann daran direkt anhängen? :confused: |
Hi, einfach in den "Kasten" bitte cd \ und dann Datenfreigabe eingeben... Die Commandline wechselt dann in das Root-Verzeichnis von C, dort wo Du auch MBR.EXE abgelegt hast, dann sollte das mit dem Aufruf klappen... chris |
hey, also die eingabe hat jetzt endlich geklappt :Boogie: hatte ständig den doppelpunkt mit eingegeben nach cd. so und die reportdatei sieht so aus: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK alles richtig gemacht? lg, irie |
Hi, ja, ist OK... Damit finde ich anhand der Logs nichts mehr... Was treibt der Rechnerß Chris |
Hey, hab den Rechner gerade hoch gefahren. Geht alles recht langsam. Also der schnellste war der eh nicht mehr, aber erscheint mir langsamer als sonst. Soll ich AntiVir nochmal durchlaufen lassen? Im Moment kommt sonst keine Warnung/ kein Fund, aber die kamen meist erst, wenn der Rechner ne kurze Zeit an war. Ähm und die ganzen Sachen, die ich nun in Quarantäne hab: Kann ich dir irgendwie sicher löschen oder müssen die nun ewig da drin bleiben? Will die irgendwie da raus haben :) lg, irie |
Hey, also ich bin jetzt gerade dabei, AntiVir nochmal durchlaufen zu lassen. Kann jetzt schon mal sagen, dass AntiVir den Tr/Drop.Agent.qkm gefunden hat an zwei oder drei Stellen. Immer jedoch auf der Seite mit eingeschränktem Benutzerkonto. Darüber gehen meine Eltern immer ins Netz. Über TR/Crypt.XDR.Gen kam aber noch nix. Werde den report später posten. lg, irie |
Hallo, unbedingt die Funde posten, war das eingeschränkte Konte inzwischen aktiv (wurde es genutzt)? chris |
Hey, ja soweit ich weiß, war mein Dad gestern dadrauf. Ich hab auch das Gefühl, dass die sich sofort vermehren, wenn ich die einen TR in die Quarantäne packe. Die wird immer voller. Die einen sind weg und irgendwie generieren sich dann gleich neue. Hier der report von antivir: Code: Danke für deine Hilfe! lg, irie |
JAP.....sowas machen Trojaner....am besten gehste nur noch zu Trojaner Board und nicht mehr lange im Netz bleiben....sonst lädt die sau immer mehr, was dann auch wieder Sachen nachlädt.... Und hör auf das was CHRIS sagt.....^^ Hoffendlich bekommt ihr das hin.... Gruss BIOTEC |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board