Trojaner-Board
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   schweizer eidgenossenschaft - trojaner (https://www.trojaner-board.de/123232-schweizer-eidgenossenschaft-trojaner.html)

mickyxx 01.09.2012 09:43
schweizer eidgenossenschaft - trojaner
 
hallo zusammen
habe mir wohl auch diesen plagegeist der mit dem fakelogo der schweizer eidgenossenschaft eingefangen. da ich ein laie bin bin ich schon ziemlich am anschlag...
kann mir jemand sagen wie ich OLT oder malwarebytes überhaupt downloaden resp starten kann? das weisse bild sperrt ja mein pc!
wäre toll hilfe zu bekommen :confused:
greetz mickyxx

cosinus 01.09.2012 14:11
Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten

mickyxx 01.09.2012 14:21
hallo! danke, dass du dich meldest!
ja das geht noch. nun habe ich eine auswahl 3linien:
- microsoft windows recovery console
- do not select this (debugger aktiviert)
- microsoft windows xp home edition

soory, sieht scheisse aus, bin am handy :-(
was soll ich auswählen?

ach ja, ganz unten steht in blau:
abgesicherter modus mit netzwerktreibern

soll ich das "abgesicherter modus mit netzerktreibern" wählen?

hallo zusammen
bis jetzt konnte mir scheinbar noch niemand helfen.
habe per cd boot ein otlp scan fertiggebracht. das logfile habe ich auf ein usb-stick geladen. werde ich hier posten sobald ich wieder au einen anderen pc zugriff habe.

probleme:
hätte zwar eine internetverbindung auf dem otlp desktop aber die tastatur reagiert nicht. vermutlich ist etwas mit den treibern nicht mehr ok. maus funktioniert aber!
sonst hätte ich das log hier schon drauf und könnte otl runterladen um zu fixen.

habe nicht wie im fall von djiana zwei txt dateien. es wurde nur otl.txt kreiert extras.txt fehlt.

otlp logfile liefere ich baldmöglichst nach, hoffe dass mir jemand ein script machen kann.

Hier das OTLP Logfile:OTL Logfile:
Code:
OTL logfile created on: 9/1/2012 9:43:07 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): I:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 147.55 Gb Free Space | 49.50% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2012/07/12 12:32:22 | 001,239,952 | ---- | M] (Lavasoft Limited) [Auto] -- C:\Programme\Ad-Aware Antivirus\AdAwareService.exe -- (Ad-Aware Service)
SRV - [2012/02/26 19:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/12/19 07:20:06 | 003,289,032 | ---- | M] (GFI Software) [Auto] -- C:\Programme\Ad-Aware Antivirus\SBAMSvc.exe -- (SBAMSvc)
SRV - [2011/10/13 16:04:18 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009/07/20 05:51:52 | 000,935,208 | ---- | M] (Nero AG) [Auto] -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2008/12/24 10:52:08 | 000,068,136 | ---- | M] () [Auto] -- C:\Programme\Gigabyte\EasySaver\ESSVR.EXE -- (ES lite Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [File_System | Boot] --  -- (Lbd)
DRV - File not found [Kernel | On_Demand] --  -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | On_Demand] --  -- (catchme)
DRV - [2012/08/31 17:29:14 | 000,016,608 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\gdrv.sys -- (gdrv)
DRV - [2011/12/19 06:44:24 | 000,335,224 | ---- | M] (GFI Software) [Kernel | System] -- C:\WINDOWS\system32\drivers\SbFw.sys -- (SbFw)
DRV - [2011/12/19 06:44:24 | 000,217,976 | ---- | M] (GFI Software) [Kernel | System] -- C:\WINDOWS\system32\drivers\sbtis.sys -- (sbtis)
DRV - [2011/11/29 00:59:52 | 000,077,816 | ---- | M] (GFI Software) [File_System | Auto] -- C:\WINDOWS\system32\drivers\sbapifs.sys -- (sbapifs)
DRV - [2011/11/29 00:59:48 | 000,021,240 | ---- | M] (GFI Software) [Kernel | System] -- C:\WINDOWS\system32\drivers\sbaphd.sys -- (sbaphd)
DRV - [2011/10/26 08:23:40 | 000,101,112 | ---- | M] (GFI Software) [Kernel | System] -- C:\WINDOWS\system32\drivers\SBREDrv.sys -- (SBRE)
DRV - [2011/09/29 06:16:18 | 000,094,584 | ---- | M] (GFI Software) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SbFwIm.sys -- (SBFWIMCLMP)
DRV - [2011/09/29 06:16:18 | 000,094,584 | ---- | M] (GFI Software) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SbFwIm.sys -- (SBFWIMCL)
DRV - [2009/08/15 10:45:07 | 000,005,632 | ---- | M] () [File_System | System] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009/08/11 03:19:20 | 000,056,992 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)
DRV - [2009/01/13 07:10:08 | 005,015,040 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/10/30 09:14:20 | 000,117,888 | R--- | M] (Realtek Semiconductor Corporation                          ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008/06/01 03:13:10 | 000,034,064 | ---- | M] (CACE Technologies) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\npf.sys -- (npf)
DRV - [2007/03/12 09:25:24 | 000,101,520 | ---- | M] (Syntek Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\STK02NW2.sys -- (DCamUSBSTK02N)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\M.vil_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\M.vil_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\M.vil_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre7\bin\new_plugin\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.669: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.669: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.669: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.669: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.669: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: 
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011/10/16 15:18:47 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2011/10/13 09:05:10 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (SearchCore for Browsers) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Programme\SearchCore for Browsers\SearchCore for Browsers\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\M.vil_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\M.vil_ON_C\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O4 - HKLM..\Run: [Ad-Aware Antivirus] C:\Programme\Ad-Aware Antivirus\AdAwareLauncher.exe (Lavasoft Limited)
O4 - HKLM..\Run: [Ad-Aware Browsing Protection] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection\adawarebp.exe (Lavasoft)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [MsgCenterExe]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\programme\real\realplayer\update\realsched.exe (RealNetworks, Inc.)
O4 - HKU\M.vil_ON_C..\Run: [Badoo Desktop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo\Badoo Desktop\1.6.55.1183\Badoo.Desktop.exe (Badoo)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\STK02N 2.0 PNP Monitor.lnk = C:\WINDOWS\STK02N\STK02NM.exe (Syntek Ltd.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 1.7.0)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 1.7.0)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 1.7.0)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - AppInit_DLLs: (I:\PROGRA~1\SEARCH~1\SEARCH~1\datamngr.dll) -  File not found
O20 - AppInit_DLLs: (I:\PROGRA~1\SEARCH~1\SEARCH~1\IEBHO.dll) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\M.vil_ON_C Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\M.vil_ON_C Winlogon: Shell - (I:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat) - C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/08/27 03:05:31 | 000,077,816 | ---- | C] (GFI Software) -- C:\WINDOWS\System32\drivers\sbapifs.sys
[2012/08/27 03:04:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\M.vil\Lokale Einstellungen\Anwendungsdaten\adaware
[2012/08/27 03:04:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ad-Aware Antivirus
[2012/08/27 03:04:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\VDD
[2012/08/27 03:04:18 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012/08/27 02:51:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\M.vil\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
[2012/08/05 08:33:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo
[2012/08/05 08:33:41 | 003,226,768 | ---- | C] (Badoo) -- C:\Programme\badoo.desktop.installer-1.6.55.exe
[2012/05/27 06:01:53 | 018,670,328 | ---- | C] (Lavasoft Limited) -- C:\Programme\Ad-Aware_Antivirus_Free_Setup_10.1.211.3382.exe
[2012/05/24 10:45:54 | 004,587,128 | ---- | C] (Lavasoft Limited) -- C:\Programme\Adaware_Installer.exe
[2012/04/06 11:51:59 | 114,740,416 | ---- | C] (Youdagames) -- C:\Programme\Governor_of_Poker_2_Premium_Edition.exe
[2011/10/16 15:15:17 | 000,676,624 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\RealPlayer_de.exe
[2011/10/13 16:03:48 | 020,196,744 | ---- | C] (Oracle Corporation) -- C:\Programme\jre-7-windows-i586.exe
[2011/06/24 12:01:51 | 130,359,064 | ---- | C] (Lavasoft                                                                                                                                                                                                                                                                                                    ) -- C:\Programme\Ad-Aware90Install.exe
[2011/06/22 09:05:28 | 001,276,752 | ---- | C] (Microsoft Corporation) -- C:\Programme\wlsetup-web.exe
[2011/04/09 13:20:25 | 050,264,486 | ---- | C] (Youdagames) -- C:\Programme\GovernorofPoker_Download.exe
[2009/10/29 12:09:09 | 097,395,640 | ---- | C] (Lavasoft                                                                                                                                                                                                                                                                                                    ) -- C:\Programme\Ad-AwareInstallation.exe
[2009/08/15 13:05:58 | 021,935,408 | ---- | C] (Apple Inc.) -- C:\Programme\QuickTimeInstaller.exe
[2009/08/15 11:31:41 | 015,452,536 | ---- | C] (Microsoft Corporation) -- C:\Programme\IE7-WindowsXP-x86-enu.exe
[2009/08/15 10:51:29 | 017,010,016 | ---- | C] (Microsoft Corporation) -- C:\Programme\IE8-WindowsXP-x86-DEU.exe
[2009/08/15 10:44:16 | 057,187,288 | ---- | C] (Nero AG) -- C:\Programme\Nero-9.4.12.3_free.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/08/31 17:30:04 | 000,000,045 | ---- | M] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.ini
[2012/08/31 17:29:51 | 000,001,587 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware Antivirus.lnk
[2012/08/31 17:29:14 | 000,016,608 | ---- | M] (Windows (R) 2000 DDK provider) -- C:\WINDOWS\gdrv.sys
[2012/08/31 17:29:09 | 000,000,280 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1275210071-1708537768-839522115-1004.job
[2012/08/31 17:29:06 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/08/31 17:29:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/08/31 17:25:17 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/08/31 17:00:10 | 000,000,288 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1275210071-1708537768-839522115-1004.job
[2012/08/31 11:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2012/08/27 05:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
[2012/08/27 03:05:40 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Antivirus Scheduled Scan.job
[2012/08/27 03:04:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ad-Aware Antivirus
[2012/08/27 02:49:36 | 004,587,128 | ---- | M] (Lavasoft Limited) -- C:\Programme\Adaware_Installer.exe
[2012/08/26 17:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2012/08/23 12:52:25 | 000,696,520 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012/08/23 12:52:25 | 000,073,416 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012/08/05 08:33:59 | 000,001,128 | ---- | M] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Badoo.Desktop.lnk
[2012/08/05 08:33:59 | 000,001,110 | ---- | M] () -- C:\Dokumente und Einstellungen\M.vil\Desktop\Badoo.Desktop.lnk
[2012/08/05 08:33:48 | 003,226,768 | ---- | M] (Badoo) -- C:\Programme\badoo.desktop.installer-1.6.55.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/08/31 17:25:17 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/08/31 17:15:58 | 000,000,045 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.ini
[2012/08/05 08:33:59 | 000,001,128 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Badoo.Desktop.lnk
[2012/08/05 08:33:59 | 000,001,110 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Desktop\Badoo.Desktop.lnk
[2012/08/05 08:33:58 | 000,001,324 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Startmenü\Programme\Badoo Desktop.lnk
[2012/05/27 05:55:30 | 012,442,112 | ---- | C] () -- C:\Programme\Ad-Aware96Install.msi
[2011/10/31 14:11:55 | 000,000,452 | ---- | C] () -- C:\WINDOWS\STKSensorDetector.ini
[2011/10/19 08:27:01 | 009,859,528 | ---- | C] () -- C:\Programme\BitComet_1.28_x86_setup.exe
[2011/10/16 15:40:29 | 000,286,088 | ---- | C] () -- C:\Programme\SoftonicDownloader_fuer_flv-player.exe
[2011/10/13 08:52:51 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011/10/13 08:52:51 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011/10/13 08:52:51 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011/10/13 08:52:51 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011/10/13 08:52:51 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011/07/25 08:57:49 | 000,000,038 | ---- | C] () -- C:\WINDOWS\AviSplitter.INI
[2011/07/23 14:32:08 | 038,706,010 | ---- | C] () -- C:\Programme\FFSetupSoftonicNoDVDRip270.exe
[2011/07/23 14:29:57 | 038,701,002 | ---- | C] () -- C:\Programme\FFSetup-270.zip
[2011/04/22 04:14:19 | 000,000,064 | ---- | C] () -- C:\WINDOWS\System32\rp_stats.dat
[2011/04/22 04:14:19 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\rp_rules.dat
[2010/12/31 05:53:37 | 000,232,968 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2010/12/31 05:53:35 | 000,232,968 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2010/12/31 05:53:35 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2010/12/22 17:52:47 | 019,985,265 | ---- | C] () -- C:\Programme\vlc-1.1.5-win32.exe
[2010/07/11 09:02:43 | 000,005,755 | ---- | C] () -- C:\Programme\callme.php
[2010/07/10 13:42:28 | 000,013,836 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010/02/22 05:21:34 | 000,002,612 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2009/10/19 14:25:23 | 001,891,432 | ---- | C] () -- C:\Programme\wrar_unplugged_3.6.2.2b.exe
[2009/09/11 16:22:51 | 000,000,518 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009/08/15 13:45:31 | 014,603,672 | ---- | C] () -- C:\Programme\jre-6u3-windows-i586-p-s.exe
[2009/08/15 13:17:28 | 004,936,611 | ---- | C] () -- C:\Programme\emule049c.exe
[2009/08/15 10:45:51 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2009/08/15 10:40:07 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009/08/14 16:15:47 | 000,164,864 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/08/14 13:32:00 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/08/14 13:31:09 | 000,098,256 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/08/14 12:49:57 | 000,208,896 | R--- | C] () -- C:\WINDOWS\System32\igxpun.exe
[2009/08/14 12:40:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/08/14 12:37:43 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/08/06 10:50:00 | 002,195,030 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2008/06/01 03:13:10 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2004/08/04 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,449,236 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,432,928 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,086,528 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat
[2004/08/04 08:00:00 | 000,080,544 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,067,884 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2012/08/31 17:29:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection
[2012/08/05 08:33:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo
[2009/10/05 11:30:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SimCity Societies
[2012/04/06 13:19:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011/10/12 20:18:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009/12/26 17:23:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2012/04/06 11:52:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Youdagames
[2011/10/12 19:13:08 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2011/10/13 15:43:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
[2010/05/14 13:47:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012/08/27 03:05:40 | 000,001,090 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job
[2012/08/27 05:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 1).job
[2012/08/31 11:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 2).job
[2012/08/26 17:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 3).job
[2012/05/27 06:00:41 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 4).job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 169 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:34D5AA26
< End of report >
--- --- ---

cosinus 02.09.2012 20:44
Zitat:
ja das geht noch. nun habe ich eine auswahl 3linien:
- microsoft windows recovery console
- do not select this (debugger aktiviert)
- microsoft windows xp home edition
Bitte RICHTIG lesen! Per F8 hast du garantiert andere Menüeinträge!

Zitat:
soll ich das "abgesicherter modus mit netzerktreibern" wählen?
Wir könnten eine Menge Zeit sparen wenn du mal vernünftig meine Beiträge liest! Natürlich sollst du das ausprobieren oder meinst du ich frage einfach nur aus Spaß ob dieser Modus noch geht?!

mickyxx 02.09.2012 21:04
hey man! tut mir echt leid... war echt nervös in der situation. ich hab keinen blassen schimmer. alles was nicht nach windows oberfläche aussieht ist für mich nur bahnhof.
trotzdem bin ich schon stolz den otlp scan fertiggebracht zu haben :-D
wäre toll wenn du mir weiterhelfen könntest. geb mir total mühe allem so gut es geht zu folgen!

hallo
wie soll ich weitermachen?
im abgesicherten modus (mit f8)
komme ich auch nicht rein, egal ob mit oder ohne internetverbindung.

hilft das otlp log nicht?

hallo
wie soll ich weitermachen?
im abgesicherten modus (mit f8)
komme ich auch nicht rein, egal ob mit oder ohne internetverbindung.

hilft das otlp log nicht?

cosinus 03.09.2012 19:48
Immer schön mit der Ruhe, bevor ich wasmit OTLPE mache will ich erst die normalen Möglichkeiten ausschöpfen :pfeiff:


Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\M.vil_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\M.vil_ON_C\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O4 - HKU\M.vil_ON_C..\Run: [Badoo Desktop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo\Badoo Desktop\1.6.55.1183\Badoo.Desktop.exe (Badoo)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKU\M.vil_ON_C Winlogon: Shell - (I:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat) - C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat ()
O32 - HKLM CDRom: AutoRun - 1
@Alternate Data Stream - 169 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:34D5AA26
:Files
C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

mickyxx 03.09.2012 20:13
hi. danke für die antwort

fürs verständnis:
entspricht otl auch otlp? ich habe einfach ein icon otlp auf demselben desktop. wenn ich otl zuerst runterladen muss geht dies nicht, da meine tastatur auf dem otlp desktop nicht funktioniert. eine internetverbindung scheint zu bestehen.

leider kann ich aus demselben grund nicht aufs forum zugreifen um den text ins otl zu kopieren. ich muss erst wieder auf einen anderen pc zugreifen können und dein text via usb stick kopieren.

gibt es eine möglichkeit die tastatur auf dem otlp desktop zum laufen zu bringen?

cosinus 03.09.2012 21:03
OTLPE ist die OTL-Version von der bootbaren CD - sollte man nur dann verwenden, wenn Windows sich garnicht mehr starten lässt

Und wenn du schon was von OTLPE liest dann lies die Anleitungen auch bitte richtig
Wenn du von der OTLPE-CD bootest musst du natürlich OTL nicht mehr runterladen!

Mein Fixscript kannst du via USB-Stick auf den Rechner mit geladenem OTLPE rüberbringen

mickyxx 03.09.2012 21:14
ok.
beim referenzbeitrag den ich gelesen habe wurde die hilfesuchende person nach dem cd boot von otlp noch aufgefordert otl downzuloaden. aber das erledigt sich dann ja wenn beides dasselbe ist.

ich werde morgen wieder auf ein pc zugriff haben um den text auf usb zu laden.
schöner abend und danke!!

cosinus 04.09.2012 08:53
Zitat:
wurde die hilfesuchende person nach dem cd boot von otlp noch aufgefordert otl downzuloaden.
Ähm nein :wtf:
Hast du einen Link dazu?
Und klappt das mit dem Fix nun?


Meine Anleitung OTLPE sieht immer so aus:

Zitat:
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

mickyxx 04.09.2012 10:19
hi
nö. habe an meiner arbeitsstelle nun dein script auf den usb stick geladen.
versuche den fix heute nachmittag.

hier der andere beitrag:
http://www.trojaner-board.de/121660-...-gesperrt.html

eventuell ist auch gemeint olt auf den home dektop zu laden wenn dieser wieder geht.

bis später. thx

OK. Langsam wirds was. Hier Das OTL-Log

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_USERS\M.villiger_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_USERS\m.vil_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A057A204-BACC-4D26-9990-79A187E2698E} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}\ not found.
Registry value HKEY_USERS\m.vil_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Badoo Desktop deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo\Badoo Desktop\1.6.55.1183\Badoo.Desktop.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:I:\Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat deleted successfully.
C:\Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:34D5AA26 deleted successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 09042012_194928

cosinus 04.09.2012 16:10
Bitte auch an den Upload denken!
Geht der normale Modus von Windows jetzt wieder?

mickyxx 04.09.2012 16:19
Ja, habe jetzt den Upload gemacht. Schau mal, obs geklappt hat.
Ja, der normale Modus geht wieder...

Geht es noch weiter?

cosinus 04.09.2012 18:52
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

mickyxx 04.09.2012 20:26
Hier ein altes und das neue Mbam Log:

Code:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.04.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
M.vil :: M-A97475EB99544 [Administrator]

Schutz: Deaktiviert

04.09.2012 20:41:03
mbam-log-2012-09-04 (20-41-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|I:\|K:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 285598
Laufzeit: 31 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
I:\Programme\SoftonicDownloader_fuer_flv-player.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
I:\_OTL\MovedFiles\09042012_194928\C_Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat (Trojan.Zbot.AVK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
I:\Dokumente und Einstellungen\M.vil\Lokale Einstellungen\temp\0k680tyou6qctepg.exe (Trojan.Zbot.AVK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Wo lade ich ESET runter?
Und wo sehe ich ob mein PC 64Bit hat?


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:21 Uhr.
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132