Virus oder Wurm lässt mich nicht auf die Registry zugreifen
 

Hallo, bei jedem start meines Computers bekomme ich 1 oder mehrere Virus Meldungen von AntiVir, einer ansu.exe in C: wenn ich Spybot Search & Destroy duchlaufen lasse wird nichts gefunden ebenso bei antivir.

allerdings wenn ich auf Regedit zugreifen will wird für einem bruchteil einer sekunde die konsole eingeblendet und wieder geschlossen

In den Startoptionen sind nur die Programme die ich auch wirklich gestartet haben will eben so hab ich die Dienste in der msconfig.exe duchsucht dort ist auch nichts abnormales

Bei Hijackthis werden mir ca 6 Fehler angezeigt die ich Fixen soll geht blos nicht ohne Regedit zugriff

was ist das :aufsmaul: bin schon fast an verzweifeln hoffe ihr könnt mir helfen ohne zu Formatieren :killpc:

Mfg Kombi

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Ich habe alle Angeschlossenen Datenspeicher mit in die suchen einbezogen

Dies ist mein LogFile von Hijack:

http://www.file-upload.net/download-...kthis.log.html

Ich will die anderen Logfiles sehen :rolleyes:

dann sag mir doch genau welche du sehen willst ?

Hast Du die verlinkte Liste nicht gelesen?

steht in der liste, hast du den link nicht gesehen?

€: too l8... =)

PS: cosinus, hab dir ne PM geschrieben :heilig:

Du hast nur ein Hijackthis-Logfile gepostet.
Ich will die Logs von RSIT und Malwarebytes oder hab ich die übersehen? :crazy:

Edit: Bekomm ich die User hier schon durcheinander? :balla: :dummguck:

ne ist richtig ist nur das Hijackthis Log RSIT startet noch nicht mal es schließt sich nach dem starten ohne fehlermeldung wieder Malwarebytes sucht gerade noch

Dann poste erstmal das Malwarebytes Logfile. Hast Du auf aktuelle Signauren für Malwarebytes geachtet?

jap hab ich

File-Upload.net - mbam-log-2010-01-26--14-36-07-.txt

Malwarebyte hat 6 dateien gefunden ich werde diese erstmal löschen mal schauen ob es was bringt

Die Datenbank-Version von Malwarebytes war veraltet (Aktuell jetzt müsste 3640 sein), bitte Malwarebytes aktualisieren und noch einen Vollscan machen.

Ok mach ich die Virus Meldungen am anfang siind weg nur auf die regedit.exe funktionirt immer noch nicht

Hier das neue Log File
File-Upload.net - mbam-log-2010-01-26--16-03-10-.txt

Hast Du die Funde auch entfernt?

Bitte noch ein Log mit CF machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ja sicher habe ich die Funde entfernt

ahm dieses programm beendet sich bei 36 mit nem Bluescreen in c wird keine .txt datei sondern eine datei vom typ dateiordner habs 2 mal ausprobiert

Hmm..
Dann mach bitte Logs mit OTL, abe schade, CF nimmt ein immer sehr viel Arbeit ab :(

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

ok das hat jetzt funktionirt

http://www.file-upload.net/download-...5/Otl.rar.html

Da seh ich so direkt (noch) nichts :balla:
Kannst Du auf die Registry (regedit) wieder zugreifen? Mach bitte auch einen Lauf mit GMER und poste das Log.

nein ich kann noch nicht darauf zugreifen

http://www.file-upload.net/download-2201352/Gemer.txt.html

Hier sitzt der Vogel :D
Schmeiß mal bitte die Windows-Suche nach nvstor.sys an (geschützte System- und versteckte Dateien in die Suche mit einbeziehen) und poste die Ausgabe - kompletter Pfad ist wichtig, sonst können wir die später nicht reparieren!

es wurden 2 dateien dieses names gefunden die erste in

C:\Windows\System32\DriverStore\FileReposit\nvraid.inf_x86_neutral_5bde3fe2945bce9e

und die 2. ist in

C:\Windows\system32\drivers\

1.) Lade von hier die originale nvstor.sys direkt auf c:\ (ins Basisverzeichnis) herunter. (diese nvstor.sys zum Herunterladen stammt aus meiner VistaSP2-Partition)

2.) Boote mal von der Vista-DVD, geh in die Wiederherstellungskonsole / Eingabeaufforderung. Dort diese beiden Befehle ausführen:

Wobei X: für den Buchstaben des Laufwerks mit der Vista-DVD steht. Bei Abfrage die nvstor.sys überschreiben mit Ja bestätigen!
Wenn der 2. Befehl erfolgreich war, neu starten (normal Vista von Platte), achte darauf, dass der Virenscanner die Datei c:\nvstor.bad in Ruhe lässt!!
Diese dann bitte diese bei Virustotal.com auswerten lassen und Ergebnislink posten.

ich hab aber windows 7 macht das n unterschied ?

Ups :o
Warte ich schau mal, ob ich ne nvstor.sys für Windows7 finde...schau Du mal in der Zwischenzeit auf der Windows7-DVD nach. Da müsste es eigentlich eine nvstor geben.

ok ich guck mal

ne keine nvstor.sys vorhanden auf der cd

Ok. Dann probier das bitte einfach mal mit der nvstor.sys aus, die ich hochgeladen habe, ich hoffe zwischen Vista und 7 sind da keine Unterschiede. Falls Dein System nicht mehr bootet, musst Du wieder über die Wiederherstellungskonsole die C:\nvstor.bad zurückkopieren, Überschreibungshinweis wieder mit J bestätigen.

copy c:\nvstor.bad c:\windows\system32\drivers\nvstor.sys

ok hab ich gemacht das ist das ergebnis

Virustotal. MD5: c99f251a5de63c6f129cf71933aced0f Heuristic.BehavesLike.Win32.Rootkit.L

Oha, konntest Du wirklich die nvstor.sys mit meiner Vista-nvstor ersetzen und Win7 bootete danach klaglos? :)

Mach bitte nen neuen Lauf mit GMER und poste wieder das Log.

Jop konnte ich,
funktionirt jetzt aufjedenfall alles wieder ich poste aber trozdem nochmal das Log vielen dank :)

Kannst Du denn jetzt wieder regedit ausführen? :confused:

ja läuft 1A mit *

Unglaublich :blabla:
Bin auf das GMER Logfile gespannt.

Tatsache hier der beweis ich kanns auch kaum glauben aber daran hats wohl gelegen..

und das Log

http://www.file-upload.net/download-.........txt.html

http://img163.imageshack.us/img163/4...benanntjzi.jpg