Dateien mit OTM verschieben

Bitte erstelle eine Sicherung Deiner Registry (falls noch nicht gemacht) nach dieser Anleitung.

Falls noch nicht vorhanden, lade Dir OTM von OldTimer herunter.

• Speichere das Programm auf Deinem Desktop.
• Sollte Dein Anti-Virus-Programm "Alarm" schlagen, bitte ignorieren und/oder OTM auf die Liste der Ausnahmen setzen.
• Doppelklick auf die OTM.exe, um das Programm auszuführen.
• Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Einen Haken setzen bei "Unregister Dll's and Ocx's"
• Kopiere den Inhalt der folgenden Codebox komplett in die OTM-Box mit dem gelben Titel
  (Paste Instructions for Items to be Moved)
  
  Code:

  ---

  :reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonceex\1428]
"rdghixrd"=-
:files
C:\combofix
:commands
[emptytemp]

  ---

• Den roten Moveit! Button anklicken.
• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren oder
• den Inhalt der Datei C:\_OTM\MovedFiles\<datum_nr.>.log kopieren
  und das Ergebnis in Deine nächste Antwort posten.
• Die Dateien und/oder Ordner werden nach C:\_OTM\MovedFiles\ verschoben.
• Schließe OTM

Sollte eine Datei oder ein Ordner nicht verschoben werden können, wirst Du eventuell aufgefordert, den PC neuzustarten damit der Prozess abgeschlossen werden kann. Sollte dies der Fall sein, bestätige das mit Ja.

schritt 2

starte bitte systemlook.exe und füge folgendes script ein


Poste mir bitte beide Logs und berichte

Ok ich hab alles so gemacht. Es scheint aber kein Ergebnis zu geben. Seh ich das richtig?

OTM:
SystemLook:

Juchu! Das Combofix-Fenster ist weg! Ich hab gleich 2mal neugestartet um sicherzugehen. Danke sehr!

Ich hab noch ne kleine Frage: Wenn Avira Systemprüfung noch einen Trojaner findet und in Quarantäne schiebt, dann kann ich dem schon vertrauen, dass der weg ist und nicht noch mehr davon rumhängen? Ich muss nicht nochmal den ganzen Computer "auseinandernehmen" um noch weitere zu suchen...oder?

Viele Grüße und vielen, vielen Dank euch beiden für die viele Hilfe!!!

Was zeigt dein Avira wo an?
Bitte Dateiname und Pfad. Oder am besten gleich ein komplettes Log.

Sorry, ich glaub, ich hab überreagiert.:o Hab mir den Pfad genauer angeschaut und es ist im System Volume Information. Da hast du ja gesagt, das ist da harmlos. Puh! Sorry, dass ich dich erschreckt hab!
So jetzt nerv ich euch erstmal nicht mehr! Aber trotzdem Herzlichen Dank nochmal!!!!!!!!:daumenhoc:dankeschoen:

Deaktivieren der Systemwiederherstellung:

1. - Start - Systemsteuerung - System
2. - Haken bei "systemwiederherstellung bei allen Laufwerken deaktivieren" setzen
3. - Bestätigen - Neustart
4. - Nochmal in den Pfad hinein - Haken rausnehmen - auf OK

Ok, hab ich gemacht! Jetzt ist wohl das Zeug im System Volume Information gelöscht worden?

Japp.

Wie geht es deinem rechner nun so allgemein? Treten noch Probleme oder Komplikationen auf?

Also dem Rechner geht es eigentlich gut! Arbeitet wieder normal! Deine Trojaner-Behandlung scheint erfolgreich gewesen zu sein!

Hm...Ich hab jetzt eigentlich nur noch folgendes Problem: Kann der Trojaner das Beschreiben und Abpsielen von DVDs (CDs gehen noch) zerstört haben oder liegt das an der Hardware? Das funktioniert nämlich nicht bei mir nicht mehr.

Das glaube ich weniger, dass müsste dann an deiner Hardware liegen. Aber ich frage mal nach, was es hiermit auf sich hat.

Starte Systemlook.exe und füge folgendes ein:

Poste das Ergebnis hier.

Ok hab ich gemacht, das kam raus:

Was bedeuted das genau?

Hallo!
Erstmal großes Lob an Angel und Larusso, das ihr Chillie so sehr helft! Das ist wirklich sehr nett von euch! Ich habe ebenfalls ein Problem, und hoffe, dass ihr mir auch weiterhelfen könnt.
Ich habe heute, als ich meinen PC angemacht hab, die Meldung erhalten, dass Security Tool erfolgreich installiert wurde oder etwas in der Art. Dann musste ich aber arbeiten und konnte mich nicht mehr darum kümmern. Und als ich dann nach Hause kam und meinen PC hochgefahren hab, war der Desktop komplett schwarz, und immer, wenn ich ein Programm öffnen möchte, zeigt er mir nun an, dass die entsprechende .exe von einem Wurm befallen wurde und meine nicht vorhandenen Kreditkarteninformationen senden möchte und verbietet mir, das Programm zu öffnen. Kann man das irgendwie wieder hinbiegen oder muss ich jetzt neu aufsetzen?

Hi,

kein Autorun für alle Laufwerke (NoDriveAutoRun), NoDrives=0 (keine Laufwerke ausblenden), der Wert für NoDriveTypeAutoRun (0x143) ist unsinnig, da er nur bis 0xff definiert ist...:
0x143 wäre 0xff+0x40+0x04, das entspricht:
Deaktivieren aller Laufwerke+Deaktivieren aller RAM-Datenträger+Deaktivieren der Wechseldatenträger, nur mit 0xff sind schon alle Arten von Laufwerken ausgeschaltet (autorun)...

Siehst Du das DVD-Laufwerk oder ist es ausgeblendet im Explorer?
Handelt es sich um zwei Laufwerke (CD und DVD) oder um ein Laufwerk?
Lass im Gerätemanager mal nach neuer HW suchen, vielleicht findet er es dann wieder und aktualisiert die Treiber...

Prüfe im Gerätemanager ob vor dem Laufwerk ein gelbes Fragezeigen eingeblendet ist (Treiberproblem)...
Ev. hat es was mit dem wiederhergestelltem SATA-Treiber (ahcix86.sys) zu tun, hast Du eine entsprechende Treiber-CD für den Rechner?

chris

@Wachsgestalt
Bitte einen eigenen Thread eröffnen mit:

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris