Trojaner-Board - Absturz bei Adaware und escan - Scan, unregelmäßiger Bluescreen, ntkrnlpa.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Absturz bei Adaware und escan - Scan, unregelmäßiger Bluescreen, ntkrnlpa.exe (https://www.trojaner-board.de/96528-absturz-adaware-escan-scan-unregelmaessiger-bluescreen-ntkrnlpa-exe.html)

Absturz bei Adaware und escan - Scan, unregelmäßiger Bluescreen, ntkrnlpa.exe

Hallo Community,

ich habe mir vmtl. irgendwelche unerwünschte Dateien eingefangen und bitte euch dringend um Hilfe!

Ich habe die Anleitungen im Forum befolgt und die drei txt.-Dateien der Scans in den Anhang gepackt. Falls ihr weitere Dateien benötigt, werde ich diese gerne hochladen! Vorsorglich habe ich auch mal die Auswertung von Hijackthis angehängt ("pruefung.txt") ... falls sie vllt hilfreich ist.

Folgende Probleme treten aktuell auf:

1.) Die Scans von Ad-Aware als auch escan werden nach ca. 1Std45min durch einen Absturz des PCs abgebrochen. Der Computer hängt nicht, sondern ist auf "einen Schlag" komplett aus. Während des Scans von escan hat sich jedoch einmal Adaware gemeldet, eine Datei gefunden zu haben. Es haldelte sich laut Adaware-Protokoll um folgenden Wurm:
Removed items:
Description: c:\users\****\appdata\local\temp\mexetmp.ex~ Family Name: Win32.Worm.Mabezat/H Engine: 1 Clean status: Success Item ID: 0 Family ID: 0
Vor dem Absturz hat Adaware sonst noch nie eine verdächtige Datei gewunden, bei escan war es eine, die auch gelöscht wurde. Der Scan durch Avira Antivir läuft bis zum Schluss problemlos durch und liefert keine Ergebnisse.

2.) Ich erhalte immer wieder eine Meldung von Windows, dass ein virtueller Dienst Meldungen hätte und werde gefragt, ob ich diese Anzeigen möchte oder "erst später". Unter "Details" kann ich die Datei
"IEFRAME.dll"
ausfindig machen. Klicke ich dann auf "Meldung anzeigen" öffnet sich ein Browser-ähnlicher Bildschirm, bei dem viele Fenster übereinander sind und im obersten etwas von "Vielen Dank, dass sie Google Toolbar installiert haben" zu lesen ist. Die Windows-typische "oberste", blaue Zeile mit Schließen, Minimieren, Maximieren fehlt dabei aber in allen Fenstern. Ebenso wird keine Startleiste am unteren Bildschirmrand mehr angezeigt.

3.) In unregelmäßigen Abständen erhalte ich einen Bluescreen. Mit BluescreenView habe ich die dmp-Datei ausgelesen und unter "Driver in stack" folgende erhalten:

ataport.sys
halmacpi.dll
ntkrnlpa.exe

Der Bluescreen-Text selbst lautet wie folgt:

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: ntkrnlpa.exe

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000000a (0x8b083a10, 0x00000002, 0x00000001, 0x82e398dc)

*** ntkrnlpa.exe - Address 0x82e415cb base at 0x82e00000 DateStamp 0x4ce78a09

Ich bedanken mich schon jetzt ganz herzlich für eure Hilfe!!!
Im Moment bin ich nämlich ratlos :-/
Danke!!!

Schritt 1

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Schritt 2

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

Hallo und vielen Danke, dass du dich um mein Problem kümmerst!

Ich habe beide Dateien heruntergeladen, doch beim Ausführen von ComboFix kommt erneut der Bluescreen. Habe es zweimal versucht und beide male einen Bluescreen erhalten. Die Datei wurde in "Combo-Fix" umbenannt.
Den MBRCheck habe ich bis jetzt noch nicht gestartet, weil ja in deiner Anleitung der ComboFix zuerst genannt wird...

Beim ersten Versuch meldet BlueScreenView folgende Treiber im Stack:

sptd.sys
ntkrnlpa.exe

und liefert folgende Bluescreen-Meldung:

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: ntkrnlpa.exe

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000000a (0x00000001, 0x00000002, 0x00000000, 0x82ec8a1c)

*** ntkrnlpa.exe - Address 0x82e905cb base at 0x82e4f000 DateStamp 0x4ce78a09

Beim zweiten Startversuch von ComboFix seien folgende Treiber im Stack:

halmacpi.dll
ntkrnlpa.exe

Folgende Bluescreen-Meldung wurde beim zweiten mal ausgegeben:

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: halmacpi.dll

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000000a (0x00000016, 0x00000002, 0x00000000, 0x82e51f66)

*** halmacpi.dll - Address 0x83231ba9 base at 0x8322c000 DateStamp 0x4ce788d2

Danke schon jetzt für die weitere Hilfe! Ich wäre ohne euch völlig aufgeschmissen :-/

Versuche einmal Schritt 2.

Das hat geklappt. Im Anhang die txt-Datei...

Seit kurzem tritt noch ein weiteres Problem auf: Es werdem im Firefox immer wieder unaufgefodert irgendwelche neuen Tabs mit Internetseiten geöffnet. Eine hat Firefox jetzt gerade blockiert mit folgender Meldung:

Die Webseite auf 78.140.141.3 wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.

Mach einen Fullscan mit Malwarebytes Anti-Malware und poste das Log.

Falls es nicht geht, wechsle in den abgesicherten Modus und versuche es so.

So im "normalen" Modus hat sich Anti-Malware nach 3 infizierten Objekten beim Ordner C:\WINDOWS\SYSTEM32\DRIVERS\ARCSAS.SYS aufgehängt (keine Rückmeldung)

Dann habe ich den Scan im abgesicherten Modus durchgeführt, 9 infizierte Objekte gefunden und gelöscht, Log-Datei auf dem Desktop gespeichert und im normalen Modus wieder hochgefahren. Dann war die Log-Datei aber leider nicht mehr auf dem Desktop :-( Ist die durch den abgesicherten Modus irgendwo anders gespeichert?

Auf jeden Fall wollte ich noch einmal einen Scan im normalen Modus versuchen, bei dem sich das Programm sehr oft für ca je 5 min aufgehängt hat und schließlich gar nichts mehr ging. 2 infizierte Objekte wurden mir aber angezeigt! Dann hab ich nochmal nur bis dahin laufen lassen, wo er die 2 Objekte findet und dann gestoppt, die Log-Datei gespeichert und wollte die beiden löschen, was wiederrum zum Aufhängen geführt hat.
Die Log-Datei hab ich allerdings retten können und poste sie mit diesem Beitrag.

Ich hoffe das bringt uns weiter?!?!?!

Öffne Malwarebytes. Dann findest Du oben den Reiter LOGDATEIEN dort sind alle Logs. Poste alle :)

Dort habe ich auch schon gesucht, doch dort sind keine Einträge zu finden... oder steh ich gerade völlig auf dem Schlauch?
Im Anhang mal ein Screenshot, damit wir nicht aneinander vorbei
reden....

Vielen Dank für deine Geduld!!!

So jetzt habe ich nach etwas Suche das gesuchte log-File (das mit den 9 Funden) doch noch gefunden.
Ich musste Anti-Malware im abgesicherten Modus starten und dann waren dort alle Logfiles im o.g. Reiter vorhanden.

Ich habe dann auch gleich nochmal einen Scan im abgesicherten Modus durchgeführt und nochmal 2 Objekte gefunden, bei denen es sich genau um die beiden handelte, die ich schon im "normalen" Modus gefunden hatte, jedoch nicht löschen könnte (siehe oben). Diese wurden jetzt im abgesicherten Modus gelöscht.

Beide Logfiles kommen im Anhang.

Zudem habe ich noch Adaware im abgesicherten Modus laufen lassen, was keine Ergebnisse brachte.

Im normalen Modus hängt sich Anti-Malware nach wie vor auf!

Zitat:

Zudem habe ich noch Adaware im abgesicherten Modus laufen lassen, was keine Ergebnisse brachte.

Ich melde mich später wieder, aber mache bitte keine Schritte aus eigenem Antrieb.

Inzwischen ist mir augefallen, dass unter den Seiten, auf die ich im Firefox sehr oft weitergeleitet werde und die sich unaufgafordert öffnen, sehr oft "theclickcheck" ist.

Vielleicht bringt diese Info ja was :-)

Schritt 1

Schritt

Grundreinigung mit SUPERAntiSpyware

Bitte lade Dir SUPERAntiSpyware FREE Edition herunter.
Das Programm ist geeignet für: Windows 98, 98SE, ME, 2000, 2003, XP und Vista.
Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
Eine bebilderte Anleitung findest Du hier.
Schließe alle Anwendungen inkl. Browser.
Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
Bitte kopiere diesen Bericht hier in den Thread.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

netsvcs

drivers32 /all

%SYSTEMDRIVE%\*.*

%systemroot%\system32\*.wt

%systemroot%\system32\*.ruy

%systemroot%\Fonts\*.com

%systemroot%\Fonts\*.dll

%systemroot%\Fonts\*.ini

%systemroot%\Fonts\*.ini2

%systemroot%\system32\spool\prtprocs\w32x86\*.*

%systemroot%\REPAIR\*.bak1

%systemroot%\REPAIR\*.ini

%systemroot%\system32\*.jpg

%systemroot%\*.scr

%systemroot%\*._sy

%APPDATA%\Adobe\Update\*.*

%ALLUSERSPROFILE%\Favorites\*.*

%APPDATA%\Microsoft\*.*

%PROGRAMFILES%\*.*

%APPDATA%\Update\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

/md5start

explorer.exe

winlogon.exe

wininit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Habe alles nach Anweisung durchgeführt.
Hier der Bericht von SUPERAntiSpyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/17/2011 at 07:47 PM

Application Version : 4.49.1000

Core Rules Database Version : 6616
Trace Rules Database Version: 4428

Scan type : Complete Scan
Total Scan Time : 00:53:34

Memory items scanned : 715
Memory threats detected : 0
Registry items scanned : 10815
Registry threats detected : 0
File items scanned : 32628
File threats detected : 154

Adware.Tracking Cookie
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adserver.tripat[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adjuggler[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@mediabrandsww[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@advertise[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adfarm1.adition[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@clicksor[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@mediabrandsww[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@tracking.foxnews[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adxpose[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@atdmt[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@invitemedia[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@kontera[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@advertising[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@serving-sys[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ads.lzjl[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@atdmt[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.adition[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@apmebf[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@clicksor[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adfarm1.adition[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@advertise[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@imrworldwide[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@eas.apm.emediate[6].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@zbox.zanox[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@zanox[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@zanox-affiliate[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@technoratimedia[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adviva[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@clickpayz2.91469.information-seeking[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@myroitracking[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adserving.versaneeds[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@p386t1s3635036.kronos.bravenetmedia[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@clickpayz10.91485.information-seeking[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www.cpcadnet[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.adc-serv[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@advertise[6].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@eas.apm.emediate[4].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@server.cpmstar[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@smartadserver[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@content.yieldmanager[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@webmasterplan[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@bizzclick[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@revsci[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad3.adfarm1.adition[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad1.adfarm1.adition[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@bs.serving-sys[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@eas.apm.emediate[5].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adtech[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www.cpcadnet[5].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@user.lucidmedia[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@statcounter[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@content.yieldmanager[8].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@trafficengine[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@advertise[8].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@eas.apm.emediate[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@xml.happytofind[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.yieldmanager[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@unitymedia[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@mediaplex[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@tribalfusion[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@overture[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@p381t1s2921474.kronos.bravenetmedia[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ads.creative-serving[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@advertising[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@specificclick[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www.usenext[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.ad-srv[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@liveperson[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@content.yieldmanager[5].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@content.yieldmanager[7].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@vidasco.rotator.hadj7.adjuggler[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ru4[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@hansenet.122.2o7[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@content.yieldmanager[6].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@mediatraffic[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.yieldmanager[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@tradedoubler[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www.cpcadnet[4].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@webmasterplan[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@bestpersonnecounter[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@advertise[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adtechus[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ads.intergi[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.extr1[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www1.12finder[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www.cpcadnet[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@eu.gomeotrack[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@tribalfusion[4].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@opti.inextmedia[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ru4[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@solvemedia[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@tribalfusion[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@zedo[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@doubleclick[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@content.yieldmanager[4].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adtech[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ads.dietadvisor101[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@rotator.adjuggler[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.yieldmanager[8].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@tribalfusion[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@statse.webtrendslive[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@specificclick[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@bridge1.admarketplace[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@trafficengine[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@xml.happytofind[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@yieldmanager[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adjuggler[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ads.cpxcenter[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.adserver01[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@p222t1s1946992.kronos.bravenetmedia[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.yieldmanager[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www.cpcadnet[6].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@fastclick[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@eas.apm.emediate[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adbrite[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@server.iad.liveperson[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@workathome.multifind24[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adserv.brandaffinity[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@traffictrack[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www.zanox-affiliate[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@content.yieldmanager[9].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.yieldmanager[4].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@fastclick[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@atdmt[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adserver.adtechus[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ads.glispa[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@fidelity.rotator.hadj7.adjuggler[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@shop.zanox[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.yieldmanager[5].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@adviva[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@tracking.mlsat02[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@xml.trafficengine[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad2.adfarm1.adition[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@media6degrees[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@advertise[4].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad4.adfarm1.adition[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@tradedoubler[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@content.yieldmanager[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@clickpayz10.91498.information-seeking[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@click.fastpartner[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@tracking.quisma[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www.cpcadnet[7].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@myroitracking[2].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@admarketplace[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@advertise[5].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.dyntracker[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@content.yieldmanager[3].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@atdmt[4].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.yieldmanager[9].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@clicks.fastgetonline[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@ad.yieldmanager[7].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@dc.tremormedia[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@clickpayz10.91469.information-seeking[1].txt
C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@www.cpcadnet[1].txt

Anschließend habe ich OTL laufen lassen (otl.txt siehe Dateianhang)

Leider kann ich die Extra.txt Datei nicht finden. Ich habe ja nach deine Anweisung schon einmal einen OTL-Scan durchgeführt. Von diesem ist die Extra-Datei noch da, aber vom diesmaligen kann ich die nicht finden :-( Kann es daran liegen, dass ich das Programm OTL.exe in einem Ordner auf dem Destop gespeichert habe und nicht direkt auf dem Desktop? Wie komm ich an diese Extra.txt ran????

Schritt 1

Fixen mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

O4 - HKCU..\Run: [] File not found

O4 - HKCU..\Run: [Polar Sync] File not found

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.149.98.66 217.237.151.97

O33 - MountPoints2\{3240f6c8-0bae-11e0-a69c-001d6035248c}\Shell - "" = AutoRun

O33 - MountPoints2\{3240f6c8-0bae-11e0-a69c-001d6035248c}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a

O33 - MountPoints2\{5e74d93a-59ef-11df-904a-001d6035248c}\Shell - "" = AutoRun

O33 - MountPoints2\{5e74d93a-59ef-11df-904a-001d6035248c}\Shell\AutoRun\command - "" = G:\Setup.exe

O33 - MountPoints2\F\Shell - "" = AutoRun

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a

[2011.03.14 13:35:30 | 000,000,000 | ---D | C] -- C:\Windows\rundll16.exe

[2011.03.14 13:35:30 | 000,000,000 | ---D | C] -- C:\Windows\logo1_.exe

[2011.03.14 12:51:49 | 000,000,000 | ---D | C] -- C:\Windows\VDLL.DLL

[2011.03.14 12:51:49 | 000,000,000 | ---D | C] -- C:\Windows\System32\runouce.exe

[2011.03.14 12:51:49 | 000,000,000 | ---D | C] -- C:\Windows\RUNDL132.EXE

[2011.03.14 12:51:49 | 000,000,000 | ---D | C] -- C:\Windows\logo_1.exe

[2011.03.14 12:47:34 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\Windows\System32\eEmpty.exe

[2011.03.14 12:47:25 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\MicroWorld

[2011.03.14 12:47:17 | 000,000,000 | ---D | C] -- C:\ProgramData\MicroWorld

:Commands

[purity]

[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Versuche nochmals Malwarebytes im Normalmodus.

Btw hier mal nochmal ne seite auf die ich automatisch weitergeleitet werde:
Search Results for Trojaner Board ? MonsterMarketplace.com

Scans starte ich jetzt gleich...

OTL.exe ist mit deinem code gelaufen, dann hat er neu gestartet, doch nach der Eingabe des Passwort ist er nicht auf den Desktop gelangt. Stattdessen nur ein schwarzer Bildschirm mit Maus...
Habe dann nach einigem Warten neu gestartet und wieder das selbe... erst beim dritten Versuch bin ich auf den Desktop gelangt, jedoch ist das Textfile nicht auf dem Desktop und auch im von dir angegebenen Ordner kann ich es nicht finden.

Bevor ich jetzt was anderes versuche, wollte ich Rücksprache mit dir halten, wie ich verfahren soll. Soll ich es nochmal mit OTL versuchen? Besteht die Gefahr, dass ich dann gar nicht mehr auf den Desktop gelange???

Schritt 2, also Malwarebytes hab ich noch nicht gestartet.

Führe zuerst Schritt 2 aus wenn es im Normalmodus geht.

und im anschluss dann nochmal otl mit deinem code oder erst mal nicht?

Also ich habs gerade versucht, aber leider funktioniert Malwarebytes immer noch nicht im Normalmodus.

Was soll ich machen :-(

Mal vielleicht noch eine kurz Beschreibung, was beim Auführen von otl.exe und deinem Code passiert ist:
Nach dem Klick auf "Fix" hat er unten ein paar sachen angezeit, dann war für einige Zeit nur der Desktophintergrund zu sehen, sonst gar nichts. Nach einiger Zeit kam dann die Anmeldeseite mit der Aufforderung zur Passworteingabe. Von Runterfahren und Hochfahren mit Windows-Bildschirm war nichts da... nur eben irgendwann wieder der Anmeldebildschirm. Nach der Passworteingabe war wie gesagt der schwarze Bildschirm mit Mauszeiger da (dieser ließ sich bewegen).

Hoffe das hilft vielleicht ein bisschen was :-)

Besten Dank für deine Hilfe!!!!

Dann führ OTL mit diesem Script aus:

Zitat:

:OTL
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.149.98.66 217.237.151.97
:Commands
[purity]
[emptytemp]

Soll ich auf "Fix" oder "Scan" oder "Quick Scan" klicken?

Okay, sorry der Klick auf "Fix" sollte es natürlich sein :-) Hab grad eben mal nicht mitgedacht^^

Hier kommt nun die Textdatei beim Hochfahren nach dem Reboot. Die beinhaltet folgenden Text:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer| /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Andreas
->Temp folder emptied: 17375739 bytes
->Temporary Internet Files folder emptied: 803320 bytes
->Java cache emptied: 9426 bytes
->FireFox cache emptied: 43591616 bytes
->Flash cache emptied: 990 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1718662 bytes
RecycleBin emptied: 618 bytes

Total Files Cleaned = 61,00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 03182011_215804

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Und wie sieht es mit den Umleitungen auf?

Bis jetzt noch nichts aber die kamen auch immer sporadisch... Sollte jetzt alles unerwünschte von meinem Rechner runter sein????

Wenn ja sollte ich mal noch Malwarebytes durchlaufen lassen? Oder was ist jetzt noch zu tun?

Na die kamen ja immer sporadisch... Ich muss mal abwarten.
Sollte jetzt alle unerwünschte Software vom Rechner runter sein???

Könnte ich jetzt noch mal Malwarebytes laufen lassen?

Was ist jetzt noch zu tun?

Danke :-)

Ja versuche zuerst Malwarebytes im Normalmodus.

Leider keine guten Nachrichten: Malwarebytes hat nen Absturz mit Bluescreen verursacht.

Folgende Treiber meldet BlueScreenView im Stack:

ataport.sys
ntkrnlpa.exe

Die Bluescreenmeldung ist die folgende:

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: ataport.SYS

KERNEL_DATA_INPAGE_ERROR

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000007a (0xc0447808, 0xc0000185, 0x05fc2860, 0x88f019e8)

*** ataport.SYS - Address 0x88f019e8 base at 0x88eee000 DateStamp 0x4ce788e8

Dann versuchen wir nochmals CF.

Schritt 1

Systempartition mit chkdsk überprüfen und reparieren

Im Suchfeld cmd eingeben, STRG+Shift-Tasten gedrückt halten und Enter drücken
- dadurch wird die Kommandozeile im Admin-Modus gestartet.

3. Tippe dort ein: chkdsk %systemdrive% /f /r /v und bestätige mit Enter.

4. Die folgende Abfrage mit j bestätigen und Enter drücken.

5. Windows neu starten,
es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen
- die Zeit verstreichen lassen, keine Taste drücken!! -

6. Abwarten bis der Vorgang abgeschlossen ist.
Bei großen Partitionen kann es u. U. recht lange dauern.
Windows bootet automatisch neu.

In der Ereignisanzeige (Start => ausführen => eventvwr.msc (reinschreiben) => OK) müsstest Du einen Eintrag mit Quelle Winlogon sehen (evtl. auch mehrere), die Dir eine Zusammenfassung von chkdsk geben. Schau nach Fehlern bzw. fehlerhaften Blöcken und - sofern diese vorhanden sind - poste diese.

Schritt 2

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista User: Bitte mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.

Schritt 3

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Sodala leider hat er mich nicht alles so machen lassen, wie du beschrieben hast. Aber der Reihe nach:

chkdsk hat geklappt.

Leider stelle ich mich beim Finden in der Ereignisanzeiger aber recht dumm an. WO soll die Auswertung genau sein? Ich habe hier links die Ordner "Benutzerdef. Ansichten", "Windows-Protokoll", "Anwendungs- und Dienstprotokplle", "Abonnements"....

Mit dem Defogger hat alles wie von dir beschrieben geklappt. Im Logfile steht folgendes:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 01:41 on 19/03/2011 (Andreas)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

Als ich dann mal kurz ins Forum wollte, kam mir mal schnell zwischen durch ein Bluescreen entgegen. Im Stack die altbekannten:

ataport.sys
halmacpi.dll
ntkrnlpa.exe

Meldung:

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: ntkrnlpa.exe

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000000a (0xa959ba10, 0x00000002, 0x00000001, 0x82e878dc)

*** ntkrnlpa.exe - Address 0x82e8f5cb base at 0x82e4e000 DateStamp 0x4ce78a09

Anschließend hab ich es dann ComboFix gestartet, doch wie immer hat sich nur das kleine Fenster geöffnet, in dem der grüne Balken läuft. Als der Balken voll war, ebenfalls wie immer, dann der Absturz mit Bluescreen.

Treiber im Stack:

ntkrnlpa.exe

Meldung:

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: ntkrnlpa.exe

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000000a (0x00000001, 0x00000002, 0x00000000, 0x82ec9a1c)

*** ntkrnlpa.exe - Address 0x82e915cb base at 0x82e50000 DateStamp 0x4ce78a09

Nochmal das selbe versucht und wieder das gleiche. Diesmal Treiber im Stack:

ntkrnlpa.exe
halmacpi.dll

Meldung:

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: halmacpi.dll

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000000a (0x00000001, 0x00000002, 0x00000000, 0x82e93a1c)

*** halmacpi.dll - Address 0x83230000 base at 0x8322c000 DateStamp 0x4ce788d2

Zu guter letzt muss ich dir noch mitteilen, dass ich auch weiterhin die Weiterleitungen im Browser habe :-/

Schritt 1

Downloade Dir bitte Bootkit_remover. Entpacke den Bootkitremover bitte und doppelklick in dem ordner auf remove.exe.
Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Schritt 2

Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

Entpacke die .rar Datei auf deinem Desktop. ( Rechtsklick --> hier entpacken )
Solltes du keine Zip Software auf deinem Rechner haben downloade dir bitte 7zip und installiere es.
Öffne den neuen Ordner und starte die RKU3.8.388.590.exe.
Wähle als Sprache English und installiere RKU im vorgegebenen Pfad.
Trenne Dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
Start --> Alle Programme und im Ordner Rootkit Unhooker LE die Datei RKU starten.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Klicke auf den Report Tab und danach auf Scan
Setze ein Häckchen bei
- Drivers
- Stealth Code
- Files
- Code Hooks
Entferne alle anderen Hacken
Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
Klicke OK
Wenn der Scan beendet wurde
File --> Save Report
klicken.
Speichere die Datei als RKU.txt auf dem Desktop.
Klicke Close

Hinweis: Solltest Du folgende Warnung bekommen

Zitat:

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"

Klicke auf OK

Bootkit Remover ist gelaufen.

Aber RKUnhookerLE hat mir nach langem Scannen folgenden Fehler ausgespuckt:

Sorry, but unhandled exception has occured
Programm will be terminated
Exception Code: 0xC0000005
Instruction address: 0x00434884
Attempt to read at address: 0x0D605000

Error log generated, please report to developers

(OK)

Ich habe das Gefühl dass ein RamFehler das ganze verursacht. Werde mich wieder melden.

Schritt 1

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

netsvcs

drivers32 /all

%SYSTEMDRIVE%\*.*

%systemroot%\system32\*.wt

%systemroot%\system32\*.ruy

%systemroot%\Fonts\*.com

%systemroot%\Fonts\*.dll

%systemroot%\Fonts\*.ini

%systemroot%\Fonts\*.ini2

%systemroot%\system32\spool\prtprocs\w32x86\*.*

%systemroot%\REPAIR\*.bak1

%systemroot%\REPAIR\*.ini

%systemroot%\system32\*.jpg

%systemroot%\*.scr

%systemroot%\*._sy

%APPDATA%\Adobe\Update\*.*

%ALLUSERSPROFILE%\Favorites\*.*

%APPDATA%\Microsoft\*.*

%PROGRAMFILES%\*.*

%APPDATA%\Update\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

/md5start

explorer.exe

winlogon.exe

wininit.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread