|
Problem beim Laden von deo0_sar.exe. Modul nicht gefunden. Hej grüßt euch! Ich hab mir bei der Recherche für meine Bachelor Arbeit vor 2 Tagen einen BKA Trojaner eingefangen. Ich hatte über 2 Ecken mitbekommen, was man tun muss, um wieder handlungsfähig zu sein und habe anschliessend via AntiVir den Trojaner gefunden und entfernt. Ähnlich wie Farike bekomme ich nun beim Windowsstart die Fehlermeldung "Problem beim Laden von deo0_sar.exe. Modul nicht gefunden." Die einzige vertrauenderweckende Anleitung zur Lösung des problems hab ich bei euch gefunden. Da aber in Farikes Thread ausdrücklich darauf hingewiesen wurde, dass man den selben Lösungsweg nicht auf dem eigenen System anwenden soll, eröffne ich diesen Thread neu... Hoffe damit geh ich den angemessenen, richtigen Weg. :) Anti-Malware hab ich runtergeladen, der entsprechende Bericht liegt im Anhang vor. Hoffe, ihr könnt mir da weiterhelfen. Schonmal vielen Dank im Voraus für die Mühe! Liebe Grüße! |
Hi, Fund von MAM löschen lassen, OTL-Log posten wie folgt: OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris |
Hej, vielen Dank für die Hilfe! Hier die Logs von OTL. Gruß, Jonas |
Hi, schauen wir mal wo wir sie finden und bereinigen noch ein paar Sachen... OTL:
Code: :OTL
Scan mit SystemLook Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop. 32Bit 64Bit
Code:
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. chris |
All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ee1babcf-cbe2-4c07-8e18-dfe6fc08c30a}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee1babcf-cbe2-4c07-8e18-dfe6fc08c30a}\ deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\AMD AVT deleted successfully. File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: mentiX ->Temp folder emptied: 2914528309 bytes ->Temporary Internet Files folder emptied: 93941182 bytes ->Java cache emptied: 14473449 bytes ->FireFox cache emptied: 307915387 bytes ->Google Chrome cache emptied: 55926571 bytes ->Flash cache emptied: 128428 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 4442074726 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 2569566 bytes %systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 750 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67899 bytes RecycleBin emptied: 6448690084 bytes Total Files Cleaned = 13.619,00 mb Restore point Set: OTL Restore Point OTL by OldTimer - Version 3.2.55.0 log created on 08032012_094732 Files\Folders moved on Reboot... File move failed. C:\Windows\SysWOW64\cmd.exe scheduled to be moved on reboot. C:\Users\mentiX\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... [2009.07.14 03:14:15 | 000,301,568 | ---- | M] (Microsoft Corporation) C:\Windows\SysWOW64\cmd.exe : MD5=8AE6DD9A6D246004DA047F704F0CC487 File C:\Users\mentiX\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! Registry entries deleted on Reboot... ________________________________ Guten Morgen, Hier die angeforderten Logs. Nochmals vielen lieben Dank |
Hi, dachte mir, dass wir sie in nicht finden... die Fehlermeldung kommt aber immer noch, oder? Wenn ja dann schmeissen wir mal msconfig an... Start->msconfig und dort unter Systemstart die Datei suchen (deo0_sar.exe) und das Häkchen wegnehmen, OK und neu booten... chris |
Hej, Hatte beim Autoreboot gar nicht drauf geachtet... Gerade nochmal neu gestartet und: Nein, die Fehlermeldung kommt nicht mehr. :D Gehts jetzt noch irgendwie weiter oder ist mein Problem damit gelöst? |
Hi, poste noch ein neues OTL-Log und dann lassen wir noch Cureit laufen (das geht aber sehr lange)... Cureit Folge der Anleitung: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:44 Uhr. |
Copyright ©2000-2024, Trojaner-Board