Beim Start kommt ganz ganz kurz ein Bluescreen und dann ist vorbei! :-( Wenn ich meinen Rechner Starten möchte, kommt für einen ganz kurzen Augenblick ein Bluescreen und dann gehts wieder von vorne los! Ich denke ich hab mir was eingefangen da ich gerade eine crack gesucht hatte! Bitte bitte helft mir dringend!? Logfile of HijackThis v1.99.1 Scan saved at 11:26:05, on 12.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe C:\WINDOWS\Explorer.EXE C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avcenter.exe c:\programme\avira\antivir desktop\avscan.exe C:\Dokumente und Einstellungen\******\Desktop\Antivir.exe C:\WINDOWS\system32\taskmgr.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.* R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O2 - BHO: (no name) - {5039B23B-182F-46E2-A159-9E8F631FF218} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [EasyTuneV] C:\Programme\Gigabyte\ET5\GUI.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [IndexTray] C:\Programme\Sharp\Sharpdesk\IndexTray.exe O4 - HKLM\..\Run: [SharpTray] C:\Programme\Sharp\Sharpdesk\SharpTray.exe O4 - HKLM\..\Run: [TypeRegChecker] C:\Programme\Sharp\Sharpdesk\TypeRegChecker.exe O4 - HKLM\..\Run: [FtpServer.exe] C:\Programme\Sharp\Sharpdesk\FtpServer.exe -usedefault O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [OLXAddinMonitor] C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ScanSoft OmniPage 16-reminder] "C:\Programme\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\OmniPage 16\Ereg\Ereg.ini" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [SharpTray] C:\Programme\Sharp\Sharpdesk\SharpTray.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [PUK] C:\Programme\SVSS\PUK\PopKill.exe O4 - HKCU\..\Run: [OpAgent] "OpAgent.exe" /agent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" O4 - HKCU\..\Run: [AAK8K3J4FL] C:\Temp\c.exe O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe O4 - Global Startup: Starten des Netzwerk Scanner Tools.lnk = C:\Programme\Sharp\Sharpdesk\sdFTP.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: sds - {79E0F14C-9C52-4218-89A7-7C4B0563D121} - C:\Programme\Sharp\Sharpdesk\ExplorerExtensions.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\0023.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: SQL Server (AUTODESKVAULT) (MSSQL$AUTODESKVAULT) - Unknown owner - C:\Programme\Autodesk\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe |
Zitat:
Wenigstens schreibst Du es gleich und ersparst uns damit Arbeit :D Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr. Für Dich geht es hier weiter => Neuaufsetzen des Systems Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken. Danach nie wieder sowas anrühren! |
Ja ich weiß, und ich hab ja auch direkt die Rechnung bekommen. Aber vielleicht komm ich ja doch drum herum. Das komische ist nämlich, dass er auch nicht mehr im abgesichertem Modus startet. Nur wenn ich beim Starten im abgesichertem Modus mit Esc die SPTD.sys unterbinde, startet der Rechner! Es wäre wirklich eine große Hilfe und ich habe meine Lektion daraus gelernt!!! |
Zitat:
|
Das geht nicht so einfach, da es sich um einen Geschäftsrechner handelt! Und jetzt bitte nicht sagen, wende Dich an den Admin, es gibt nämlich keinen! Wir sind ein ganz kleiner Betrieb und ich hab Scheiße gebaut. Wäre ich nicht ehrlich gewesen, hättet Ihr es doch auch probiert oder? |
Zitat:
Wie kann man auf einem Geschäftsrechner nach einem crack suchen :balla: :headbang: |
Ich weiß, ich weiß und jetzt steh ich da! Bitte Bitte Bitte |
Bürorechner werden hier eh nicht bereinigt. Wende Dich an EDV-Abteilung, die sind für Dein Problem zuständig. |
Das hab ich doch geschrieben, dass gibt es bei uns nicht! Wir sind ein 4 Mann Unternehmen, da gibt es keinen Admin oder ne EDV-Abteilung. Wäre es Dir jetzt lieber gewesen ich hätte Dich von vorne herein belogen und hätte dafür dann deine Hilfe bekommen? |
Wie ich schon sagte, Bürorechner werden idR nicht bereinigt. Habt Ihr keinen externen EDV-Dienstleister, irgendwer muss sich doch darum kümmern! Zitat:
|
Du unterstütz mich doch nicht dabei. Ich werd so einen Sch.... nie wieder anklicken. Aber ich habe wirklich Angst um meinen Job. Der Rechner ist sicherlich belastet, da der Chef hier auch mal seine einschlägige Seiten besucht. Aber wenn der Rechner nicht mehr hochfährt wegen mir bin ich im Ar...! Bitte Hilf mir doch wenigstens dass er wieder normal hochfährt und ich verspreche Dir ich bin wirklich bekehrt! Ich habe auch leider keine Ahnung, wie ich die Einträge von Hijack (automatischer Prüfung) löschen soll. Bitte hilf mir! Ich will den Job nicht verlieren! Wir haben auch keinen externen der sich darum kümmert, dass was anfällt machen wir selber, aber sowas!? |
Bei der Bereinigung kannst Du noch mehr kaputtmachen. Sichere erstmal wichtige Daten auf dem Rechner. |
Du unterstütz mich doch nicht. Ich werde nie mehr auf so einen Sch... klicken! Der Rechner ist mit Sicherheit eh befallen, da der Chef darauf auch auf einschlägige Seiten geht, nur wenn der Rechner wegen mir jetzt nicht mehr hochfährt bin ich im Ar...! Un ich habe ehrlich Angst um meinen Job! Wie schon gesagt gibt es bei uns keinen auch keinen externen der sich darum kümmert, dass machen wir normalerweise selbst, aber wenn ich noch nicht mal den Bluescreen lesen kann! Der Rechner müsste nur wieder normal starten, denn ich will meinen Job wegen so einem Mist nicht verlieren. Bitte hilf mir doch wenigstens soweit! Bitte ich bin echt verzweifelt! Ich weiß nicht mal wie ich die Hijackauswertung beurteilen soll, geschweige dem wie ich die besagten Einträge lösche. Mit der Bitte um Hilfe |
Bitte bitte, ich verspreche Dir, ich mach sowas nie wieder. Ich will aber auch nicht bestraft werden nur weil ich ehrlich war! |
Wie gesagt, sichere erstmal wichtige Daten. |
Bitte lass mich nicht hängen! Du bist meine letzte Hoffnung. Der Rechner muss nur wieder starten. Ich bitte Dich wirklich ernsthaft. |
:confused: Wie konntest Du denn das Hijackthis Logfile machen, wenn der Rechner nicht mehr bootet? Abgesicherter Modus? :balla: mach im abgesicherten Modus einen Durchlauf mit Malwarebytes wenn der normale Modus nicht geht. Nimm möglichst den mit Netzwerktreibern, damit Du Signauren aktualisieren kannst. Schneller wird aber vermutlich ein Vor-Ort-Service sein ;) |
Super Nett, dass Du mir doch helfen möchtest!!!!! Also wie ich schon geschrieben hatte, fährt der Rechner nur hoch, wenn ich im abgesicherten Modus, beim Starten mit ESC die SPTD.sys unterdrücke. Hab heute mal den automatischen Neustart deaktiviert und siehe da ich kann den Bluescreen lesen. oben drüber das übliche Bla Bla und Tips von wegen alle Virenprogramme ausschalten und chkdsk /F durchführen und dann: *** Stop: 0x00000024 (0x001902FE, 0xF78c6290, 0xF78C5F8C,0x8ABB3805) Hilft mir das nun weiter? |
Hast Du die Daemon-Tools für virtuelle optische Laufwerke installiert? Bitte mal den Avenger anwenden (im abgesicherten Modus sollte das hoffentlich gehen) 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: drivers to disable 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Probier den normalen Modus erneut aus. |
Hat etwas länger gedauert weil ich merkte, dass Spyware Doctor eventuell das Problem sein könnte, da es 2 oder 3 Mal auf dem Rechner war. Habe nun alle mit ccleaner deinstalliert, keine Änderung. Also ich habe im abgesicherten Modus avenger gestartet und deinen script eingefügt. Dann kommt aber immer: Error Invalid script. A valid script must begin with a command directive. Aborting execution. Was nun? |
Ups, fehler im Script (Doppelpunkt vergessen :o) so isses richtig: Zitat:
|
So erst kam wieder bluescreen, dann startete er aber neu und jetzt ist er normal hochgefahren! Juhuu Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "sptd" disabled successfully. Error: could not open driver "sptd.sys" Disablement of driver "sptd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. War das schon alles??? |
Ist der script file OK? |
Ja, das ist ok: Zitat:
Ich drück wegen der Einsicht nochmal ein Auge zu und helfe weiter, allerdings kann ich Bereinigungen auf Büro-PCs nicht wirklich empfehlen. Naja, auf eigene Gefahr: alles im normalen Modus (der ja wieder geht) bitte erledigen: diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Also wenn ich dich richtig verstehe soll ich nun ccleaner drüber laufen lassen. Dann Malwarebytes, mit Posten der Logfiles und zum Schluß Rsit auch mit Posten der Logfiles. Alles in eine Zipfile wie beschrieben? Vielen vielen Dank für Deine Nachsicht!!! |
Ja, so ist es richtig. |
|
Sind das alle die du benötigst? |
Bitte nochmal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Zitat:
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Hab ich gemacht. Beim ersten Start kam noch ein Bluescreen mit der Meldung: Bitte prüfen ob ausreichend Festplattenspeicher vorhanden ist...Treiber deaktivieren....ansonsten Videokarte austauschen....Bios updaten. *** Stop: 0x0000008E (0x00000005, 0x805D0309, 0xAC168ABC, 0x00000000) wenn ich resete kommt jetzt auch kein Bluescreen mehr aber er fängt immer wieder von vorne an zu booten. Mit F8 hab ich nun viel mehr Auswahl, was soll ich nehmen? Da gibt es jetzt ausser den üblichen (abgesichert, Netzwerk...etc.) noch Startprotokollierung aktivieren VGA-Modus aktivieren Letzte funktionierende bla bla Verzeichnis wiederherstellen Debugmodus Automatischer Neustart deaktivieren Geht das schon wieder los ??? |
das bekommen wir aber wieder hin, oder war das jetzt nur ein kurzfristiges Hochgefühl? |
Funktioniert noch der abgesicherte Modus? Rechner mal stromlos für ne Zeit gemacht, dann erneut normaler Modus? |
1. Mal abgesicherter Modus auch noch mal reboot beim zweiten Versuch ging er aber. 2. Dann habe ich einen Neustart gemacht und normal gebootet und siehe da es ging Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\0023.DLL" not found! Deletion of file "C:\WINDOWS\system32\0023.DLL" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "c:\programme\internet explorer\wmpscfgs.exe" deleted successfully. File "C:\WINDOWS\tasks\A84E01169185B76A.job" deleted successfully. File "C:\WINDOWS\system32\burst.dll" deleted successfully. Error: folder "C:\Dokumente und Einstellungen\elaltrella\Lokale Einstellungen\Temp\Rar$EX01.031" not found! Deletion of folder "C:\Dokumente und Einstellungen\elaltrella\Lokale Einstellungen\Temp\Rar$EX01.031" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\WINDOWS\system32\efcYRlIc" not found! Deletion of folder "C:\WINDOWS\system32\efcYRlIc" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Programme\NetPumper" not found! Deletion of folder "C:\Programme\NetPumper" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Folder "C:\Programme\Azureus" deleted successfully. Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mailnameremotelist" deleted successfully. Folder "c:\programme\svss" deleted successfully. Driver "sptd" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REMOTELISTBONEELSE" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer" deleted successfully. Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLS" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
So, dann noch einen Durchlauf mit CF im normalen Modus und dann müssten wir auch bald durch sein ;) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
wenn ich cofix auführen möchte kommt die meldung, dass antivir desktop noch aktiv ist! Avira hat aber das Schirmchen zu! ? |
Soll ich trotzdem mit OK bestätigen??? |
Wenn der Schirm zu ist, soltle er deaktiviert sein. Ignoriere die Meldung. Falls AntiVir doch aufpoppen sollte während CF aktiv ist, bitte alle Fenster von AntiVir ignorieren, sodass AntiVir da dem Combofix nicht zuvorkommen kann!! |
so nun hier: ComboFix 10-01-12.05 - elaltrella 13.01.2010 17:07:58.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2516 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\elaltrella\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: F-PROT Antivirus for Windows *On-access scanning disabled* (Updated) {3F8BAFFE-D251-4DC6-ACF9-81FDF61FB9C9} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\elaltrella\hdaudpropshortcut .exe c:\dokumente und einstellungen\elaltrella\hdaudpropshortcut.exe c:\dokumente und einstellungen\elaltrella\nwiz .exe c:\dokumente und einstellungen\elaltrella\nwiz.exe c:\dokumente und einstellungen\elaltrella\opagent .exe c:\dokumente und einstellungen\elaltrella\opagent.exe c:\dokumente und einstellungen\elaltrella\opagent.exe.delme193 c:\dokumente und einstellungen\elaltrella\opagent.exe.delme202 c:\dokumente und einstellungen\elaltrella\opagent.exe.delme316 c:\dokumente und einstellungen\elaltrella\rundll32 .exe c:\dokumente und einstellungen\elaltrella\rundll32.exe c:\programme\Internet Explorer\wmpscfgs.exe c:\windows\system32\Cache c:\windows\system32\cIlRYcfe.ini c:\windows\system32\cIlRYcfe.ini2 c:\windows\system32\ctfmon .exe c:\windows\system32\cwgkbnks.ini c:\windows\system32\nerocheck .exe c:\windows\system32\setup.ini c:\windows\system32\WORK.DAT c:\windows\tbpanel .exe Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it :p wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS ((((((((((((((((((((((( Dateien erstellt von 2009-12-13 bis 2010-01-13 )))))))))))))))))))))))))))))) . 2010-01-13 16:19 . 2010-01-13 16:19 40448 ----a-w- c:\temp\wmpscfgs.exe 2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\hdaudpropshortcut.exe 2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\nwiz.exe 2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\rundll32.exe 2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\rundll32 .exe 2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\opagent.exe 2010-01-13 16:18 . 2010-01-13 16:18 -------- d-----w- c:\temp\WPDNSE 2010-01-13 16:17 . 2010-01-13 16:17 53248 ----a-w- c:\temp\catchme.dll 2010-01-13 15:59 . 2010-01-13 15:59 4 ----a-w- c:\programme\4667375.dat 2010-01-13 14:12 . 2010-01-13 14:12 4 ----a-w- c:\programme\5226750.dat 2010-01-13 12:56 . 2010-01-13 12:56 -------- d-----w- C:\rsit 2010-01-13 12:56 . 2010-01-13 12:56 -------- d-----w- c:\programme\trend micro 2010-01-13 12:44 . 2010-01-13 12:44 4 ----a-w- c:\programme\13182093.dat 2010-01-13 12:44 . 2010-01-13 12:44 4 ----a-w- c:\programme\13181859.dat 2010-01-13 07:01 . 2010-01-13 07:01 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy) 2010-01-13 07:01 . 2010-01-13 07:01 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy) 2010-01-12 13:13 . 2010-01-12 13:13 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2010-01-12 10:10 . 2010-01-12 10:10 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy) 2010-01-12 10:10 . 2010-01-12 10:10 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy) 2010-01-12 10:05 . 2010-01-13 16:14 -------- d-----w- c:\temp\is-L62LU.tmp 2010-01-12 09:32 . 2010-01-12 09:32 4 ----a-w- c:\programme\9019859.dat 2010-01-12 09:32 . 2010-01-12 09:32 4 ----a-w- c:\programme\9019843.dat 2010-01-12 09:32 . 2010-01-12 09:32 4 ----a-w- c:\programme\9019656.dat 2010-01-12 09:31 . 2010-01-13 16:14 -------- d-----w- c:\temp\PCTInstaller 2010-01-12 09:28 . 2010-01-13 16:14 -------- d-----w- c:\temp\is-CF1V5.tmp 2010-01-12 08:02 . 2010-01-12 08:02 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-13 16:19 . 2006-01-17 12:45 -------- d-----w- c:\programme\QuickTime 2010-01-13 16:19 . 2007-11-29 09:33 -------- d-----w- c:\programme\Gemeinsame Dateien\OLXShared 2010-01-13 16:18 . 2001-07-09 08:50 40448 ----a-w- c:\windows\system32\nerocheck.exe 2010-01-13 15:54 . 2001-07-09 08:50 40448 ----a-w- c:\windows\system32\nerocheck .exe 2010-01-13 15:53 . 2005-10-12 09:43 40448 ----a-w- c:\windows\tbpanel.exe 2010-01-13 09:11 . 2004-08-04 12:00 654284 ----a-w- c:\windows\system32\perfh007.dat 2010-01-13 09:11 . 2004-08-04 12:00 161662 ----a-w- c:\windows\system32\perfc007.dat 2010-01-13 09:10 . 2008-05-21 06:39 -------- d-----w- c:\programme\TomTom HOME 2 2010-01-13 09:06 . 2007-07-31 13:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2010-01-13 08:05 . 2007-08-09 08:28 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-01-13 08:04 . 2005-10-17 13:05 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-01-13 08:03 . 2005-10-17 13:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-01-12 09:33 . 2009-07-09 10:31 1940936 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2010-01-12 09:04 . 2009-10-07 07:49 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-01-07 15:07 . 2009-10-07 07:49 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-07 15:07 . 2009-10-07 07:49 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-11 07:22 . 2008-01-17 14:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-12-08 07:04 . 2009-08-05 06:45 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-02 09:39 . 2007-02-19 15:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2009-11-25 13:06 . 2005-10-20 07:58 130952 ----a-w- c:\dokumente und einstellungen\elaltrella\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-24 10:48 . 2008-01-18 08:26 -------- d-----w- c:\dokumente und einstellungen\elaltrella\Anwendungsdaten\OLXTeamOutlook 2009-11-24 07:37 . 2009-11-24 07:37 -------- d-----w- c:\programme\Microsoft 2009-11-23 07:41 . 2006-03-20 10:16 -------- d-----w- c:\programme\Opera 2009-11-19 07:12 . 2009-08-26 15:49 1200 ----a-w- c:\windows\ImpTableL.bin 2009-11-16 16:33 . 2008-12-08 09:43 -------- d-----w- c:\programme\CCleaner 2009-10-29 07:40 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2009-10-21 05:38 . 2004-08-04 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-04 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys . Code: <pre> [-] 2008-12-17 . 63F596358D91E0DE887E3D031CCCF5C6 . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe [7] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe [7] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SharpTray"="c:\programme\Sharp\Sharpdesk\SharpTray.exe" [2010-01-13 40448] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-13 40448] "OpAgent"="OpAgent.exe" [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="c:\programme\quicktime\qttask .exe -atboottime" [X] "Gainward"="c:\windows\TBPanel.exe" [2010-01-13 40448] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-24 5537792] "nwiz"="nwiz.exe" [2005-02-24 1495040] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-02-24 86016] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952] "Cmaudio"="cmicnfg.cpl" [N/A] "EasyTuneV"="c:\programme\Gigabyte\ET5\GUI.exe" [2010-01-13 40448] "Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2010-01-13 40448] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2010-01-13 40448] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2010-01-13 40448] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2010-01-13 40448] "IndexTray"="c:\programme\Sharp\Sharpdesk\IndexTray.exe" [2010-01-13 40448] "SharpTray"="c:\programme\Sharp\Sharpdesk\SharpTray.exe" [2010-01-13 40448] "TypeRegChecker"="c:\programme\Sharp\Sharpdesk\TypeRegChecker.exe" [2010-01-13 40448] "FtpServer.exe"="c:\programme\Sharp\Sharpdesk\FtpServer.exe" [2010-01-13 40448] "Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2010-01-13 40448] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-01-13 40448] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2010-01-13 40448] "OLXAddinMonitor"="c:\programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" [2010-01-13 40448] "ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2010-01-13 40448] "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2010-01-13 40448] "ScanSoft OmniPage 16-reminder"="c:\programme\ScanSoft\OmniPage16\Ereg\Ereg.exe" [2010-01-13 40448] "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2010-01-13 40448] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "F-PROT Antivirus Tray application"="c:\programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" [2010-01-13 40448] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-13 40448] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Start 3DxWare.lnk - c:\programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe [2009-4-23 119296] Starten des Netzwerk Scanner Tools.lnk - c:\programme\Sharp\Sharpdesk\sdFTP.exe [2005-10-12 275968] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] 2009-02-24 08:58 203928 -c--a-w- c:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] 2006-09-28 19:21 57344 -c--a-w- c:\programme\SlySoft\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper] c:\programme\NetPumper\NetPumperIEProxy.exe [N/A] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PUK] c:\programme\SVSS\PUK\PopKill.exe [N/A] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-01-12 09:04 40448 ----a-w- c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe] 2010-01-13 09:10 40448 ----a-w- c:\programme\TomTom HOME 2\tomtomhomerunner.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Sharp\\Sharpdesk\\sdFTP.exe"= "c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\bin\\engine.exe"= "c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\bin\\tmengine.exe"= "c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\bin\\lexAPI.exe"= "c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\StdAlone\\MT_Alone.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\translatepro9\\TMServer.exe"= "c:\\Programme\\Sharp\\Sharpdesk\\FTPServer.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Agru Datenbank\\software\\lic\\x86\\cnslocal.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\SmartCode Solutions\\VNC Manager (Enterprise Edition)\\VNCManager.exe"= "c:\\WINDOWS\\system32\\winver.exe"= "c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"= "c:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= R0 FPAV_RTP;FPAV_RTP;c:\windows\system32\drivers\FStopW.sys [13.08.2009 07:00 682840] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.08.2009 07:45 108289] R2 FPAVServer;F-PROT Antivirus for Windows system;c:\programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe [27.08.2009 15:26 75424] R2 GLOGODrv;GLOGODrv;c:\windows\system32\drivers\GLOGODrv.sys [12.10.2005 12:36 13332] R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 12:31 92008] R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [12.10.2005 12:28 1275584] S3 MA311;NETGEAR Wireless LAN Driver;c:\windows\system32\drivers\ma311n51.sys [12.10.2005 10:53 54784] . Inhalt des "geplante Tasks" Ordners 2010-01-13 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-31 13:47] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Settings,ProxyOverride = 192.168.0.* IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Easy-WebPrint Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html IE: Easy-WebPrint Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html IE: Easy-WebPrint Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{5039B23B-182F-46E2-A159-9E8F631FF218} - (no file) WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file) AddRemove-TRUSTINSIDEINTERNET - c:\dokume~1\ELALTR~1\ANWEND~1\FUNKFI~1\Kindcoal.exe |
Und das war es jetzt? Jetzt bin ich clean? ;-) |
Das Log sieht nciht ganz vollständig aus, bitte prüfen! Notfalls die combofix.log auf file-upload.net hochladen und hier verlinken. Zitat:
Bitte auch noch GMER und anschließend Malwarebytes ausführen (das Programm vorher aktualisieren!) - es kann sein, dass GMER abstürzt, in dem Fall GMER erstmal sein lassen. |
GMER läuft und läuft! Bin mal gespannt was da raus kommt! die winlogon war 0/41 aber da GMER läuft kann ich den Link gerade nicht posten. Melde mich wenn er es überstanden hat! |
Der GMER läuft immernoch! Ist das normal? Ich dachte schon der hängt aber unten sieht man ja die Dateien die er scannt und der läuft und läuft! |
Brich es ab und mach mit malwarebytes weiter - Signaturen von Malwarebytes vorher aktualisieren!! |
Guten Morgen, hatte GMER dann nach 5 Stunden abgebrochen, obwohl er lief. Der Bericht unten von mbam war danach am 14.01, aktuell läuft noch einer. Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3561 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 14.01.2010 17:27:03 mbam-log-2010-01-14 (17-27-03).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 171702 Laufzeit: 1 hour(s), 11 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{38BBC86F-73C3-4CD6-8822-848B1B44A736}\RP1001\A0281991.exe (Trojan.Banker) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{38BBC86F-73C3-4CD6-8822-848B1B44A736}\RP1001\A0282227.sys (Malware.Trace) -> Quarantined and deleted successfully. |
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. |
Ok, Systemwiederherstellung kurz "abgehackt", wollen Sie alle Systemwiederherstellungspunkte löschen "Ja", und direkt wieder angestellt! So und hier der aktuelle Log, er findet immernoch sachen Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3588 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.01.2010 10:15:07 mbam-log-2010-01-18 (10-15-07).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 279420 Laufzeit: 1 hour(s), 19 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Programme\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\elaltrella\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. |
Mach nochmal frische RSIT-Logfiles. |
|
Das Log sieht wieder okay aus. Noch Meldungen? Dass eine Bereinigung nicht 1005ig sicher ist, muss ich nich nochmal erwähnen oder? :rolleyes: |
Ich DANKE Dir aus vollem Herzen. Du bist der größte für mich! Ich verspreche Dir ich mach so ein Sch... nie wieder und falls nochmal was kommt, wende ich mich einfach nochmals an Dich! Grüße |
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:08 Uhr. |
Copyright ©2000-2024, Trojaner-Board