Trojaner-Board - Rootkit gefunden, Malware Infektion?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Rootkit gefunden, Malware Infektion? (https://www.trojaner-board.de/99933-rootkit-gefunden-malware-infektion.html)

Rootkit gefunden, Malware Infektion?

Hallo liebe Techniker,

ich bin ratlos. Ich bekomm von meinem Avast AntiVir immer die Meldung, dass ein Rootkit gefunden wurde, eine Meldung dieser Art: MBR: \\.\PHYSICALDRIVE0
Auffällig ist, dass es auch in Windows 7 auftauchte, welches ich auf der gleichen HDD (partitioniert) installiert habe.

Ich habe dann ComboFix ausgeführt. Es wurden einige Löschungen vorgenommen, laut logfile und im Prozess. Die Wiederherstellungskonsole wurde installiert. Jetz kam ein neues Problem hinzu. ich bekam Win XP nicht mehr hochgefahren, Bluescreen und Ende. Nicht mal mehr im Abgesicherten Modus. Windows 7 geht jedoch ohne Probleme. daraufhin hab ich die Wiederherstellungskonsole genutzt, fixmbr, und siehe da, Win XP startete wieder wie gewohnt.

Allerdings wird selbst nach dem erstellen eines neuen MBR der Fehler vom Virenprogramm erneut ausgegeben. Avast kann das wohl nicht bereinigen, auch wenn ich Löschen ausführe, nach dem Neustart ist es wieder da. Ich kann jetzt aber nicht sagen, dass es meinen PC behindert, oder verlangsamt, ich meine, alles läuft wunderbar, und ich bin mir auch nicht sicher, ob es ein echter Trojaner ist, oder was auch immer. Ich hab mal gelesen, dass es auch was gefahrloses sein kann. Bin mir aber nicht sicher.

Auf jeden Fall möchte ich, dass das gefixt wird.

Der ComboFix Log sagt folgendes :

Combofix Logfile:

Code:

ComboFix 11-06-04.02 - MF 04.06.2011   2:51.1.4 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2855 [GMT 2:00]

ausgeführt von:: f:\incoming data & files\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Nemo\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf

c:\dokumente und einstellungen\Nemo\WINDOWS

c:\programme\NavExcel

c:\programme\NavExcel\NavHelper\v2.0.3\v2.0.3.cab

c:\windows\settings.reg

c:\windows\system32\crt.dat

c:\windows\system32\Data

c:\windows\system32\lsprst7.dll

c:\windows\system32\shimg.dll

c:\windows\system32\ssprs.dll

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-05-04 bis 2011-06-04  ))))))))))))))))))))))))))))))

.

.

2011-05-16 19:35 . 2011-05-10 11:59        19544        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2011-05-16 19:35 . 2011-05-10 12:03        307928        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2011-05-16 19:35 . 2011-05-10 12:03        441176        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2011-05-16 19:35 . 2011-05-10 12:02        49240        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2011-05-16 19:35 . 2011-05-10 11:59        25432        ----a-w-        c:\windows\system32\drivers\aswRdr.sys

2011-05-16 19:35 . 2011-05-10 12:02        102616        ----a-w-        c:\windows\system32\drivers\aswmon2.sys

2011-05-16 19:35 . 2011-05-10 12:02        96344        ----a-w-        c:\windows\system32\drivers\aswmon.sys

2011-05-16 19:35 . 2011-05-10 11:59        30808        ----a-w-        c:\windows\system32\drivers\aavmker4.sys

2011-05-16 19:35 . 2011-05-10 12:10        40112        ----a-w-        c:\windows\avastSS.scr

2011-05-16 19:35 . 2011-05-10 12:10        199304        ----a-w-        c:\windows\system32\aswBoot.exe

2011-05-16 19:34 . 2011-05-19 05:29        --------        d-----w-        c:\programme\Avast

2011-05-16 11:38 . 2011-05-16 11:38        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-05-16 11:28 . 2011-05-16 11:28        --------        d-----w-        c:\windows\system32\wbem\Repository

2011-05-10 17:11 . 2011-05-10 17:11        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe Systems

2011-05-10 17:10 . 2011-05-10 17:10        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe Systems Shared

2011-05-10 17:09 . 2011-05-10 17:10        --------        d-----w-        c:\programme\Audition 3

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-04-18 10:23 . 2010-11-13 10:08        16432        ----a-w-        c:\windows\system32\lsdelete.exe

2011-03-16 22:42 . 2008-12-20 00:28        409600        ----a-w-        c:\windows\system32\wrap_oal.dll

2011-03-16 22:42 . 2008-12-20 00:28        114688        ----a-w-        c:\windows\system32\OpenAL32.dll

2011-03-16 22:09 . 2011-03-16 22:09        4706        ----a-w-        c:\windows\system32\PerfStringBackup.TMP

2011-04-14 16:40 . 2011-05-25 16:20        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-05-10 12:10        122512        ----a-w-        c:\programme\Avast\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Ai Nap"="c:\programme\ASUS\AI Suite\AiNap\AiNap.exe" [2008-05-21 1423360]

"Cpu Level Up help"="c:\programme\ASUS\AI Suite\CpuLevelUpHelp.exe" [2007-11-30 881152]

"zBrowser Launcher"="c:\programme\Logitech Tastatur\iTouch\iTouch.exe" [2002-11-23 631362]

"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]

"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]

"HD Tune"="c:\progra~1\HDTUNE~1\HDTune.exe" [2008-02-09 401408]

"CTSysVol"="c:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]

"avast"="c:\programme\Avast\avastUI.exe" [2011-05-10 3459712]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="c:\windows\system32\logonui.exe"

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           PDBoot.exe\0autocheck autochk *\0lsdelete

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-20 21:07        932288        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2011-01-31 08:44        35760        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Apple Mobile Device"=2 (0x2)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Trillian\\trillian.exe"=

"c:\\Programme\\Soulseek\\slsk.exe"=

"c:\\Programme\\DNA\\btdna.exe"=

"c:\\WINDOWS\\system32\\regsvr32.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\DC++\\DCPlusPlus.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version5\\TeamViewer_Service.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:Remote Desktop

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

.

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13.11.2010 10:46 64288]

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [24.06.2008 00:21 150568]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.07.2009 17:52 717296]

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [16.05.2011 21:35 441176]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16.05.2011 21:35 307928]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16.05.2011 21:35 19544]

R2 PDSched;PDScheduler;c:\programme\Raxco\PerfectDisk\PDSched.exe [01.11.2004 13:56 237635]

R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [16.03.2011 23:19 101904]

R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [22.12.2008 12:01 33792]

R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]

R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]

S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 2151128]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [12.08.2010 14:15 15232]

S3 PSTRIP;PSTRIP;\??\c:\windows\system32\DRIVERS\PSTRIP.SYS --> c:\windows\system32\DRIVERS\PSTRIP.SYS [?]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]

2008-06-18 14:04        8192        ----a-w-        c:\programme\PixiePack Codec Pack\InstallerHelper.exe

.

Inhalt des "geplante Tasks" Ordners

.

2011-06-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 09:11]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

TCP: Interfaces\{D8CD2916-45C8-485D-8247-70263CB330AF}: NameServer = 208.67.222.222,208.67.220.220

DPF: DirectAnimation Java Classes

DPF: Microsoft XML Parser for Java

FF - ProfilePath - c:\dokumente und einstellungen\Nemo\Anwendungsdaten\Mozilla\Firefox\Profiles\8o34vhwd.default\

FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official

FF - prefs.js: network.proxy.type - 2

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-mIRC - c:\programme\mIRC\mirc.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-06-04 02:59

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(832)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\atiadlxx.dll

.

Zeit der Fertigstellung: 2011-06-04  03:03:23

ComboFix-quarantined-files.txt  2011-06-04 01:03

.

Vor Suchlauf: 5 Verzeichnis(se), 17.338.728.448 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 29.257.920.512 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

;

;Warning: Boot.ini is used on Windows XP and earlier operating systems.

;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.

;

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /FASTDETECT /NOEXECUTE=OPTIN /TUTAG=2ZBRZ3

.

- - End Of File - - 9C4191431C8D048338DC8A165607E9EB

--- --- ---

http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten http://www.trojaner-board.de/images/icons/icon4.gif => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif

Zitat:

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

bekomme ich ja jetzt keine Hilfe, oder wie?

Vllt nimmst du erstmal die Hinweise zur Kenntnis??
Lies doch einfach mal was da steht und setz alles um, bevor du voreilig falsche Schlussfolgerungen ziehst.

die Hinweise hab ich zur Kenntnis genommen, noch bevor ich gepostet habe. die waren ja nicht zu übersehen.

zuerst hab ich alles über Windows und mein AntiVir programm versucht zu lösen. hab sogar bald 2h eine Analyse laufen lassen, und eine Startzeitprüfung vor dem Windowsstart ausgeführt, wo ich jede Menge Malware entfernt und in den Container verschoben habe. danach kam ich über google auf die Combo Fix Seite. auf der Seite gab es eine eindeutige, klare Anleitung in vielen Schritten, die ich so ausgeführt habe.

danach hab ich den Master Boot Record neu geschrieben, für die Win XP Installation, weil Windows nicht mehr hochfuhr. danach ging das aber wieder - aber der Fehler blieb.

ich kann also nicht sagen, dass ich dumm oder voreilig gehandelt habe.

und jetz brauch ich Hilfe und keine Diskussionen um Rechtfertigungen und Hinweise in Foren, denn Foren nutze ich schon lange, und kenne die Netiquette.

Zitat:

die Hinweise hab ich zur Kenntnis genommen, noch bevor ich gepostet habe. die waren ja nicht zu übersehen.

Zur Kenntnis genommen aber dann nicht richtig umgesetzt? Was ist zB mit den anderen Logs die du lt. dem Artikel für Hilfesuchende erstellen und posten sollst?

Zitat:

wo ich jede Menge Malware entfernt und in den Container verschoben habe

Und wo sind die Logs dazu?

Zitat:

ich kann also nicht sagen, dass ich dumm oder voreilig gehandelt habe.

Doch du hast voreilig Combofix ausgeführt, obwohl wir hier einen fetten unüberlesbaren Hinweis dazu haben.

Zitat:

und jetz brauch ich Hilfe und keine Diskussionen um Rechtfertigungen und Hinweise in Foren

Und ich möchte, dass du erstmal dich an die Regeln und Hinweise hälst.

Ok, tut mir leid. dann hab ich diesen speziellen Thread nicht gelesen, sondern nur auf deine Signatur geachtet. Das meinte ich nochmals mit "ich habs gelesen".

nun denn : ich hab hier in den Anhang die Logfiles hochgeladen.

zum einen mein Antivir Log.
zum zweiten das Log der ComboFix.
zum dritten das defogger.
und zum vierten die OTL Logs.

dann hab ich das GMER ausgeführt. hier trat jetzt eine Besonderheit auf. als ich es ausgeführt habe, wurde fast am Ende eine Meldung aufgezeigt, dass eine Rootkit-Aktion aufgedeckt wurde, in der ihr auch im Thread der Beachtung gewarnt habt. da steht, ich solle auf jeden Fall auf NO klicken. bei der Meldung gabs das allerdings nicht. dort ging nur auf OK zu klicken. stattdessen hab ich die Fenstermeldung über das Kreuz geschlossen.

danach kamen Fehlermeldungen und das System war total ausgebremst. die Fehlermeldung beinhalteten irgendwas mit SYS32 oder sowas. ich konnte nich mal mehr ein Notepad öffnen, diese Meldung kam immer wieder, irgendeine Zugriffsverletzung mit 0x.... bezog sich aber nicht auf den RAM.
danach hab ich den PC neugestartet. den Scan nochmal durchführen wollen, und erhielt einen Bluescreen, der von der Datei"pgloqkob.sys" ausgelöst wurde.

In der Folge hab ich dann einen Neustart probiert, vor den sich CHKDSK eingeschaltet hat. seit 14.30 Uhr bis grade eben lief mein System eine intensive Prüfung durch. das ist ziemlich happig. (gibts von chkdsk irgendwo abgelegt logfiles?)

So, und jetzt bin ich erstmal damit hier.
wenn ich den GMER nochmal ausführen soll, und ihr das wollt, müsst ihr mir das sagen. aber ich weiß nicht, ob ich den PC da wieder zum Absturz bringe.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2008.12.20 00:44:47 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

DRV - [2005.05.09 21:08:40 | 000,033,792 | ---- | M] (Team H2O) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cledx.sys -- (CLEDX)

[2010.04.09 18:58:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2011.06.05 02:52:29 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

[2010.11.13 10:41:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}

@Alternate Data Stream - 141 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Sehr gern.
Hier ist das logfile dazu.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

was mir noch aufgefallen ist : der PC is jetz übelst langsam. wenn ich z.B. was aus einem Ordner auf den Desktop kopiere, dauert das über 10 sekunden! auch der Explorer öffnet sich nicht gleich und Programme, die ich starte, brauchen jetzt länger.

ich habe TuneUp durchlaufen lassen, CCleaner.. keine Verbesserung :(

TuneUp kannst du vergessen.
Starte bitte den Rechner neu. Dann bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ok. dauert jetz ein bischen.

tut mir leid, hier geht nix mehr. ich bekomme beim Anmelden von Win XP nur noch Bluescreens. daraufhin wollte ich eine Reparaturinst. durchführen, auch das bringt nichts. selbst die Wiederherstellungskonsole nicht.

ich installiere jetzt Win XP neu.

Halt nicht so voreilig :)
Geht der abgesicherte Modus nicht mehr?
Seit wann hast du die BlueScreens? Wurde CF sauber ausgeführt oder ist es zwischendrin abgestürzt?

ich wollte CF ausführen. nach dem letzten Log hab ich dann den PC neugestartet, und war zwischenzeitlich in Win 7 unterwegs.

danach wieder in Win XP. es lief schweinisch langsam. selbst Wiederherstellung brachte nichts. ich versuche jetzt noch den abgesicherten Modus.

ebenfalls keine Chance.
ich habe einmal versucht , mit Abgesicherten Modus, dann mit Netzwerktreibern und "Zuletzt bekannte funktionierende Konfig.".

alles das half nichts. ich komme noch nicht mal mehr in das Setup rein von CD.
anbei die Screens dazu ..

ich habe jetzt daten gesichert von Win 7 aus, und installiere Win XP.

gibts da einen Tip, den ich befolgen sollte? ich würde sonst die xp cd einlegen, nachdem ich die HDD Partition in Win7 formatiert habe, und dann von Beginn auf installieren.

und was mich noch interessiert - wenn TuneUp so schlecht ist, ich es also vergessen kann, wie kann man sonst seinen PC mit einem ähnlichen Programm auf Vordermann halten?

Zitat:

ich habe jetzt daten gesichert von Win 7 aus, und installiere Win XP.

Das wird aber dien Win7 killen. XP erkennt parallel installierte neuere Versionen nicht. Nach der XP-Installation wird dein Win7 nicht mehr booten. Wieso nicht einfach nur das XP plattmachen und mit Win7 allein weitermachen?

Zitat:

und was mich noch interessiert - wenn TuneUp so schlecht ist, ich es also vergessen kann, wie kann man sonst seinen PC mit einem ähnlichen Programm auf Vordermann halten?

Indem man nicht planlos sein System zumüllt, nicht jeden Dreck an Software installiert, sondern sorgfältig sich überlegt was man braucht und was nicht.
Um mit der Zeit temp. Dateien zu löschen reicht eigentlich auch schon das Bordmittel Datenträgerbereinigung aus oder man nimmt den CCleaner. Sonstige Spielereien die TU so bietet sind ziemlicher Unsinn. Und Finger von Registry-Bereinigern, das bringt nicht außer einem hohen Risiko das System unbenutzbar zu machen. Auch der CCleaner hat so eine Funktion, einfach nicht nutzen.

das stimmt so nicht, denn ich habe etliche Foren im Netz gelesen, wo drin steht, dass man nach der XP Installation die Win7 DVD einlegt, und die Reparaturoptionen links unten wählen soll. darauf hin erkennt es wieder die Win 7 installation. habs vorhin grad ausprobiert, als ich plötzlich den Multibootscreen für XP und 7 nicht mehr da hatte.
daraufhin hab ich es so gemacht und es funktioniert, mehrmals.

warum? weil ich Musiker bin und meine MusikSoftware nur unter Win XP läuft, und noch nicht für Win 7 optimiert ist, selbst wenn ich sie als Admin ausführe. hab ich alles schon probiert.

außerdem trenne ich Musik (xp) von spielen (7).

glaub mir, ich halte mein System immer rein, so gut es ging. aber die installationen liefen jetzt schon lange, kann also sein, dass da irgendwas nicht mehr im Lot war. auf jeden Fall hatte ich ja zuerst XP drauf, und dann windows 7. wenn ich jetzt XP neu installiere, sollte das gehen.

geil. weißt du, was jetzt passiert?
wenn ich in Windows7 versuche zu formatieren, kommt die Meldung, dass die Formatierung nicht abgeschlossen werden kann.. verdammt.

Zitat:

dass man nach der XP Installation die Win7 DVD einlegt, und die Reparaturoptionen links unten wählen soll.

Ja lar, das geht. Man muss mit der WIn7-DVD den von XP vermurksten Bootloader wider richten, damit Win7 bootet. Was ich meinte ist, dass nach der XP-Installation WIn7 erstmal nicht benutzbar ist.

Zitat:

wenn ich in Windows7 versuche zu formatieren, kommt die Meldung, dass die Formatierung nicht abgeschlossen werden kann.. verdammt.

Daten sind gesichert? Dann boote von einer Ubuntu-CD und mach die Platte mit dem Werkzeug GParted flach. oder wenn du fit bist, an der Linuxkonsole :)

beides habe ich nicht. weder ubuntu noch linux.
ich werde jetzt wohl nicht erst noch ubuntu runterladen oder linux.

ich muss es jetzt erstmal hinbekommen, die xp partition unter 7 zu formatieren.
hast du gelesen, was jetzt passiert?
wenn ich in Windows7 versuche zu formatieren, kommt die Meldung, dass die Formatierung nicht abgeschlossen werden kann..

Zitat:

beides habe ich nicht. weder ubuntu noch linux.

Ubuntu ist eine Linuxdistro, mit Linux meint man eigentlich den Kernel...

Zitat:

ich muss es jetzt erstmal hinbekommen, die xp partition unter 7 zu formatieren.
hast du gelesen, was jetzt passiert?
wenn ich in Windows7 versuche zu formatieren, kommt die Meldung, dass die Formatierung nicht abgeschlossen werden kann..

Deswegen hab ich eigentlich gedacht, du machst erst unter Ubuntu mit GParted die Partitionen weg und versuchst dann nochmal dein Glück unter Windows.

Hallo cosinus,
ich bin zurück. Win XP ist sauber installiert. alles schick. läuft wie ne eins.

wie du allerdings beschrieben hast, kann ich jetzt win7 nicht starten. ich habe von der win 7 dvd mehrfach gebootet und er hat die win7 partition auch erkannt. danach hab ich die wiederherstellungsdingens ausgeführt, und plötzlich startet nur noch win7.

was mir fehlt, ist der auswahlbildschirm zwischen xp und 7.

ich musste daraufhin wieder von XP cd starten, dort die wiederherstellungskonsole nutzen und fixboot eintippen. jetzt startet wieder nur xp.

was kann ich da machen?

Du musst erst sauber XP installieren.
Danach das Win7-DVD Setup von der DVD starten (von der Win7DVD booten) und Win7 auf eine eigene Partition installieren! Das Setup der neueren Windowsversion erkennt ältere Windowsversionen und bindet diese automatisch ins Bootmenü ein.

Musst nachträglich nun wieder dein Win7 flottmachen, hier eine Anleitung auf die schnelle gefunden - wird zwar von Vista geschrieben, sollte aber mit Win7 kompatibel sein => http://forum.chip.de/windows-7/windo...e-1156022.html

Wozu eigentlich XP und Win7 parallel? Hast du da Uralt-Spezialprogramm die unter Win7 nicht laufen?

ich habs mit EasyBCD hinbekommen. einfach nen neuen Booteintrag geschrieben und die Pfade und Partitionen angegeben.

Win xp brauche ich für meine musikprogramme und plugins, die alle unter win 7 noch nicht laufen und optimiert sind. ich habs ja versucht, ging nicht.

also ich habe es hinbekommen. Windows XP läuft wieder.

ich habe jedoch immer noch ein Problem, was wieder auftauchte.
und zwar geht es um die Windows Sounds, die man sich einstellen kann.

also dieses Geräusch bei der Aktion, der Klick Sound bei dem Menü, der Ton bei dem Maileingang usw.

das Problem ist nun, dass zum Beispiel Windows Sounds bei Hinweisen nicht zu hören sind, obwohl ich sie eingestellt habe. oder wenn ich durch die Menüs klicke - dafür habe ich ebenfalls kleine KlickSounds eingestellt, oder wenn ich rechts auf ein Symbol klicke oder durch die Menüs schalte.

diese Sounds fehlen. sie waren seit der Installation kurz da, und ich habe nun alles installiert was ich brauche, ich weiß also nicht, wo jetzt der Wurm wieder drin ist.
statt der eingestellten Sounds kommt da hin und wieder dieser quäkende PC Internal Speaker. komischerweise tauchen die Sounds jedoch z.b. im Firefox oder Internet Explorer auf, weil sie im Grunde die gleichen Aktionen sind, wie in den Windows Menüs - aber dort tauchen sie nicht auf. ich hab das soundschema auch schon mal stumm und zurück auf das eingestellte gesetzt, bringt keine Abhilfe.

ich weiß, ein recht banales Problem, was eigentlich nur in der Registry zu finden sein kann - aber kann man hier Hilfe dafür bekommen?