|
Windows - Delayed Write Failed .. Failed to save all the components for the file \\System32\\ Hallo, Ich habe seit gestern Abend einen Virus auf meinem Computer, der Desktop komplett schwarz gemacht, alle Ordner die auf dem Desktop waren versteckt oder entfernt hat und die auch die Dateien der Schnellstartleiste versteckt hat. Wenn ich meinen Rechner starte kommt unzählige male diese Fehlermeldung Windows - Delayed Write Failed .. Failed to save all the components for the file \\System32\\00004509. The file is corrupted or unreadable. This may be caused by a PC hardware problem. Die Zahl hinter "\\System32\\" variiert bei den Fehlermeldungen immer. Ordner lassen sich nicht oder nur langsam öffnen und dann werden sie meistens als Leer angezeigt. bitte um Hilfe. |
hallo Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
|
Extras.TxtOTL Logfile: Code: OTL Extras logfile created on: 06.11.2011 16:11:49 - Run 1OTL.TxtOTL Logfile: Code: OTL logfile created on: 06.11.2011 16:11:49 - Run 1 |
hiho achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. [CODE] :OTL PRC - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\6DSS92c31Apgjk.exe (Recover Inc) PRC - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\yHafnqNqpiqS.exe (Recover Inc) O4 - HKLM..\Run: [yHafnqNqpiqS.exe] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\yHafnqNqpiqS.exe (Recover Inc) O4 - HKLM..\Run: [loOdXtPierPCxA.exe] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\loOdXtPierPCxA.exe (Recover Inc) [2011.11.05 20:23:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Tim182.TIM\Startmenü\Programme\System Restore [2011.11.05 20:22:30 | 000,353,280 | -H-- | C] (Recover Inc) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\6DSS92c31Apgjk.exe [2011.11.05 20:18:23 | 000,465,920 | -HS- | C] (Recover Inc) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\yHafnqNqpiqS.exe [2011.11.05 20:16:50 | 000,461,824 | -HS- | C] (Recover Inc) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\loOdXtPierPCxA.exe [2011.11.06 15:26:00 | 000,186,880 | -H-- | M] () -- C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\mahmud.exe [2011.11.05 20:26:09 | 000,000,448 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\6DSS92c31Apgjk [2011.11.05 20:23:31 | 000,000,312 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~6DSS92c31Apgjk [2011.11.05 20:23:31 | 000,000,216 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~6DSS92c31Apgjkr [2011.11.05 20:23:18 | 000,000,893 | -H-- | M] () -- C:\Dokumente und Einstellungen\Tim182.TIM\Desktop\System Restore.lnk :Files C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\6DSS92c31Apgjk.exe C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\yHafnqNqpiqS.exe :Commands [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. lade unhide: http://filepony.de/download-unhide/ doppelklicken, dateien werden sichtbar öffne arbeitsplatz öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. folge dem link, und lade das archiv im upload channel hoch http://www.trojaner-board.de/54791-anleitung-uploadchannel-trojaner-board.html |
Error: Unable to interpret <[CODE]> in the current context! ========== OTL ========== No active process named 6DSS92c31Apgjk.exe was found! No active process named yHafnqNqpiqS.exe was found! Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\yHafnqNqpiqS.exe not found. File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\yHafnqNqpiqS.exe not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\loOdXtPierPCxA.exe not found. File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\loOdXtPierPCxA.exe not found. Folder C:\Dokumente und Einstellungen\Tim182.TIM\Startmenü\Programme\System Restore\ not found. File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\6DSS92c31Apgjk.exe not found. File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\yHafnqNqpiqS.exe not found. File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\loOdXtPierPCxA.exe not found. File C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\mahmud.exe not found. File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\6DSS92c31Apgjk not found. File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~6DSS92c31Apgjk not found. File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~6DSS92c31Apgjkr not found. File C:\Dokumente und Einstellungen\Tim182.TIM\Desktop\System Restore.lnk not found. ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\6DSS92c31Apgjk.exe not found. File\Folder C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\yHafnqNqpiqS.exe not found. ========== COMMANDS ========== OTL by OldTimer - Version 3.2.31.0 log created on 11062011_163323 |
hat der upload des archivs geklappt? |
sehr gut hat geklappt. hatt unhide funktioniert? wie siehts im startmenü aus? unter alle programme alles da? |
Ja alle Ordner sind wieder da, schnellstartleiste ist auch wie vorher ebenso wie das startmenü :) wars das? Dann bedanke ich mich herzlich :) |
nö, wir müssen noch weiter schauen :-) combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
Wie lange soll der scan denn gehen? ich glaube mein pc hat sich grade dabei aufgehängt |
kann schon ne weile gehen. schau mal im taskmanager ob es da fehlermeldungen gibt. wenn nicht einfach noch mal 20 min warten, wenn nicht versuchen wirs anders. |
taskmanager lässt sich gar nciht öffnen also ich drücke strg+alt+entf und es passiert gar nichts :P weder fehlermeldung noch sonst was |
auch wenn du ins startmenü willst etc? dann hat er sich wirklich aufgehangen dann mal über den aus schalter abschalten, neustarten und dann in den abgesicherten modus gehen, von dort combofix ausführen |
also ich weiß nicht ich glaub er hat sich schon wieder aufgehängt ist wieder ne zeitlang nichts passiert dann hab ich mal auf das scan fenster geklickt und jetzt kann ich schon wieder nichts machen :P |
ok dann möchte ich, im normalen modus, erst mal n anderes tool versuchen http://www.trojaner-board.de/82358-t...entfernen.html ausführen, log posten, nichts löschen. |
aus irgendeinem grund kann ich den tdsskiller nicht öffnen nach dem download :/ ich mach nen doppelklick dann blinkt ganz kurz die Sanduhr auf aber es passiert nichts |
lösche deine kopie mal. dann gehe noch mal auf die download page, diesmal aber den download wie folgt starten, rechtsklick, ziehl speichern unter. dort in dateinamen den kompletten namen löschen, und schreiben: 3456.com speichern und noch mal ausführen. |
ich kanns immer noch nicht öffnen... |
wie siehts mit gmer aus, läuft das? |
ja funktioniert es kam beim öffnen eine fehlermeldung aber jetzt läuft er grade durch |
was für ne meldung? |
hier der log GMER Logfile: Code: GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover |
http://ad13.geekstogo.com/MBRCheck.exe bitte mal ausführen, log posten. |
LoadDriver( "C:\DOKUME~1\Tim182.TIM\LOKALE~1\Temp\pxtdipow.sys") error 0xC000010E: Ein dauerhafer Unterschlüssel kann nicht unter einem temporären übergeordneten Schlüssel erstellt werden. Das ist die meldung |
ok, dann mal wie beschrieben mbr check nutzen |
MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000000d Kernel Drivers (total 122): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80701000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF75A7000 ACPI.sys 0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7596000 pci.sys 0xF75F7000 isapnp.sys 0xF7A4F000 PCIIde.sys 0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS 0xF798B000 intelide.sys 0xF7607000 MountMgr.sys 0xF74D7000 ftdisk.sys 0xF798D000 dmload.sys 0xF74B1000 dmio.sys 0xF770F000 PartMgr.sys 0xF7617000 VolSnap.sys 0xF7499000 atapi.sys 0xF7627000 disk.sys 0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7479000 fltmgr.sys 0xF7467000 sr.sys 0xF7647000 Lbd.sys 0xF7450000 KSecDD.sys 0xF7B52000 Ntfs.sys 0xF7423000 NDIS.sys 0xF7409000 Mup.sys 0xB8FF2000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xB8FDE000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xB8FAF000 \SystemRoot\system32\DRIVERS\b57xp32.sys 0xF77DF000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xB8F8B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF77E7000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB8EF5000 \SystemRoot\system32\drivers\smwdm.sys 0xB8ED1000 \SystemRoot\system32\drivers\portcls.sys 0xBA6DC000 \SystemRoot\system32\drivers\drmk.sys 0xB8EAE000 \SystemRoot\system32\drivers\ks.sys 0xB8E96000 \SystemRoot\system32\drivers\aeaudio.sys 0xBA6CC000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF77EF000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF77F7000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xB8E82000 \SystemRoot\system32\DRIVERS\parport.sys 0xBA6BC000 \SystemRoot\system32\DRIVERS\serial.sys 0xBA78E000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF77FF000 \SystemRoot\system32\DRIVERS\fdc.sys 0xB9F8E000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xB9F7E000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7807000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xB9F6E000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xBA78A000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF7A87000 \SystemRoot\system32\DRIVERS\audstub.sys 0xB9F5E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xBA786000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB8E6B000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xB9F4E000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xB9F3E000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF780F000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB8E5A000 \SystemRoot\system32\DRIVERS\psched.sys 0xB9F2E000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7817000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF781F000 \SystemRoot\system32\DRIVERS\raspti.sys 0xB8E2A000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xB9F1E000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF79D3000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB8DCC000 \SystemRoot\system32\DRIVERS\update.sys 0xF7947000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF7526000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF76D7000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF79DD000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF77AF000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xA9864000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xA87E9000 \SystemRoot\System32\Drivers\Null.SYS 0xA9862000 \SystemRoot\System32\Drivers\Beep.SYS 0xA882A000 \SystemRoot\System32\drivers\vga.sys 0xA985C000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xA9646000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xA86DC000 \SystemRoot\System32\Drivers\Msfs.SYS 0xA86D4000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB0D58000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA8289000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA8230000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA8208000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA81E2000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA81C0000 \SystemRoot\System32\drivers\afd.sys 0xAE161000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7657000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xA86CC000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA8195000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA8125000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF76A7000 \SystemRoot\System32\Drivers\Fips.SYS 0xA7BFD000 \SystemRoot\system32\DRIVERS\snpstd.sys 0xBA71C000 \SystemRoot\system32\DRIVERS\STREAM.SYS 0xB0D44000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF7566000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xB93E8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xA5270000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF79D7000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xB09A0000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF7677000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA5258000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xA60D5000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xA88A0000 \SystemRoot\System32\drivers\Dxapi.sys 0xB09C8000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xAF6AC000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF065000 \SystemRoot\System32\ati2cqag.dll 0xBF0FE000 \SystemRoot\System32\atikvmag.dll 0xBF182000 \SystemRoot\System32\atiok3x2.dll 0xBF1CD000 \SystemRoot\System32\ati3duag.dll 0xBF572000 \SystemRoot\System32\ativvaxx.dll 0xBF9C6000 \SystemRoot\System32\ATMFD.DLL 0xA3041000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xB959F000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA1FD2000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA1F6D000 \SystemRoot\system32\drivers\wdmaud.sys 0xB0609000 \SystemRoot\system32\drivers\sysaudio.sys 0xA9854000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xA1AD7000 \SystemRoot\system32\DRIVERS\srv.sys 0xA1636000 \SystemRoot\System32\Drivers\HTTP.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 46): 0 System Idle Process 4 System 612 C:\WINDOWS\system32\smss.exe 668 csrss.exe 700 C:\WINDOWS\system32\winlogon.exe 744 C:\WINDOWS\system32\services.exe 756 C:\WINDOWS\system32\lsass.exe 944 C:\WINDOWS\system32\ati2evxx.exe 960 C:\WINDOWS\system32\svchost.exe 1040 svchost.exe 1136 C:\WINDOWS\system32\svchost.exe 1252 svchost.exe 1352 svchost.exe 1396 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe 1452 C:\WINDOWS\system32\ati2evxx.exe 1624 C:\WINDOWS\system32\spoolsv.exe 1728 C:\Programme\Avira\AntiVir Desktop\sched.exe 1824 C:\WINDOWS\explorer.exe 2024 svchost.exe 148 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 192 C:\WINDOWS\vsnpstd.exe 200 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 208 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 220 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe 232 C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe 272 C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe 304 C:\Programme\iTunes\iTunesHelper.exe 312 C:\WINDOWS\system32\ctfmon.exe 404 C:\Programme\ICQ7.0\ICQ.exe 528 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe 1164 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1208 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1652 C:\Programme\Bonjour\mDNSResponder.exe 1864 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 2052 C:\Programme\Java\jre6\bin\jqs.exe 2380 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe 2492 C:\WINDOWS\system32\svchost.exe 2672 C:\WINDOWS\system32\wuauclt.exe 3040 C:\Programme\iPod\bin\iPodService.exe 3080 unsecapp.exe 3236 wmiprvse.exe 3644 alg.exe 1672 C:\Programme\Mozilla Firefox\firefox.exe 2220 C:\Programme\Internet Explorer\iexplore.exe 3992 C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe 4048 C:\Dokumente und Einstellungen\Tim182.TIM\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: ST3160023AS, Rev: 3.43 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 MBR Code Faked! SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! |
nutzt du ne normale windows cd, recovery cd oder recovery partition? |
ne normale denk ich |
ok starte mal von der windows cd wie hier beschrieben: Beheben und Reparieren von Startproblemen in Windows Vista mit dem Hilfsprogramm "Bootrec.exe" in der Windows-Wiederherstellungsumgebung dann führe den befehl fixmbr aus mit ja bestätigen dann mit exit konsole verlassen cd raus, neustarten und dann die mbrcheck.exe noch mal ausführen log posten |
ich kann nicht wie in der beschreibung steht Bootrec.exe eingeben oder soll ich da schon Fixmbr eingeben? |
ich hab jetzt fixmbr eingegeben, mit welchem buchstaben muss ich das bestätigen? |
ah okay mit J :D ich habs ich starte jetzt den pc neu |
wieso kannst du das nicht, wo liegt das problem.. du musst schon genauer werden. |
der neue mbr log MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000000d Kernel Drivers (total 122): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80701000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF75A7000 ACPI.sys 0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7596000 pci.sys 0xF75F7000 isapnp.sys 0xF7A4F000 PCIIde.sys 0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS 0xF798B000 intelide.sys 0xF7607000 MountMgr.sys 0xF74D7000 ftdisk.sys 0xF798D000 dmload.sys 0xF74B1000 dmio.sys 0xF770F000 PartMgr.sys 0xF7617000 VolSnap.sys 0xF7499000 atapi.sys 0xF7627000 disk.sys 0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7479000 fltmgr.sys 0xF7467000 sr.sys 0xF7647000 Lbd.sys 0xF7450000 KSecDD.sys 0xF7B52000 Ntfs.sys 0xF7423000 NDIS.sys 0xF7409000 Mup.sys 0xB906F000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xB905B000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xB902C000 \SystemRoot\system32\DRIVERS\b57xp32.sys 0xF77D7000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xB9008000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF77DF000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB8F72000 \SystemRoot\system32\drivers\smwdm.sys 0xB8F4E000 \SystemRoot\system32\drivers\portcls.sys 0xB9DAB000 \SystemRoot\system32\drivers\drmk.sys 0xB8F2B000 \SystemRoot\system32\drivers\ks.sys 0xB8F13000 \SystemRoot\system32\drivers\aeaudio.sys 0xB9D9B000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF77E7000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF77EF000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xB8EFF000 \SystemRoot\system32\DRIVERS\parport.sys 0xB9D8B000 \SystemRoot\system32\DRIVERS\serial.sys 0xBA78E000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF77F7000 \SystemRoot\system32\DRIVERS\fdc.sys 0xB9D7B000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xB9D6B000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF77FF000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xB9D5B000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xBA78A000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xBA34D000 \SystemRoot\system32\DRIVERS\audstub.sys 0xB9D4B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xBA786000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB8EE8000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xB9D3B000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xB9D2B000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7807000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB8ED7000 \SystemRoot\system32\DRIVERS\psched.sys 0xB9D1B000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF780F000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7817000 \SystemRoot\system32\DRIVERS\raspti.sys 0xB8EA7000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF7526000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF79DB000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB8E49000 \SystemRoot\system32\DRIVERS\update.sys 0xF7947000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF74F6000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF7586000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF79E5000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7787000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xA98E1000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xA8E61000 \SystemRoot\System32\Drivers\Null.SYS 0xA98DF000 \SystemRoot\System32\Drivers\Beep.SYS 0xA88A5000 \SystemRoot\System32\drivers\vga.sys 0xA98D7000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xA98D1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xA876F000 \SystemRoot\System32\Drivers\Msfs.SYS 0xA8767000 \SystemRoot\System32\Drivers\Npfs.SYS 0xBA7A2000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA82CE000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA8275000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA8220000 \SystemRoot\system32\DRIVERS\netbt.sys 0xA81FA000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xA81D8000 \SystemRoot\System32\drivers\afd.sys 0xB09E1000 \SystemRoot\system32\DRIVERS\netbios.sys 0xB0971000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xACFFA000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA8192000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA8122000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF7667000 \SystemRoot\System32\Drivers\Fips.SYS 0xA7D05000 \SystemRoot\system32\DRIVERS\snpstd.sys 0xAF824000 \SystemRoot\system32\DRIVERS\STREAM.SYS 0xBA7E4000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xB0D95000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF775F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xA791C000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xA5209000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xA668B000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xA8831000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA51F1000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xA569D000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xA8879000 \SystemRoot\System32\drivers\Dxapi.sys 0xB943D000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xA79A1000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\ati2dvag.dll 0xBF065000 \SystemRoot\System32\ati2cqag.dll 0xBF0FE000 \SystemRoot\System32\atikvmag.dll 0xBF182000 \SystemRoot\System32\atiok3x2.dll 0xBF1CD000 \SystemRoot\System32\ati3duag.dll 0xBF572000 \SystemRoot\System32\ativvaxx.dll 0xBF9C6000 \SystemRoot\System32\ATMFD.DLL 0xA2FDA000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA6434000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA1F43000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA1F06000 \SystemRoot\system32\drivers\wdmaud.sys 0xAE22E000 \SystemRoot\system32\drivers\sysaudio.sys 0xF79CB000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xA1A70000 \SystemRoot\system32\DRIVERS\srv.sys 0xA15AF000 \SystemRoot\System32\Drivers\HTTP.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 46): 0 System Idle Process 4 System 612 C:\WINDOWS\system32\smss.exe 668 csrss.exe 700 C:\WINDOWS\system32\winlogon.exe 744 C:\WINDOWS\system32\services.exe 756 C:\WINDOWS\system32\lsass.exe 948 C:\WINDOWS\system32\ati2evxx.exe 964 C:\WINDOWS\system32\svchost.exe 1044 svchost.exe 1140 C:\WINDOWS\system32\svchost.exe 1240 svchost.exe 1392 C:\WINDOWS\system32\ati2evxx.exe 1444 svchost.exe 1544 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe 1688 C:\WINDOWS\system32\spoolsv.exe 1744 C:\Programme\Avira\AntiVir Desktop\sched.exe 1868 C:\WINDOWS\explorer.exe 272 svchost.exe 304 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 424 C:\WINDOWS\vsnpstd.exe 444 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 456 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 480 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe 484 C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe 544 C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe 592 C:\Programme\iTunes\iTunesHelper.exe 604 C:\WINDOWS\system32\ctfmon.exe 1092 C:\Programme\ICQ7.0\ICQ.exe 1216 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe 1928 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1952 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 280 C:\Programme\Bonjour\mDNSResponder.exe 1120 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1768 C:\Programme\Java\jre6\bin\jqs.exe 2848 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe 2916 C:\WINDOWS\system32\svchost.exe 2984 C:\WINDOWS\system32\wuauclt.exe 3436 C:\Programme\iPod\bin\iPodService.exe 3464 unsecapp.exe 3824 wmiprvse.exe 3952 alg.exe 2668 C:\Dokumente und Einstellungen\Tim182.TIM\Desktop\MBRCheck.exe 2732 wmiprvse.exe 2868 C:\Programme\Mozilla Firefox\firefox.exe 1788 C:\Programme\Internet Explorer\iexplore.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: ST3160023AS, Rev: 3.43 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 MBR Code Faked! SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! |
hatte das mit fixmbr geklappt? |
ja ich musste nur den schritt mit BOOTrec.exe aus irgendeienem ghrund nciht machen vllt. weil ich windows xp habe und nciht vista, keine ahnung, aber mit fixmbr hats dann geklappt |
ajasorry hatte die falsche anleitung erwischt. wie läuft das system im moment? |
ohne probleme eigentlich alles ist da wo es hingehört, es läuft alles gewohnt schnell und ich erhalte auch keine weiteren fehlermeldungen |
ok lade den CCleaner standard: CCleaner Download - CCleaner 3.12.1572 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Ad-Aware Lavasoft 20.02.2010 notwendig Ad-Aware Email Scanner for Outlook Lavasoft 20.02.2010 2,08MB 1.0.0 notwendig Adobe Flash Player 10 ActiveX Adobe Systems, Inc. 19.07.2010 1,78MB 10.0.12.36 notwendig Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 06.11.2011 10.0.42.34 notwendig Adobe Flash Player 11 Plugin Adobe Systems Incorporated 06.11.2011 11.0.1.152 notwendig Adobe Reader 9.4.5 - Deutsch Adobe Systems Incorporated 23.08.2011 176,5MB 9.4.5 notwendig AMR to MP3 Converter 1.4 amrtomp3converter.com 18.07.2011 notwendig Apple Application Support Apple Inc. 16.06.2011 52,7MB 1.5.2 unnötig Apple Mobile Device Support Apple Inc. 16.06.2011 22,1MB 3.4.1.2 unnötig Apple Software Update Apple Inc. 24.07.2011 2,38MB 2.1.3.127 notwendig ATI - Dienstprogramm zur Deinstallation der Software 06.11.2011 6.14.10.1022 notwendig ATI Catalyst Control Center 2.009.0721.1106 notwendig ATI Display Driver 06.11.2011 8.593.100.2-090721a-085695C-ATI notwendig Audacity 1.2.6 06.11.2011 notwendig Avira AntiVir Personal - Free Antivirus Avira GmbH 06.11.2011 10.2.0.704 notwendig AviSynth 2.5 06.11.2011 unbekannt Babylon toolbar 06.11.2011 unnötig Bonjour Apple Inc. 24.07.2011 0,73MB 3.0.0.2 Broadcom Management Programs Broadcom Corporation 01.02.2010 8,97MB 11.67.01 unbekannt Broadcom NetXtreme Ethernet Controller Broadcom Corporation 01.02.2010 0,57MB 11.32.03 unbekannt CCleaner Piriform 06.11.2011 3.12 notwendig Facebook Video Calling 1.0.0.8714 Skype Limited 12.10.2011 3,93MB 1.0.8714 notwendig FL Studio 8 Image-Line bvba 06.11.2011 notwendig FoxTab Audio Converter (remove only) 06.11.2011 notwendig Free Audio CD Burner version 1.3 DVDVideoSoft Limited. 26.05.2010 notwendig Free Mp3 Wma Converter V 1.9 Koyote Soft 16.03.2010 1.9.0.0 notwendig Free YouTube Download 2.6 DVDVideoSoft Limited. 20.05.2010 unnötig Free YouTube to MP3 Converter version 3.5 DVDVideoSoft Limited. 26.05.2010 unnötig Google Toolbar for Internet Explorer Google Inc. 06.11.2011 7.1.2003.1856 unnötig GUILD WARS 06.11.2011 notwendig Guitar Pro 5.2 Arobas Music 06.11.2011 notwendig ICQ7 ICQ 01.02.2010 7.0 notwendig IL Download Manager Image-Line 06.11.2011 unbekannt iTunes Apple Inc. 15.09.2011 141,2MB 10.4.1.10 notwendig Java(TM) 6 Update 20 Sun Microsystems, Inc. 25.04.2010 90,6MB 6.0.200 notwendig Messenger Plus! Live Yuna Software 06.11.2011 4.83.0.376 notwendig Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 13.10.2011 183,4MB 2.2.30729 notwendig Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 24.06.2010 209MB 3.2.30729 notwendig Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 07.10.2010 notwendig Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 13.03.2010 1 notwendig Microsoft Office File Validation Add-In Microsoft Corporation 13.09.2011 11,2MB 14.0.5130.5003 notwendig Microsoft Office Standard Edition 2003 Microsoft Corporation 13.10.2011 560MB 11.0.8173.0 notwendig Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation 13.03.2010 notwendig Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 02.02.2010 0,15MB 9.0.30729.4148 notwendig Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 04.01.1980 10,2MB 9.0.30729.5570 notwendig Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 01.02.2010 10,3MB 9.0.30729 notwendig Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 28.03.2010 10,2MB 9.0.30729.4148 notwendig Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 16.06.2011 10,2MB 9.0.30729.6161 notwendig Microsoft Windows-Journal-Viewer Microsoft 22.07.2010 3,77MB 1.5.2316.0 notwendig Mozilla Firefox 7.0.1 (x86 de) Mozilla 06.11.2011 7.0.1 notwendig MSXML 4.0 SP2 (KB954430) Microsoft Corporation 17.07.2010 1,42MB 4.20.9870.0 notwendig MSXML 4.0 SP2 (KB973688) Microsoft Corporation 17.07.2010 2,77MB 4.20.9876.0 notwendig No23 Recorder No23 04.10.2010 2,44MB 2.1.0.3 notwendig Pando Media Booster Pando Networks Inc. 06.11.2011 2.3.5.6 unbekannt PoiZone Image-Line bvba 06.11.2011 unbekannt QuickTime Apple Inc. 15.09.2011 73,0MB 7.70.80.34 notwendig Skype Toolbars Skype Technologies S.A. 04.04.2010 5,25MB 1.0.4051 unnötig Skype™ 4.2 Skype Technologies S.A. 04.04.2010 31,8MB 4.2.155 notwendig SoundMAX Analog Devices 06.11.2011 5.12.01.4070 notwendig Text-To-Speech-Runtime Magix Development GmbH 17.07.2010 0,25MB 1.0.0.0 unnötig Toxic Biohazard Image-Line bvba 06.11.2011 unbekannt TRUST 120 SPACEC@M 06.11.2011 notwendig Uninstall 1.0.0.1 26.05.2010 notwendig VLC media player 1.0.5 VideoLAN Team 06.11.2011 1.0.5 Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation 01.02.2010 notwendig Windows Internet Explorer 7 Microsoft Corporation 01.02.2010 20070813.185237 notwendig Windows Live Anmelde-Assistent Microsoft Corporation 01.02.2010 1,93MB 5.000.818.5 notwendig Windows Live Essentials Microsoft Corporation 11.02.2011 14.0.8117.0416 notwendig Windows Live-Uploadtool Microsoft Corporation 01.02.2010 0,22MB 14.0.8014.1029 notwendig Windows Media Format 11 runtime 06.11.2011 notwendig Windows Media Player 11 06.11.2011 notwendig Windows XP Service Pack 3 Microsoft Corporation 01.02.2010 20080414.031514notwendig WinRAR 06.11.2011 notwendig Yontoo Layers Runtime 1.10.01 Yontoo LLC 06.11.2011 1.10.01 unbekannt |
deinstaliere: Adobe Reader neueste: Adobe - Adobe Reader herunterladen - Alle Versionen bitte one mcafee instalieren deinstaliere: AviSynth Babylon toolbar Bonjour Free YouTube beide. Google Toolbar IL Download Java neueste version hier: Java SE Downloads lade jre6 deinstaliere PoiZone Skype Toolbars Skype™ öffnen, update instalieren Text-To-Speech Toxic Windows Live Essentials du hast doch schon adaware und avira, das reicht doch :-) Yontoo bereinige mit dem ccleaner. |
alles erledigt nure hab ich ausversehn bei google toolbar und windows live essentials nicht auf deeinstalieren sondern auf eintrag löschen geklickt, macht das was? |
also ist das jetzt fertig alles? :P |
sorry. ist die google toolbar denn noch in einem browser zu sehen? |
joa, im internet explorer mit dem ich üprigens ein neues problem habe, und zwar weil ich eig, firefox benutze aber wen nich ncihts am pc mache nach ein paar minuten der internet explorer sich im hintergrund öffnet ohne sich in der taskleiste anzuzeigen das seh ich dann acuh nur wenn ich zwischen geöffneten programmen über Alt+Tabtaste umherschalte, dann seh ich das der explorer geöffnet ist aber nachdem ich mit dem umherschalten beendet habe ist es auch direkt wieder weg kansnt du mir da auc hdirekt helfen oder soll cih lieber nen neues thema erstellen? :) |
also ist der dann auch nicht mehr im taskmanager? "iexplore.exe" ? |
doch da ist er noch soll ich den prozess dort mal beenden? |
nein wir müssen mal gucken warum er dort ist. instaliere mal revo: http://www.hijackthis-forum.de/tipps...installer.html und gucke mal ob du da die google toolbar noch findest, falls ja, weg damit. neustart. dann mal ein neues otl log posten. |
hab die tool bar nicht gefundenOTL Logfile: Code: OTL logfile created on: 08.11.2011 21:08:02 - Run 2 |
versuch mal dieses: Google Toolbar deinstallieren - Google Toolbar-Hilfe |
okay hab ich, und was mach ich damit der internet explorer sich nciht mehr öffnet? |
http://www.trojaner-board.de/80603-e...ner-nod32.html eset online scan log posten |
ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=1821fa323f80d344848ae3869848e5bf # end=finished # remove_checked=true # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-11-09 05:46:32 # local_time=2011-11-09 06:46:32 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1031 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1797 16775129 100 94 265066 86337709 260289 0 # compatibility_mode=8192 67108863 100 0 3771 3771 0 0 # scanned=109355 # found=9 # cleaned=9 # scan_time=4878 C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Tarma Installer\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}\_Setupx.dll Variante von Win32/Adware.Yontoo.B Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\738c58fd-33640dba Variante von Win32/Kryptik.VAQ Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temp\YontooSetup-Silent.exe möglicherweise Variante von Win32/Adware.DCVNUWP Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temp\is1972027439\MyBabylonTB.exe Variante von Win32/Toolbar.Babylon Anwendung (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\Programme\FoxTabAudioConverter\AudioConverter.exe Variante von Win32/InstallCore.A Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\Programme\Yontoo Layers Runtime\YontooIEClient.dll Variante von Win32/Adware.Yontoo.A Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\_OTL\MovedFiles\11062011_162811\C_Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\6DSS92c31Apgjk.exe Win32/Adware.HDDRescue.AB Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\_OTL\MovedFiles\11062011_162811\C_Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\loOdXtPierPCxA.exe Variante von Win32/Kryptik.VAL Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\_OTL\MovedFiles\11062011_162811\C_Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\yHafnqNqpiqS.exe Variante von Win32/Kryptik.VAL Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C |
hiho achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code: :OTL• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. |
OTL Logfile: Code: OTL logfile created on: 10.11.2011 15:46:23 - Run 3 |
du solltest auf fix klicken bitte. und vorher das script eintragen. |
All processes killed ========== OTL ========== ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: All Users.WINDOWS User: Default User User: Default User.WINDOWS User: LocalService User: LocalService.NT-AUTORITÄT User: LocalService.NT-AUTORITÄT.000 User: NetworkService User: NetworkService.NT-AUTORITÄT User: NetworkService.NT-AUTORITÄT.000 User: Tim182.TIM ->Flash cache emptied: 3743 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: All Users.WINDOWS User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes User: Default User.WINDOWS ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 4183041 bytes User: LocalService.NT-AUTORITÄT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService.NT-AUTORITÄT.000 ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService.NT-AUTORITÄT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 402 bytes User: NetworkService.NT-AUTORITÄT.000 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 450775131 bytes User: Tim182.TIM ->Temp folder emptied: 6383360541 bytes ->Temporary Internet Files folder emptied: 41225967 bytes ->Java cache emptied: 56849216 bytes ->FireFox cache emptied: 49575921 bytes ->Apple Safari cache emptied: 12767232 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2148906 bytes %systemroot%\System32 .tmp files removed: 2833287 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 25437145 bytes RecycleBin emptied: 111282270 bytes Total Files Cleaned = 6.810,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 11102011_162905 Files\Folders moved on Reboot... File\Folder C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temp\hsperfdata_Tim182\1128 not found! C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H20ZTHYR\2_4890[1].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H20ZTHYR\main[1].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H20ZTHYR\showbanner[1].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DMOSG6M2\searchTrack[1].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9MYQ1S54\searchTrack[1].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9MYQ1S54\searchTrack[2].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XY0B1OY\c198ef9a743d26b2383efa0a84ebe42e[1].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XY0B1OY\searchTrack[1].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XY0B1OY\showbanner[1].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XY0B1OY\showbanner[2].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XY0B1OY\tagcloud[1].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat moved successfully. Registry entries deleted on Reboot... |
rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung. wähle auf allen laufwerken deaktivieren, bestätigen. übernehmen /ok 10 min warten, wieder einschalten. start ausführen msconfig.exe enter systemstart überall mal den haken raus außer bei avgnt ok klicken pc neustarten geht der ie noch automatisch auf? |
keine ahnung passiert ja nur manchmal wenn ich grade nichts am pc mache :D also ich hab das jetzt alles gemacht und jetzt? jetzt wird icq zumbeispiel nichtmehr mitgestartet wenn ich den pc hochfahren lasse kann ich das wiede rso einstellen das er sich startet? |
ja, der rest bleibt aber erst mal so. beobachte ob das mit dem ie noch passiert und was du da offen hattest. |
okay also ich hab jetzt icq wieder eingeschaltet und habe bemerkt das obwohl ich ja eig. überall außer bei avgnt den haken rausgemacht habe der haken jeztt auch wieder in ctfmon und bei googletoolbarnotifier ist macht das was? |
und was mir momeentan auch auffällt ist das pop ups sich irgendwie im normalen fenster öffnen ich geh beispielsweise auf nen wikipedia artikel und werde dann zu irgendner anderen seite weitergeleitet und muss dann erstnochmal auf zurück klicken um zum artikel zu kommen |
na das hättest mir ja schon mal sagen können. bitte lade cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html anders als beschrieben, im normalen modus ausführen. rechtsklick avira guard, deaktivieren, alle programme wie icq ausschalten. erst mal den schnell scan machen, und die csv datei posten zu finden unter Dokumente\DrWeb\CSV |
ich find die cvs nich |
scan schon fertig? dann gib mal über die windows suche *.cvs ein und lass den computer durchsuchen. in den eigenschaften kann man dann den pfad sehen. |
also ich find nichts :D |
okay ich habs aber ich kriegs nciht hin es hoch zu laden weil es zu lang ist |
packen und archiv anhängen bitte |
kannst du mir nochmla den link dahin schicken? |
welchen? du sollst nur auf antworten klicken und die datei anhängen bitte. oder, falls zu groß File-Upload.net - Ihr kostenloser File Hoster! dort hochladen und download link posten. |
hxxp://www.file-upload.net/download-3873265/CureIt.rar.html |
hiho achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code: :OTL• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffnet sich denn ne spezielle seite? ich kann nichts finden mehr bisher... |
All processes killed ========== OTL ========== HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully! HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully! HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully! Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully. Prefs.js: "hxxp://search.babylon.com/?babsrc=SP_ssmntrId=4e357043000000000000000ffe0ce4catlver=1.4.19.19instlRef=sstaffID=17160q=" removed from keyword.URL C:\Programme\Mozilla Firefox\searchplugins\babylon.xml moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\@facebook.com/FBPlugin,version=1.0.3\ deleted successfully. File C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Facebook\npfbplugin_1_0_3.dll not found. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: All Users.WINDOWS User: Default User User: Default User.WINDOWS User: LocalService User: LocalService.NT-AUTORITÄT User: LocalService.NT-AUTORITÄT.000 User: NetworkService User: NetworkService.NT-AUTORITÄT User: NetworkService.NT-AUTORITÄT.000 User: Tim182.TIM ->Flash cache emptied: 1633 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: All Users.WINDOWS User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User.WINDOWS ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService.NT-AUTORITÄT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService.NT-AUTORITÄT.000 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: NetworkService.NT-AUTORITÄT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: NetworkService.NT-AUTORITÄT.000 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Tim182.TIM ->Temp folder emptied: 3570721 bytes ->Temporary Internet Files folder emptied: 25813765 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 49065433 bytes ->Apple Safari cache emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 90 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 75,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 11112011_173307 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat moved successfully. Registry entries deleted on Reboot... |
ich krieg jetzt immer sone meldung beim neustarten weil ich ja alle möglocen sachen nicht mehr starten lasse oder so einfahc ignorieren? |
hi, öffnet sich eine bestimmte seite im browser? |
also grade öffent sich nciths mehr wenn es nochmal vorkommen sollte sag ich dir das |
okay de rineternet explorer hat sich widermal geöffnet :P |
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
|
es kommt wenn ich lange nicht am pc war auch manchmal ne meldung vom internet explorer von wegen enter key or term oder sowas |
na oder so was nützt mir nichts... |
ich kann asw nicht öffnen |
okay wenn ich auf diese popups geleitet werde kam bei letzten mal die seite hxxp://www.get-answers-fast.com/jump1/?affiliate=ss23&subid=4876_20342&terms=feivel%20der%20mauswanderer&sid=Z502044414%40EzX3IzN0IzMy8FM1QTMfZjMfhDMy8VM1ATO0ATMyMTM&a=ff67&mr=1&rc=0 und dann die hxxp://www1.12finder.de/websearch?query=Feivel+Der+Mauswanderer&site=na2&ref=ss23-4876_20342 |
und wieder alsoes öffnet sich immer get-an-answer-fast.com |
ich glaube das wird sowas wie das hier erwähnte problem sein "Find Fast Answers" Google Redirect Virus hxxp://www.bleepingcomputer.com/forums/topic412458.html |
Downloade Dir bitte RKUnhookerLE und speichere die Datei auf deinem Desktop.
Zitat:
|
RkU Version: 3.8.389.593, Type LE (SR2) ============================================== OS Name: Windows XP Version 5.1.2600 (Service Pack 3) Number of processors #2 ============================================== >Drivers ============================================== 0xB8EC7000 C:\WINDOWS\system32\DRIVERS\ati2mtag.sys 3891200 bytes (ATI Technologies Inc., ATI Radeon WindowsNT Miniport Driver) 0xBF1CD000 C:\WINDOWS\System32\ati3duag.dll 3821568 bytes (ATI Technologies Inc. , ati3duag.dll) 0xBF572000 C:\WINDOWS\System32\ativvaxx.dll 2674688 bytes (ATI Technologies Inc. , Radeon Video Acceleration Universal Driver) 0x804D7000 C:\WINDOWS\system32\ntoskrnl.exe 2269184 bytes (Microsoft Corporation, NT-Kernel und -System) 0x804D7000 PnpManager 2269184 bytes 0x804D7000 RAW 2269184 bytes 0x804D7000 WMIxWDM 2269184 bytes 0xBF800000 Win32k 1859584 bytes 0xBF800000 C:\WINDOWS\System32\win32k.sys 1859584 bytes (Microsoft Corporation, Mehrbenutzer-Win32-Treiber) 0xBF065000 C:\WINDOWS\System32\ati2cqag.dll 626688 bytes (ATI Technologies Inc., Central Memory Manager / Queue Server Module) 0xB8DCA000 C:\WINDOWS\system32\drivers\smwdm.sys 614400 bytes (Analog Devices, Inc., SoundMAX Integrated Digital Audio ) 0xF7B52000 Ntfs.sys 577536 bytes (Microsoft Corporation, NT File System Driver) 0xBF0FE000 C:\WINDOWS\System32\atikvmag.dll 540672 bytes (ATI Technologies Inc., Virtual Command And Memory Manager) 0xA80D6000 C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 458752 bytes (Microsoft Corporation, Windows NT SMB Minirdr) 0xB8CA1000 C:\WINDOWS\system32\DRIVERS\update.sys 385024 bytes (Microsoft Corporation, Update Driver) 0xA81E1000 C:\WINDOWS\system32\DRIVERS\tcpip.sys 364544 bytes (Microsoft Corporation, TCP/IP Protocol Driver) 0xA19B5000 C:\WINDOWS\system32\DRIVERS\srv.sys 360448 bytes (Microsoft Corporation, Server driver) 0xBF012000 C:\WINDOWS\System32\ati2dvag.dll 339968 bytes (ATI Technologies Inc., ATI Radeon WindowsNT Display Driver) 0xBF182000 C:\WINDOWS\System32\atiok3x2.dll 307200 bytes (ATI Technologies Inc., Ring 0 x2 component) 0xA7EA2000 C:\WINDOWS\system32\DRIVERS\snpstd.sys 303104 bytes (-, PC Camera driver) 0xBF9C6000 C:\WINDOWS\System32\ATMFD.DLL 290816 bytes (Adobe Systems Incorporated, Windows NT OpenType/Type 1 Font Driver) 0xA1604000 C:\WINDOWS\System32\Drivers\HTTP.sys 266240 bytes (Microsoft Corporation, HTTP Protocol Stack) 0xB8CFF000 C:\WINDOWS\system32\DRIVERS\rdpdr.sys 196608 bytes (Microsoft Corporation, Microsoft RDP Device redirector) 0xF75A7000 ACPI.sys 192512 bytes (Microsoft Corporation, ACPI-Treiber für NT) 0xB8E84000 C:\WINDOWS\system32\DRIVERS\b57xp32.sys 192512 bytes (Broadcom Corporation, Broadcom NetXtreme Gigabit Ethernet NDIS5.1 Driver.) 0xA1B25000 C:\WINDOWS\system32\DRIVERS\mrxdav.sys 184320 bytes (Microsoft Corporation, Windows NT WebDav Minirdr) 0xF7435000 NDIS.sys 184320 bytes (Microsoft Corporation, NDIS 5.1 wrapper driver) 0xA1162000 C:\WINDOWS\system32\drivers\kmixer.sys 176128 bytes (Microsoft Corporation, Kernel Mode Audio Mixer) 0xA8146000 C:\WINDOWS\system32\DRIVERS\rdbss.sys 176128 bytes (Microsoft Corporation, Redirected Drive Buffering SubSystem Driver) 0xA81B9000 C:\WINDOWS\system32\DRIVERS\netbt.sys 163840 bytes (Microsoft Corporation, MBT Transport driver) 0xA582F000 C:\WINDOWS\system32\DRIVERS\avipbb.sys 159744 bytes (Avira GmbH, Avira Driver for Security Enhancement) 0xF74B1000 dmio.sys 155648 bytes (Microsoft Corp., Veritas Software, E/A-Treiber für NT Datenträgerverwaltung) 0xA8193000 C:\WINDOWS\system32\DRIVERS\ipnat.sys 155648 bytes (Microsoft Corporation, IP Network Address Translator) 0xA113E000 C:\WINDOWS\System32\Drivers\Fastfat.SYS 147456 bytes (Microsoft Corporation, Fast FAT File System Driver) 0xB8DA6000 C:\WINDOWS\system32\drivers\portcls.sys 147456 bytes (Microsoft Corporation, Port Class (Class Driver for Port/Miniport Devices)) 0xB8E60000 C:\WINDOWS\system32\DRIVERS\USBPORT.SYS 147456 bytes (Microsoft Corporation, USB 1.1 & 2.0 Port Driver) 0xB8D83000 C:\WINDOWS\system32\drivers\ks.sys 143360 bytes (Microsoft Corporation, Kernel CSA Library) 0xA8171000 C:\WINDOWS\System32\drivers\afd.sys 139264 bytes (Microsoft Corporation, Ancillary Function Driver for WinSock) 0x80701000 ACPI_HAL 134400 bytes 0x80701000 C:\WINDOWS\system32\hal.dll 134400 bytes (Microsoft Corporation, Hardware Abstraction Layer DLL) 0xF7479000 fltmgr.sys 131072 bytes (Microsoft Corporation, Microsoft Filesystem Filter Manager) 0xF74D7000 ftdisk.sys 126976 bytes (Microsoft Corporation, FT-Datenträgertreiber) 0xF741B000 Mup.sys 106496 bytes (Microsoft Corporation, Multiple UNC Provider driver) 0xB8D6B000 C:\WINDOWS\system32\drivers\aeaudio.sys 98304 bytes (Andrea Electronics Corporation, Andrea Audio Noise Cancellation Driver) 0xF7499000 atapi.sys 98304 bytes (Microsoft Corporation, IDE/ATAPI Port Driver) 0xA5817000 C:\WINDOWS\System32\Drivers\dump_atapi.sys 98304 bytes 0xA2E07000 C:\WINDOWS\system32\DRIVERS\avgntflt.sys 94208 bytes (Avira GmbH, Avira Minifilter Driver) 0xF7462000 KSecDD.sys 94208 bytes (Microsoft Corporation, Kernel Security Support Provider Interface) 0xB8D40000 C:\WINDOWS\system32\DRIVERS\ndiswan.sys 94208 bytes (Microsoft Corporation, MS PPP Framing Driver (Strong Encryption)) 0xA1C70000 C:\WINDOWS\system32\drivers\wdmaud.sys 86016 bytes (Microsoft Corporation, MMSYSTEM Wave/Midi API mapper) 0xB8D57000 C:\WINDOWS\system32\DRIVERS\parport.sys 81920 bytes (Microsoft Corporation, Treiber für parallelen Anschluss) 0xB8EB3000 C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS 81920 bytes (Microsoft Corporation, Video Port Driver) 0xA823A000 C:\WINDOWS\system32\DRIVERS\ipsec.sys 77824 bytes (Microsoft Corporation, IPSec Driver) 0xBF000000 C:\WINDOWS\System32\drivers\dxg.sys 73728 bytes (Microsoft Corporation, DirectX Graphics Driver) 0xF7596000 pci.sys 69632 bytes (Microsoft Corporation, NT-Plug & Play PCI-Enumerator) 0xB8D2F000 C:\WINDOWS\system32\DRIVERS\psched.sys 69632 bytes (Microsoft Corporation, MS QoS Packet Scheduler) 0xF7536000 C:\WINDOWS\System32\Drivers\Cdfs.SYS 65536 bytes (Microsoft Corporation, CD-ROM File System Driver) 0xB9C17000 C:\WINDOWS\system32\DRIVERS\cdrom.sys 65536 bytes (Microsoft Corporation, SCSI CD-ROM Driver) 0xB9C27000 C:\WINDOWS\system32\DRIVERS\serial.sys 65536 bytes (Microsoft Corporation, Treiber für serielle Geräte) 0xB9C47000 C:\WINDOWS\system32\drivers\drmk.sys 61440 bytes (Microsoft Corporation, Microsoft Kernel DRM Descrambler Filter) 0xF7647000 Lbd.sys 61440 bytes (Lavasoft AB, Boot Driver) 0xB9C07000 C:\WINDOWS\system32\DRIVERS\redbook.sys 61440 bytes (Microsoft Corporation, Redbook-Audiofiltertreiber) 0xBA681000 C:\WINDOWS\system32\drivers\sysaudio.sys 61440 bytes (Microsoft Corporation, System Audio WDM Filter) 0xF76D7000 C:\WINDOWS\system32\DRIVERS\usbhub.sys 61440 bytes (Microsoft Corporation, Default Hub Driver for USB) 0xF7617000 VolSnap.sys 57344 bytes (Microsoft Corporation, Volumeschattenkopie-Treiber) 0xF7637000 C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS 53248 bytes (Microsoft Corporation, SCSI Class System Dll) 0xB9C37000 C:\WINDOWS\system32\DRIVERS\i8042prt.sys 53248 bytes (Microsoft Corporation, i8042-Anschlusstreiber) 0xB9BE7000 C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 53248 bytes (Microsoft Corporation, RAS L2TP mini-port/call-manager driver) 0xADEA6000 C:\WINDOWS\system32\DRIVERS\STREAM.SYS 53248 bytes (Microsoft Corporation, WDM CODEC Class Device Driver 2.0) 0xB9BC7000 C:\WINDOWS\system32\DRIVERS\raspptp.sys 49152 bytes (Microsoft Corporation, Peer-to-Peer Tunneling Protocol) 0xF7697000 C:\WINDOWS\System32\Drivers\Fips.SYS 45056 bytes (Microsoft Corporation, FIPS-Verschlüsselungstreiber) 0xF7607000 MountMgr.sys 45056 bytes (Microsoft Corporation, Mount Manager) 0xB9BD7000 C:\WINDOWS\system32\DRIVERS\raspppoe.sys 45056 bytes (Microsoft Corporation, RAS PPPoE mini-port/call-manager driver) 0xB9BF7000 C:\WINDOWS\system32\DRIVERS\intelppm.sys 40960 bytes (Microsoft Corporation, Prozessorgerätetreiber) 0xF75F7000 isapnp.sys 40960 bytes (Microsoft Corporation, PNP-ISA-Bustreiber) 0xF74F6000 C:\WINDOWS\System32\Drivers\NDProxy.SYS 40960 bytes (Microsoft Corporation, NDIS Proxy) 0xF7526000 C:\WINDOWS\system32\DRIVERS\termdd.sys 40960 bytes (Microsoft Corporation, Terminal Server Driver) 0xA120D000 C:\WINDOWS\System32\Drivers\BlackBox.SYS 36864 bytes (RKU Driver) 0xF7627000 disk.sys 36864 bytes (Microsoft Corporation, PnP Disk Driver) 0xAD51A000 C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS 36864 bytes (Microsoft Corporation, Hid Class Library) 0xB9BB7000 C:\WINDOWS\system32\DRIVERS\msgpc.sys 36864 bytes (Microsoft Corporation, MS General Packet Classifier) 0xF7687000 C:\WINDOWS\system32\DRIVERS\netbios.sys 36864 bytes (Microsoft Corporation, NetBIOS interface driver) 0xB0A41000 C:\WINDOWS\system32\DRIVERS\wanarp.sys 36864 bytes (Microsoft Corporation, MS Remote Access and Routing ARP Driver) 0xB080B000 C:\WINDOWS\System32\Drivers\Npfs.SYS 32768 bytes (Microsoft Corporation, NPFS Driver) 0xF77EF000 C:\WINDOWS\system32\DRIVERS\usbehci.sys 32768 bytes (Microsoft Corporation, EHCI eUSB Miniport Driver) 0xF7807000 C:\WINDOWS\system32\DRIVERS\fdc.sys 28672 bytes (Microsoft Corporation, Floppy Disk Controller Driver) 0xF77AF000 C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS 28672 bytes (Microsoft Corporation, Hid Parsing Library) 0xF77FF000 C:\WINDOWS\system32\DRIVERS\kbdclass.sys 28672 bytes (Microsoft Corporation, Tastaturklassentreiber) 0xF7707000 C:\WINDOWS\System32\Drivers\PCIIDEX.SYS 28672 bytes (Microsoft Corporation, PCI IDE Bus Driver Extension) 0xF780F000 C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys 24576 bytes (GEAR Software Inc., CD DVD Filter) 0xF77F7000 C:\WINDOWS\system32\DRIVERS\mouclass.sys 24576 bytes (Microsoft Corporation, Mausklassentreiber) 0xB92AA000 C:\WINDOWS\system32\DRIVERS\ssmdrv.sys 24576 bytes (Avira GmbH, AVIRA SnapShot Driver) 0xF77E7000 C:\WINDOWS\system32\DRIVERS\usbuhci.sys 24576 bytes (Microsoft Corporation, UHCI USB Miniport Driver) 0xA84DB000 C:\WINDOWS\System32\drivers\vga.sys 24576 bytes (Microsoft Corporation, VGA/Super VGA Video Driver) 0xF7787000 C:\WINDOWS\system32\DRIVERS\flpydisk.sys 20480 bytes (Microsoft Corporation, Floppy Driver) 0xA849B000 C:\WINDOWS\System32\Drivers\Msfs.SYS 20480 bytes (Microsoft Corporation, Mailslot driver) 0xF770F000 PartMgr.sys 20480 bytes (Microsoft Corporation, Partition Manager) 0xF781F000 C:\WINDOWS\system32\DRIVERS\ptilink.sys 20480 bytes (Parallel Technologies, Inc., Parallel Technologies DirectParallel IO Library) 0xF7747000 C:\WINDOWS\system32\DRIVERS\raspti.sys 20480 bytes (Microsoft Corporation, PTI DirectParallel(R) mini-port/call-manager driver) 0xF7817000 C:\WINDOWS\system32\DRIVERS\TDI.SYS 20480 bytes (Microsoft Corporation, TDI Wrapper) 0xF77D7000 C:\WINDOWS\System32\watchdog.sys 20480 bytes (Microsoft Corporation, Watchdog Driver) 0xF7943000 C:\WINDOWS\system32\DRIVERS\mssmbios.sys 16384 bytes (Microsoft Corporation, System Management BIOS Driver) 0xA2E26000 C:\WINDOWS\system32\DRIVERS\ndisuio.sys 16384 bytes (Microsoft Corporation, NDIS User mode I/O Driver) 0xBA78E000 C:\WINDOWS\system32\DRIVERS\serenum.sys 16384 bytes (Microsoft Corporation, Serial Port Enumerator) 0xF7897000 C:\WINDOWS\system32\BOOTVID.dll 12288 bytes (Microsoft Corporation, VGA Boot Driver) 0xA5862000 C:\WINDOWS\System32\drivers\Dxapi.sys 12288 bytes (Microsoft Corporation, DirectX API Driver) 0xB94AF000 C:\WINDOWS\system32\DRIVERS\hidusb.sys 12288 bytes (Microsoft Corporation, USB Miniport Driver for Input Devices) 0xBA7CC000 C:\WINDOWS\system32\DRIVERS\mouhid.sys 12288 bytes (Microsoft Corporation, HID-Mausfiltertreiber) 0xBA786000 C:\WINDOWS\system32\DRIVERS\ndistapi.sys 12288 bytes (Microsoft Corporation, NDIS 3.0 connection wrapper driver) 0xBA7C8000 C:\WINDOWS\system32\DRIVERS\rasacd.sys 12288 bytes (Microsoft Corporation, RAS Automatic Connection Driver) 0xBA78A000 C:\WINDOWS\system32\DRIVERS\wmiacpi.sys 12288 bytes (Microsoft Corporation, Windows Management Interface for ACPI) 0xF7987000 00000032 8192 bytes 0xF799B000 C:\Programme\Avira\AntiVir Desktop\avgio.sys 8192 bytes (Avira GmbH, Avira AntiVir Support for Minifilter) 0xAD28D000 C:\WINDOWS\System32\Drivers\Beep.SYS 8192 bytes (Microsoft Corporation, BEEP Driver) 0xF798D000 dmload.sys 8192 bytes (Microsoft Corp., Veritas Software., NT Disk Manager Startup Driver) 0xF79C3000 C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS 8192 bytes 0xAD28F000 C:\WINDOWS\System32\Drivers\Fs_Rec.SYS 8192 bytes (Microsoft Corporation, File System Recognizer Driver) 0xF798B000 intelide.sys 8192 bytes (Microsoft Corporation, Intel PCI IDE Treiber) 0xF7987000 C:\WINDOWS\system32\KDCOM.DLL 8192 bytes (Microsoft Corporation, Kernel Debugger HW Extension DLL) 0xAD289000 C:\WINDOWS\System32\Drivers\mnmdd.SYS 8192 bytes (Microsoft Corporation, Frame buffer simulator) 0xA8521000 C:\WINDOWS\System32\Drivers\ParVdm.SYS 8192 bytes (Microsoft Corporation, VDM-Paralleltreiber) 0xACD1C000 C:\WINDOWS\System32\DRIVERS\RDPCDD.sys 8192 bytes (Microsoft Corporation, RDP Miniport) 0xF79E3000 C:\WINDOWS\system32\DRIVERS\swenum.sys 8192 bytes (Microsoft Corporation, Plug and Play Software Device Enumerator) 0xF79ED000 C:\WINDOWS\system32\DRIVERS\USBD.SYS 8192 bytes (Microsoft Corporation, Universal Serial Bus Driver) 0xF7989000 C:\WINDOWS\system32\DRIVERS\WMILIB.SYS 8192 bytes (Microsoft Corporation, WMILIB WMI support library Dll) 0xBA054000 C:\WINDOWS\system32\DRIVERS\audstub.sys 4096 bytes (Microsoft Corporation, AudStub Driver) 0xF7AB6000 C:\WINDOWS\System32\drivers\dxgthk.sys 4096 bytes (Microsoft Corporation, DirectX Graphics Driver Thunk) 0xA83BA000 C:\WINDOWS\System32\Drivers\Null.SYS 4096 bytes (Microsoft Corporation, NULL Driver) 0xF7A4F000 PCIIde.sys 4096 bytes (Microsoft Corporation, Allgemeiner PCI IDE Bustreiber) !!!!!!!!!!!Hidden driver: 0x8A56A048 00000171 4024 bytes ============================================== >Stealth ============================================== 0x8A56BF21 Unknown page with executable code, 223 bytes 0x8A56C5CD Unknown page with executable code, 2611 bytes 0x8A56E466 Unknown page with executable code, 2970 bytes 0x8A56A048 Unknown page with executable code, 4024 bytes 0x8A56C000 Unknown page with executable code, 4096 bytes 0x8A56C309 Unknown thread object [ ETHREAD 0x8A600678 ] TID: 112, 600 bytes 0x8A56D901 Unknown thread object [ ETHREAD 0x8A5A7678 ] TID: 124, 600 bytes ============================================== >Files ============================================== !-->[Hidden] C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\0PD6E6GU.txt !-->[Hidden] C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\4A7KA2LS.txt !-->[Hidden] C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Anwendungsdaten\Google\Toolbar\metrics_10920550408112.xml !-->[Hidden] C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0E00LG0I\background_gradient[1] !-->[Hidden] C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0E00LG0I\httpErrorPagesScripts[2] !-->[Hidden] C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89WC641R\errorPageStrings[1] !-->[Hidden] C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W453JXGR\info_48[1] ============================================== >Hooks ============================================== ntoskrnl.exe+0x00005B22, Type: Inline - RelativeJump 0x804DCB22-->804DCB29 [ntoskrnl.exe] ntoskrnl.exe+0x0000DBD4, Type: Inline - RelativeJump 0x804E4BD4-->804E4C18 [ntoskrnl.exe] [1852]explorer.exe-->advapi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77DA1218-->5CF07774 [shimeng.dll] [1852]explorer.exe-->crypt32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77A51188-->5CF07774 [shimeng.dll] [1852]explorer.exe-->gdi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77EF10B4-->5CF07774 [shimeng.dll] [1852]explorer.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x01001268-->5CF07774 [shimeng.dll] [1852]explorer.exe-->mswsock.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x719B1178-->5CF07774 [shimeng.dll] [1852]explorer.exe-->shell32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x7E6715A4-->5CF07774 [shimeng.dll] [1852]explorer.exe-->user32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x7E36133C-->5CF07774 [shimeng.dll] [1852]explorer.exe-->wininet.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x408B1480-->5CF07774 [shimeng.dll] [1852]explorer.exe-->ws2_32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x71A1109C-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->advapi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77DA1218-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->advapi32.dll-->kernel32.dll-->LoadLibraryA, Type: IAT modification 0x77DA1214-->71609E59 [aclayers.dll] [3296]iexplore.exe-->advapi32.dll-->kernel32.dll-->LoadLibraryExW, Type: IAT modification 0x77DA105C-->7160A16B [aclayers.dll] [3296]iexplore.exe-->advapi32.dll-->kernel32.dll-->LoadLibraryW, Type: IAT modification 0x77DA11E0-->7160A067 [aclayers.dll] [3296]iexplore.exe-->crypt32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77A51188-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->crypt32.dll-->kernel32.dll-->LoadLibraryA, Type: IAT modification 0x77A51190-->71609E59 [aclayers.dll] [3296]iexplore.exe-->crypt32.dll-->kernel32.dll-->LoadLibraryExA, Type: IAT modification 0x77A511F8-->71609F5D [aclayers.dll] [3296]iexplore.exe-->crypt32.dll-->kernel32.dll-->LoadLibraryExW, Type: IAT modification 0x77A511FC-->7160A16B [aclayers.dll] [3296]iexplore.exe-->gdi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77EF10B4-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->gdi32.dll-->kernel32.dll-->LoadLibraryA, Type: IAT modification 0x77EF1084-->71609E59 [aclayers.dll] [3296]iexplore.exe-->gdi32.dll-->kernel32.dll-->LoadLibraryExW, Type: IAT modification 0x77EF1078-->7160A16B [aclayers.dll] [3296]iexplore.exe-->gdi32.dll-->kernel32.dll-->LoadLibraryW, Type: IAT modification 0x77EF10B8-->7160A067 [aclayers.dll] [3296]iexplore.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x0040111C-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->kernel32.dll-->LoadLibraryA, Type: IAT modification 0x00401060-->71609E59 [aclayers.dll] [3296]iexplore.exe-->kernel32.dll-->LoadLibraryExW, Type: IAT modification 0x004010B8-->7160A16B [aclayers.dll] [3296]iexplore.exe-->kernel32.dll-->LoadLibraryW, Type: IAT modification 0x00401078-->7160A067 [aclayers.dll] [3296]iexplore.exe-->mswsock.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x719B1178-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->mswsock.dll-->kernel32.dll-->LoadLibraryA, Type: IAT modification 0x719B1184-->71609E59 [aclayers.dll] [3296]iexplore.exe-->mswsock.dll-->kernel32.dll-->LoadLibraryW, Type: IAT modification 0x719B11A0-->7160A067 [aclayers.dll] [3296]iexplore.exe-->shell32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x7E6715A4-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->shell32.dll-->kernel32.dll-->LoadLibraryA, Type: IAT modification 0x7E6713E8-->71609E59 [aclayers.dll] [3296]iexplore.exe-->shell32.dll-->kernel32.dll-->LoadLibraryExA, Type: IAT modification 0x7E67163C-->71609F5D [aclayers.dll] [3296]iexplore.exe-->shell32.dll-->kernel32.dll-->LoadLibraryExW, Type: IAT modification 0x7E67161C-->7160A16B [aclayers.dll] [3296]iexplore.exe-->shell32.dll-->kernel32.dll-->LoadLibraryW, Type: IAT modification 0x7E6715A0-->7160A067 [aclayers.dll] [3296]iexplore.exe-->user32.dll-->DialogBoxIndirectParamA, Type: Inline - RelativeJump 0x7E3A6D7D-->412D2931 [ieframe.dll] [3296]iexplore.exe-->user32.dll-->DialogBoxIndirectParamW, Type: Inline - RelativeJump 0x7E382072-->412D28F6 [ieframe.dll] [3296]iexplore.exe-->user32.dll-->DialogBoxParamA, Type: Inline - RelativeJump 0x7E38B144-->412D28BB [ieframe.dll] [3296]iexplore.exe-->user32.dll-->DialogBoxParamW, Type: Inline - RelativeJump 0x7E3747AB-->4115F4B9 [ieframe.dll] [3296]iexplore.exe-->user32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x7E36133C-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->user32.dll-->kernel32.dll-->LoadLibraryA, Type: IAT modification 0x7E3612F4-->71609E59 [aclayers.dll] [3296]iexplore.exe-->user32.dll-->kernel32.dll-->LoadLibraryExW, Type: IAT modification 0x7E361208-->7160A16B [aclayers.dll] [3296]iexplore.exe-->user32.dll-->kernel32.dll-->LoadLibraryW, Type: IAT modification 0x7E361340-->7160A067 [aclayers.dll] [3296]iexplore.exe-->user32.dll-->MessageBoxExA, Type: Inline - RelativeJump 0x7E3A085C-->412D283D [ieframe.dll] [3296]iexplore.exe-->user32.dll-->MessageBoxExW, Type: Inline - RelativeJump 0x7E3A0838-->412D2803 [ieframe.dll] [3296]iexplore.exe-->user32.dll-->MessageBoxIndirectA, Type: Inline - RelativeJump 0x7E38A082-->412D2877 [ieframe.dll] [3296]iexplore.exe-->user32.dll-->MessageBoxIndirectW, Type: Inline - RelativeJump 0x7E3B64D5-->41181762 [ieframe.dll] [3296]iexplore.exe-->wininet.dll-->HttpAddRequestHeadersA, Type: Inline - RelativeJump 0x408C632F-->00C86DB5 [unknown_code_page] [3296]iexplore.exe-->wininet.dll-->HttpAddRequestHeadersW, Type: Inline - RelativeJump 0x4092A535-->00C86FC3 [unknown_code_page] [3296]iexplore.exe-->wininet.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x408B1480-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->wininet.dll-->kernel32.dll-->LoadLibraryA, Type: IAT modification 0x408B1484-->71609E59 [aclayers.dll] [3296]iexplore.exe-->wininet.dll-->kernel32.dll-->LoadLibraryExW, Type: IAT modification 0x408B1418-->7160A16B [aclayers.dll] [3296]iexplore.exe-->wininet.dll-->kernel32.dll-->LoadLibraryW, Type: IAT modification 0x408B13EC-->7160A067 [aclayers.dll] [3296]iexplore.exe-->ws2_32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x71A1109C-->5CF07774 [shimeng.dll] [3296]iexplore.exe-->ws2_32.dll-->kernel32.dll-->LoadLibraryA, Type: IAT modification 0x71A110A8-->71609E59 [aclayers.dll] |
hiho bitte deinstaliere mal ad-aware. dies kann laut avira forum zu problemen führen wenn beide programme zusammen auf einem pc laufen. jetzt versuchen wir das noch mal mit der google toolbar Google Toolbar - nutzen Sie die Möglichkeiten von Google überall im Web! hier mal instalieren, dann deinstalieren über software. falls das nicht geht wieder über den browser. achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code: :OTL• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. |
du weißt aber das ich die google toolbar beim internetexplorer habe und nicht bei fire fox oder? |
suche dir noch den richtigen link raus, aber so wichtig ist das im moment sowieso noch nicht. mach das erst mal mit adaware und dem otl fix. muss mir dein antirootkit look noch ansehen und meld mich. |
All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ not found. Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully. C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully. File C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\DriverUpdaterPro not found. Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Recovery\ deleted successfully. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: All Users.WINDOWS User: Default User User: Default User.WINDOWS User: LocalService User: LocalService.NT-AUTORITÄT User: LocalService.NT-AUTORITÄT.000 User: NetworkService User: NetworkService.NT-AUTORITÄT User: NetworkService.NT-AUTORITÄT.000 User: Tim182.TIM ->Flash cache emptied: 3834 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: All Users.WINDOWS User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User.WINDOWS ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService.NT-AUTORITÄT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService.NT-AUTORITÄT.000 ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: NetworkService.NT-AUTORITÄT ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: NetworkService.NT-AUTORITÄT.000 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Tim182.TIM ->Temp folder emptied: 42 bytes ->Temporary Internet Files folder emptied: 26459229 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 49303375 bytes ->Apple Safari cache emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 90 bytes RecycleBin emptied: 44498 bytes Total Files Cleaned = 72,00 mb OTL by OldTimer - Version 3.2.31.0 log created on 11122011_191954 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FRCZ879A\ac4[2].htm moved successfully. C:\Dokumente und Einstellungen\Tim182.TIM\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat moved successfully. Registry entries deleted on Reboot... |
ok. http://www.trojaner-board.de/99424-c...o-scannen.html hitmanpro laden, testlizenz aktivieren, scannen log posten. |
<Log computer="TIM" scan="Normal" version="3.5.9.131" date="2011-11-12T19:47:52" timeSpentInSecs="243" filesProcessed="30423"> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:2o7.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ad.360yield.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ad.ad-srv.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ad.velmedia.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ad.yieldmanager.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ad.zanox.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:adbrite.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:adlegend.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ads.ad4game.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ads.adk2.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ads.bleepingcomputer.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ads.creative-serving.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:adserver.adtechus.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:adtech.de" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:advertise.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:advertisingenhanced.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:advertstream.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:apmebf.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:atdmt.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:bs.serving-sys.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:c.atdmt.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:casalemedia.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:clicksor.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:cofidis2.solution.weborama.fr" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:content.yieldmanager.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:de.partypoker.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:doubleclick.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:eas.apm.emediate.eu" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ero-advertising.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:fastclick.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:guj.122.2o7.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:invitemedia.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:kontera.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:linksynergy.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:media6degrees.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:mediaplex.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:mm.chitika.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:myroitracking.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:partypoker.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:questionmarket.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:revsci.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:rts.pgmediaserve.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:serving-sys.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:smartadserver.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:specificclick.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:statcounter.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:tradedoubler.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:weborama.fr" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:www.etracker.de" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:www.googleadservices.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:yieldmanager.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:zedo.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\0JPDPFC3.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\0MNHD86D.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\0Q7MDRPJ.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\130SMWS4.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\7Z9B9BUE.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\8V55S3SD.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\9HQOTMAG.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\9I4IQMF2.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\9K3G65ZJ.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\AC1LAX3O.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\DPPVUHGV.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\DQTKEXYN.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\JWNX8QOV.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\LBK1GV3R.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\OMAS5U6I.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\RIULC0BD.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\SBFVQF1N.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\TMFGMAY3.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\USKU6FH3.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\WXL1FPN3.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\XGVMP0F2.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\XVAYG8K8.txt" /> </Item> </Log> |
öffne mal rootkit unhooker Tools Kernel Callbacks Routines davon mal nen screenshot anhängen. |
http://www8.pic-upload.de/thumb/12.1...zgpkqmvtmv.jpg hxxp://www.pic-upload.de/view-11972479/rk.jpg.html |
ok wir haben das problem nun eingegrenzt. ich lag am anfang schon mit meiner vermutung richtig betreffend des rootkits. ich muss noch einige details klären und dann gehts weiter. |
öffne mal rootkit unhoker Tools Kernel Callbacks Routines lösche hier die callbacks für: CreateProcess ?_empty_?, LoadImage unknown_notify_handler |
hab ich gemacht |
und jetzt bitte noch mal hitman verwenden und log posten. |
<Log computer="TIM" scan="Normal" version="3.5.9.131" date="2011-11-13T17:32:48" reboot="yes" timeSpentInSecs="130" filesProcessed="30996"> - <Item type="Malware" malwareName="Bootkit" score="100.0" status="PendingDelete"> - <Scanners> <Scanner id="Other" name="Win32/Bootkit" /> </Scanners> <File path="C:$MBR" hash="5D812C0D096C08945878914A89AD601907562272A9099F1514BF708EFDF662E0" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ad.yieldmanager.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:doubleclick.net" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:invitemedia.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:media6degrees.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Anwendungsdaten\Mozilla\Firefox\Profiles\glemxrky.default\cookies.sqlite:ru4.com" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\9VDCQ9HD.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\D4KO1WVB.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\FTWCK4Q7.txt" /> </Item> - <Item type="Repair" score="0.0" status="Deleted"> <File path="C:\Dokumente und Einstellungen\Tim182.TIM\Cookies\VZRY14CU.txt" /> </Item> </Log> |
wurde der mbr repariert? teste das mal nach neustart und lass dann noch mal hitman laufen. log posten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board