Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Security Guard blockiert meinen Laptop, kein abgesicherter Modus möglich (https://www.trojaner-board.de/84575-security-guard-blockiert-meinen-laptop-kein-abgesicherter-modus-moeglich.html)

juwe77 06.04.2010 15:08
Security Guard blockiert meinen Laptop, kein abgesicherter Modus möglich
 
Hallo,
ich habe seit heute das gleiche Problem wie von Gerd http://www.trojaner-board.de/84538-s...-moeglich.html beschrieben. Ich kann nicht im abgesicherten Modus starten! Hat jemand noch eine Idee?
Vielen Dank schon im Voraus für jeden Tipp.
Grüße aus Mainz, Jens

cosinus 07.04.2010 12:56
Hallo und :hallo:

Was passiert beim Starten in den abgesicherten Modus? Bluescreen oder kommt einfach garnichts?
Geht noch die letzte bekannte funktionierende Konfiguration?

juwe77 07.04.2010 13:07
Hallo,

nach dem Starten erscheint der Dektop-Hintergrund ohne Symbole mit einem kleinen Fensterchen von Secuity Gard mit einem OK-Button. Klicke ich auf diesen, versucht sich der Rechner ins Internet einzuwählen und es erscheint eine Seite wo ich ein Programm kaufen soll.

Wenn ich im abgesicherten Modus oder von Windows-CD starte immer das gleiche Spiel.

In einer PE-Umgebung habe ich einen Systemscan mit OTLPE laufen lassen.

Hier der Logfile:

OTL logfile created on: 4/7/2010 9:02:13 AM - Run
OTLPE by OldTimer - Version 3.1.37.1 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,023.00 Mb Total Physical Memory | 784.00 Mb Available Physical Memory | 77.00% Memory free
907.00 Mb Paging File | 844.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 23.44 Gb Total Space | 2.80 Gb Free Space | 11.94% Space Free | Partition Type: NTFS
Drive D: | 51.11 Gb Total Space | 1.96 Gb Free Space | 3.84% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive X: | 276.80 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO
Current User Name: SYSTEM
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
Using ControlSet: ControlSet004

========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | System] -- -- (TDSSserv.sys)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | On_Demand] -- -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand] -- -- (DSDrv4)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - File not found [Kernel | System] -- -- (Beep)
DRV - File not found [Kernel | System] -- -- (avgio)
DRV - [2009/12/08 02:59:25 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/06/10 00:08:31 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/04/28 06:31:55 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/01/23 04:49:08 | 000,037,664 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tbhsd.sys -- (tbhsd)
DRV - [2008/04/13 22:23:26 | 000,040,840 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\termdd.sys -- (TermDD)
DRV - [2008/04/13 14:53:09 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2008/04/13 14:46:22 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2008/04/13 14:46:20 | 000,048,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\61883.sys -- (61883)
DRV - [2008/04/13 14:46:20 | 000,038,912 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avc.sys -- (Avc)
DRV - [2008/04/13 14:46:09 | 000,051,200 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\msdv.sys -- (MSDV)
DRV - [2008/04/13 14:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbaudio.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2007/10/03 20:14:12 | 000,484,736 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\emBDA.sys -- (USB28xxBGA)
DRV - [2007/10/03 20:13:54 | 000,038,656 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\emOEM.sys -- (USB28xxOEM)
DRV - [2006/05/15 09:35:56 | 000,090,800 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\se27unic.sys -- (se27unic) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM)
DRV - [2006/05/15 09:35:48 | 000,086,560 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SE27obex.sys -- (SE27obex)
DRV - [2006/05/15 09:35:48 | 000,018,704 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\se27nd5.sys -- (se27nd5) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS)
DRV - [2006/05/15 09:35:46 | 000,088,688 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SE27mgmt.sys -- (SE27mgmt) Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM)
DRV - [2006/05/15 09:35:42 | 000,097,184 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SE27mdm.sys -- (SE27mdm)
DRV - [2006/05/15 09:35:42 | 000,009,360 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SE27mdfl.sys -- (SE27mdfl)
DRV - [2006/05/15 09:35:36 | 000,061,600 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SE27bus.sys -- (SE27bus) Sony Ericsson Device 039 Driver driver (WDM)
DRV - [2006/04/21 21:44:39 | 000,008,064 | ---- | M] (Elaborate Bytes AG) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys -- (ElbyCDIO)
DRV - [2006/03/02 04:59:33 | 000,014,940 | ---- | M] (Ericsson Mobile Communications AB) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Epiusb.sys -- (Epiusb)
DRV - [2006/02/23 12:16:36 | 000,264,704 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2005/12/16 02:06:21 | 000,027,776 | R--- | M] (DiBcom SA) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\modbda2.sys -- (MODBDA2)
DRV - [2005/12/16 02:06:21 | 000,016,768 | R--- | M] (DiBcom S.A) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\modload2.sys -- (MODLOAD2)
DRV - [2005/10/07 10:42:14 | 000,038,468 | ---- | M] (Alcor Micro Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Sunkfilt.sys -- (SunkFilt)
DRV - [2005/08/02 17:10:13 | 000,032,512 | ---- | M] (CACE Technologies) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF)
DRV - [2005/05/03 11:34:02 | 000,027,392 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL)
DRV - [2005/02/11 05:24:24 | 000,079,488 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750obex.sys -- (k750obex)
DRV - [2005/02/11 05:22:48 | 000,081,728 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750mgmt.sys -- (k750mgmt)
DRV - [2005/02/11 05:21:10 | 000,089,872 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750mdm.sys -- (k750mdm)
DRV - [2005/02/11 05:21:02 | 000,006,576 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750mdfl.sys -- (k750mdfl)
DRV - [2005/02/11 05:19:20 | 000,055,216 | R--- | M] (MCCI) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\k750bus.sys -- (k750bus) Sony Ericsson 750 driver (WDM)
DRV - [2004/09/08 05:51:42 | 000,229,760 | R--- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wisgostrm.sys -- (WISTechVIDCAP)
DRV - [2004/08/03 17:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2004/03/09 23:18:00 | 000,012,800 | R--- | M] (anchor chips) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\WisTunerLoader.sys -- (WisTunerLoader) WIS EZ-USB FX2 FIRMWARE LOADER (WisTunerLoader.sys)
DRV - [2004/02/02 23:58:36 | 000,334,880 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ctdvda2k.sys -- (ctdvda2k)
DRV - [2004/01/01 14:52:34 | 001,646,720 | R--- | M] (Intel® Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\w22n51.sys -- (w22n51) Intel(R)
DRV - [2003/12/19 15:15:50 | 000,015,263 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\BrScnUsb.sys -- (BrScnUsb)
DRV - [2003/12/19 08:07:50 | 000,541,548 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2003/12/12 05:28:36 | 000,911,488 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sbusb.sys -- (sbusb)
DRV - [2003/12/12 00:50:04 | 000,647,680 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2003/12/11 11:54:14 | 000,391,424 | R--- | M] (Sensaura Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2003/11/24 04:45:52 | 000,130,352 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ctsfm2k.sys -- (ctsfm2k)
DRV - [2003/11/24 04:44:26 | 000,178,672 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ctoss2k.sys -- (ossrv)
DRV - [2003/09/23 11:07:10 | 001,197,740 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2003/03/05 07:19:28 | 000,015,840 | ---- | M] (Creative Technology Ltd.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\PfModNT.sys -- (PfModNT)
DRV - [2002/07/17 04:05:10 | 000,016,512 | ---- | M] (Adaptec) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASPI32.SYS -- (ASPI)
DRV - [2001/09/10 14:09:46 | 000,057,392 | ---- | M] (Macrovision) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\CDANT.SYS -- (C-Dilla)
DRV - [1999/04/21 23:38:00 | 000,073,216 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS -- (Sentinel)


========== Files/Folders - Created Within 30 Days ==========

[2010/04/06 09:22:59 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\oodag
[2010/04/06 08:49:13 | 000,000,000 | ---D | C] -- C:\Avenger
[2010/04/06 07:44:41 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\LocalService\Favoriten
[2010/04/06 07:32:41 | 000,000,000 | -HSD | C] -- C:\WINDOWS\system32\config\systemprofile\IETldCache
[2010/04/06 07:32:33 | 000,000,000 | -HSD | C] -- C:\WINDOWS\System32\lowsec
[2010/03/18 12:13:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\OpenOffice.org
[2010/03/18 12:09:42 | 000,000,000 | ---D | C] -- C:\Programme\JRE
[2010/03/18 12:09:07 | 000,000,000 | ---D | C] -- C:\Programme\OpenOffice.org 3
[2010/03/18 12:08:24 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010/03/18 12:08:24 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010/03/18 12:08:24 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010/03/15 12:21:14 | 000,000,000 | R--D | C] -- \I386
[2010/03/15 12:20:18 | 000,000,000 | R--D | C] -- \SFX
[2010/03/15 12:15:34 | 000,000,000 | R--D | C] -- \PROGRAMS
[2010/03/10 02:20:14 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe
[2010/02/28 08:08:35 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pcouffin.sys
[2005/06/03 14:08:04 | 000,059,392 | ---- | C] ( ) -- C:\WINDOWS\System32\a3d.dll
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\Dokumente und Einstellungen\Jens\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Jens\Eigene Dateien\*.tmp -> ]
[12 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Jens\*.tmp files -> C:\Dokumente und Einstellungen\Jens\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010/04/06 11:45:04 | 000,262,144 | -H-- | M] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[2010/04/06 11:45:02 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010/04/06 11:44:43 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010/04/06 11:44:41 | 018,087,936 | -H-- | M] () -- C:\Dokumente und Einstellungen\Jens\NTUSER.DAT
[2010/04/06 11:44:41 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Jens\ntuser.ini
[2010/04/06 11:42:48 | 000,001,828 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\Security Guard.lnk
[2010/04/06 11:42:41 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010/04/06 11:42:18 | 000,238,054 | RHS- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010/04/06 11:42:18 | 000,000,236 | ---- | M] () -- C:\WINDOWS\tasks\OGALogon.job
[2010/04/06 11:41:52 | 000,393,723 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor
[2010/04/06 07:33:50 | 000,330,240 | ---- | M] () -- C:\WINDOWS\servicelayer.exe
[2010/04/06 07:33:15 | 000,020,000 | ---- | M] () -- C:\WINDOWS\System32\y1zufuyfj.dll
[2010/04/06 07:32:33 | 000,049,152 | -H-- | M] () -- C:\WINDOWS\System32\rqrqom.dll
[2010/04/06 07:32:31 | 000,274,432 | ---- | M] () -- C:\WINDOWS\odbnsy.exe
[2010/04/05 12:00:00 | 000,000,448 | ---- | M] () -- C:\WINDOWS\tasks\ParetoLogic Registration.job
[2010/04/05 09:57:32 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2010/04/01 10:07:08 | 000,105,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/04/01 02:09:12 | 000,174,200 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010/03/31 11:57:40 | 000,569,315 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\SUP018MR.pdf
[2010/03/30 17:21:11 | 001,050,652 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010/03/30 17:21:11 | 000,451,970 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010/03/30 17:21:11 | 000,435,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010/03/30 17:21:11 | 000,080,928 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010/03/30 17:21:11 | 000,068,156 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010/03/19 02:45:34 | 000,790,728 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010/03/18 13:27:24 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010/03/18 12:14:10 | 000,000,869 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk
[2010/03/18 12:08:07 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deploytk.dll
[2010/03/18 12:08:07 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010/03/18 12:08:07 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010/03/18 12:08:07 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010/03/18 12:08:07 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010/03/14 14:34:21 | 000,146,245 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\34101919_1.pdf
[2010/03/13 16:03:54 | 000,088,055 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\show_area.php.jpg
[2010/03/12 20:18:00 | 000,000,362 | ---- | M] () -- C:\WINDOWS\tasks\DriverCure.job
[2010/03/11 15:44:31 | 005,009,409 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens\Desktop\Anleitung Panasonic Telefon.pdf
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\Dokumente und Einstellungen\Jens\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Jens\Eigene Dateien\*.tmp -> ]
[12 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Jens\*.tmp files -> C:\Dokumente und Einstellungen\Jens\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010/04/06 07:34:44 | 000,001,828 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\Security Guard.lnk
[2010/04/06 07:33:52 | 000,330,240 | ---- | C] () -- C:\WINDOWS\servicelayer.exe
[2010/04/06 07:33:15 | 000,020,000 | ---- | C] () -- C:\WINDOWS\System32\y1zufuyfj.dll
[2010/04/06 07:32:34 | 000,274,432 | ---- | C] () -- C:\WINDOWS\odbnsy.exe
[2010/04/06 07:32:33 | 000,049,152 | -H-- | C] () -- C:\WINDOWS\System32\rqrqom.dll
[2010/03/31 11:57:40 | 000,569,315 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\SUP018MR.pdf
[2010/03/23 13:48:25 | 000,164,103 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\presseschau_2010_01_08_.pdf
[2010/03/18 12:14:10 | 000,000,869 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk
[2010/03/15 12:19:43 | 000,001,177 | R--- | C] () -- \reatogoMenu.ini
[2010/03/15 12:15:29 | 000,000,000 | R--- | C] () -- \WIN51IP.SP2
[2010/03/15 12:15:29 | 000,000,000 | R--- | C] () -- \WIN51IP
[2010/03/14 14:34:21 | 000,146,245 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\34101919_1.pdf
[2010/03/13 16:03:52 | 000,088,055 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\show_area.php.jpg
[2010/03/11 15:44:28 | 005,009,409 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Desktop\Anleitung Panasonic Telefon.pdf
[2010/02/28 08:08:43 | 000,000,034 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pcouffin.log
[2010/02/28 08:08:35 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\inst.exe
[2010/02/28 08:08:35 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pcouffin.cat
[2010/02/28 08:08:35 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pcouffin.inf
[2010/02/27 15:26:12 | 000,290,816 | ---- | C] () -- C:\WINDOWS\System32\decdll.dll
[2010/02/21 09:57:52 | 000,178,176 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2010/01/15 04:30:50 | 000,021,504 | ---- | C] () -- C:\WINDOWS\System32\WBCustomizer.dll
[2010/01/10 09:39:35 | 008,676,883 | ---- | C] () -- C:\WINDOWS\System32\mp3Media2.dll
[2009/08/03 09:07:42 | 000,403,816 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2009/05/20 11:15:26 | 000,000,135 | ---- | C] () -- C:\WINDOWS\wwwbatch.ini
[2009/05/20 11:13:35 | 000,172,032 | ---- | C] () -- C:\WINDOWS\WsBtn.dll
[2008/11/06 02:33:46 | 000,016,177 | ---- | C] () -- C:\WINDOWS\System32\vicak.dll
[2008/11/06 02:33:46 | 000,015,788 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\unyfufize.sys
[2008/11/06 02:33:46 | 000,014,508 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\ovynod.bin
[2008/11/06 02:33:46 | 000,013,918 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pywaxu.sys
[2008/11/06 02:33:46 | 000,013,784 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\byzicume.dat
[2008/11/06 02:33:46 | 000,012,128 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\ywynipi._sy
[2008/11/06 02:33:46 | 000,010,168 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\ikycigi.lib
[2008/11/05 14:34:14 | 000,000,036 | ---- | C] () -- C:\WINDOWS\rasqervy.dll
[2008/11/05 14:34:13 | 000,000,004 | ---- | C] () -- C:\WINDOWS\sdfinacs.dll
[2008/11/05 14:34:11 | 000,000,004 | ---- | C] () -- C:\WINDOWS\sdfixwcs.dll
[2008/11/05 14:32:55 | 000,000,100 | ---- | C] () -- C:\WINDOWS\wuasirvy.dll
[2008/09/22 13:25:46 | 000,062,464 | ---- | C] () -- C:\WINDOWS\System32\Mod32.dll
[2008/09/22 13:25:44 | 000,574,976 | ---- | C] () -- C:\WINDOWS\System32\HEKRNL32.DLL
[2008/09/22 13:25:44 | 000,225,792 | ---- | C] () -- C:\WINDOWS\System32\IMGMAN30.DLL
[2008/09/22 13:25:44 | 000,187,392 | ---- | C] () -- C:\WINDOWS\System32\HEICON32.DLL
[2008/09/22 13:25:44 | 000,155,136 | ---- | C] () -- C:\WINDOWS\System32\HEMENU32.DLL
[2008/09/22 13:25:44 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\HEDLG32.DLL
[2008/09/22 13:25:44 | 000,067,072 | ---- | C] () -- C:\WINDOWS\System32\HERTF32.DLL
[2008/09/22 13:25:44 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\HETOOL32.DLL
[2008/09/03 05:45:14 | 000,000,050 | ---- | C] () -- C:\WINDOWS\Progs_.ini
[2008/07/20 06:24:07 | 000,001,943 | ---- | C] () -- C:\WINDOWS\vtplus32.ini
[2008/07/20 06:24:04 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2008/07/20 06:23:37 | 000,032,297 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2008/07/20 06:23:08 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\hcwChDB.dll
[2008/07/20 06:22:43 | 000,002,094 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI
[2008/06/18 09:59:56 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008/05/28 12:44:31 | 000,000,051 | ---- | C] () -- C:\WINDOWS\TSetup.INI
[2008/03/16 13:05:40 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2008/03/16 13:05:40 | 000,110,080 | ---- | C] () -- C:\WINDOWS\System32\advd.dll
[2008/03/16 13:05:40 | 000,023,040 | ---- | C] () -- C:\WINDOWS\System32\auth.dll
[2007/07/21 04:33:56 | 000,000,009 | ---- | C] () -- C:\Programme\LANGUAGE.INF
[2007/07/21 04:30:21 | 000,000,163 | ---- | C] () -- C:\WINDOWS\SIERRA.INI
[2007/05/20 15:11:23 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2007/05/20 15:11:22 | 000,471,552 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll
[2007/05/20 14:07:29 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\AVEQT.dll
[2007/05/19 10:54:41 | 000,106,047 | ---- | C] () -- C:\WINDOWS\System32\NWNETAPI.DLL
[2007/05/19 10:54:41 | 000,035,308 | ---- | C] () -- C:\WINDOWS\System32\NWIPXSPX.DLL
[2007/03/29 03:05:13 | 000,000,021 | ---- | C] () -- C:\WINDOWS\CS_SETUP.ini
[2007/01/25 16:34:11 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2007/01/25 16:34:11 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2006/12/12 05:58:21 | 000,003,301 | ---- | C] () -- C:\WINDOWS\tm.ini
[2006/12/12 05:50:22 | 000,000,228 | ---- | C] () -- C:\WINDOWS\BUHL.INI
[2006/11/24 17:02:28 | 000,105,472 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006/11/11 16:52:52 | 000,454,656 | ---- | C] () -- C:\WINDOWS\System32\mmSQL.dll
[2006/08/28 05:06:53 | 000,000,088 | ---- | C] () -- C:\WINDOWS\Mensa2.ini
[2006/06/09 07:34:18 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll
[2006/06/09 07:30:01 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\bdadll.dll
[2006/05/30 12:55:22 | 000,229,760 | R--- | C] () -- C:\WINDOWS\System32\drivers\wisgostrm.sys
[2006/05/30 12:55:22 | 000,021,504 | R--- | C] () -- C:\WINDOWS\System32\drivers\wisboard.dll
[2006/05/30 12:00:22 | 000,000,034 | ---- | C] () -- C:\WINDOWS\DevCap.ini
[2006/05/27 08:06:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI
[2006/03/24 07:06:41 | 000,000,053 | R--- | C] () -- \AUTORUN.INF
[2006/01/23 10:57:25 | 000,002,724 | ---- | C] () -- C:\WINDOWS\dibDVBT.ini
[2006/01/23 08:22:21 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2005/10/12 14:48:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2005/10/11 14:14:49 | 000,000,050 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2005/10/11 14:14:49 | 000,000,040 | ---- | C] () -- C:\WINDOWS\opt_2460.ini
[2005/10/11 13:56:17 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini
[2005/10/11 13:44:31 | 000,001,371 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2005/10/11 13:44:31 | 000,000,425 | ---- | C] () -- C:\WINDOWS\brwmark.ini
[2005/10/11 13:44:31 | 000,000,147 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2005/10/11 13:44:31 | 000,000,079 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2005/10/11 13:37:04 | 000,027,114 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2005/10/10 07:52:31 | 000,066,560 | ---- | C] () -- C:\WINDOWS\System32\D32util.dll
[2005/10/10 07:52:30 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\Dbmvs32.dll
[2005/09/13 07:46:06 | 000,000,222 | ---- | C] () -- C:\WINDOWS\psui.INI
[2005/09/04 14:29:45 | 000,002,369 | ---- | C] () -- C:\WINDOWS\ULEAD32.INI
[2005/08/13 01:28:33 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2005/08/02 17:24:01 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2005/07/31 17:19:55 | 000,000,041 | ---- | C] () -- C:\WINDOWS\pos.ini
[2005/07/30 04:25:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OPPRIN~1.INI
[2005/07/25 08:11:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NokiaContentCopier.INI
[2005/07/16 17:36:50 | 000,240,128 | R--- | C] () -- \reatogoMenu.exe
[2005/06/13 16:47:00 | 000,073,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\SENTINEL.SYS
[2005/06/13 16:47:00 | 000,047,616 | ---- | C] () -- C:\WINDOWS\System32\SNTI386.DLL
[2005/06/13 16:47:00 | 000,017,920 | ---- | C] () -- C:\WINDOWS\System32\RNBOVDD.DLL
[2005/06/05 11:11:46 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005/06/03 14:08:30 | 000,000,231 | ---- | C] () -- C:\WINDOWS\AC3API.INI
[2005/06/03 14:07:58 | 000,005,981 | ---- | C] () -- C:\WINDOWS\System32\SBUSB.INI
[2005/06/03 14:05:51 | 000,000,072 | ---- | C] () -- C:\WINDOWS\SBWIN.INI
[2005/05/24 18:36:29 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL
[2005/05/24 18:36:14 | 000,000,123 | ---- | C] () -- C:\WINDOWS\KPCMS.INI
[2005/05/24 18:13:07 | 000,000,516 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005/05/24 16:12:44 | 000,000,109 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2005/05/24 14:49:34 | 000,155,648 | R--- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2005/05/24 13:23:59 | 000,040,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\termdd.sys
[2004/10/26 18:39:05 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2003/12/12 00:42:14 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll
[2002/12/10 10:18:02 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2002/03/04 04:16:34 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Jpeg32.dll
[2002/01/25 12:59:49 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System32\msxclv11.dll
[2001/03/06 13:47:48 | 000,077,560 | ---- | C] () -- C:\WINDOWS\System32\libungif.dll
[2000/12/18 20:40:34 | 000,031,824 | ---- | C] () -- C:\Programme\KWR.hlp

========== LOP Check ==========

[2010/02/27 15:26:48 | 000,000,000 | ---D | M] -- C:\WINDOWS\System32\config\systemprofile\Anwendungsdaten\Application Updater
[2008/01/31 14:46:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\AD ON Multimedia
[2009/05/12 05:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Ahnenblatt
[2007/01/25 16:35:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\AVSMedia
[2010/04/01 02:07:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Canon
[2009/01/14 13:10:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\DriverCure
[2008/05/21 05:49:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\FileZilla
[2010/02/27 15:26:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\FreeVideoConverter
[2010/04/06 07:20:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\ICQ
[2005/05/24 17:38:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\ICQLite
[2009/01/28 11:14:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Mobile Master
[2010/03/18 12:13:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\OpenOffice.org
[2008/05/09 09:09:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\RTPlayer
[2005/12/14 03:50:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\ScanSoft
[2010/03/04 15:40:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Stammbaumdrucker
[2008/11/05 04:37:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Thunderbird
[2010/02/28 08:08:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Vso
[2010/03/15 12:21:14 | 000,000,000 | R--D | M] -- \I386
[2010/03/15 12:15:34 | 000,000,000 | R--D | M] -- \PROGRAMS
[2010/03/15 12:20:18 | 000,000,000 | R--D | M] -- \SFX
[2010/03/12 20:18:00 | 000,000,362 | ---- | M] () -- C:\WINDOWS\Tasks\DriverCure.job
[2010/04/06 11:42:18 | 000,000,236 | ---- | M] () -- C:\WINDOWS\Tasks\OGALogon.job
[2010/04/05 12:00:00 | 000,000,448 | ---- | M] () -- C:\WINDOWS\Tasks\ParetoLogic Registration.job

========== Purity Check ==========


< End of report >

Vielen Dank für eure weitere Hilfe.

Viele Grüße, Jens

cosinus 07.04.2010 13:32
Aber Windows ist an sich bedienbar? Dann geh mal in den abegsicherten Modus mit Netzwerktreibern (für Internetzugang) dann mal diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

juwe77 07.04.2010 13:46
nein, das geht nicht. ich komme nicht in den abgesicherten modus mit netzwerktreibern. fehlermeldung: windows konnte leider nicht erfolgreich gestartet werden. dies kann durch eine vor kurzem erfolgte Hardware- odder Softwareänderung verursacht worden sein.

Auch mit der letzten als funktionierend bekannte Konfiguration kann ich nicht starten.

Bisher hatte ich nur mit der PE-Umgebung erfolg beim starten.

cosinus 07.04.2010 13:55
Okay, dann hab ich das flasch verstanden.

Zitat:
C:\Avenger
Was hast Du da schon mitm Avenger gemacht? :eek:

Zitat:
C:\WINDOWS\servicelayer.exe
C:\WINDOWS\System32\y1zufuyfj.dll
C:\WINDOWS\System32\rqrqom.dll
C:\WINDOWS\odbnsy.exe
Bitte mal alle umbenennen (an jeder Datei ein .vir dranhängen) und zB nach c:\vir verschieben.

juwe77 07.04.2010 14:14
so, habe jetzt über die PE-Umgebung die 4 Dateien umbenannt und in anderen ordner verschoben, so wie vorgeschlagen. Computer neu gestartet, allerdings ohne erfolg. dieses fenster von security guard ist immer noch da....

cosinus 07.04.2010 14:21
Was hast Du mit dem Avenger schon gelöscht?

juwe77 07.04.2010 14:30
an den Avenger kann ich mich ehrlich gesagt nicht mehr erinnern, der muss von ein paar Jahren noch drauf sein...

cosinus 07.04.2010 14:36
Zitat:
[2010/04/06 08:49:13 | 000,000,000 | ---D | C] -- C:\Avenger
Und wieso wurde der Ordner erst gestern erstellt? Geh da mal rein und sieht nach einer backup.zip nach.

juwe77 07.04.2010 14:39
ich habe ein neues großes problem, wenn ich jetzt die PE-Umgebung von CD starten will, kommt dass windows nicht installiert wäre, kann ich dich mal anrufen???

cosinus 07.04.2010 14:41
Nö, Support nur via Forum.
Ich vermute, Du hast Dir mit dem Avenger das System zerschossen. Hast Du sowas wie Knoppix zur hand, um wenigstens noch Daten sichern zu können bei Bedarf?

juwe77 07.04.2010 14:47
hmm, ok. momentan startet er wieder in die PE-Umgebung, ich schau gleich mal nach der zip. aber mit dem avenger hab ich defintiv nichts gemacht und schon gar nicht gestern um 08:49:13, da war ich defintiv arbeiten und der rechner aus

cosinus 07.04.2010 14:49
Dann stimmt Deine Datumeinstellung nicht, oder jmd anderes war an Deinem PC. :D

juwe77 07.04.2010 14:55
also in dem ordner ist nur eine logon.exe datei drin, hilft die mir weiter?

cosinus 07.04.2010 14:59
logon oder winlogon?
Kannste die Datei mal hochladen > file-upload.net und hier verlinken?

juwe77 07.04.2010 15:00
ich habe gerade unter c:\ noch eine avenger.txt datei gefunden, soll ich den inhalt hier mal rein stellen?

cosinus 07.04.2010 15:02
Jau, bitte posten! Welches Erstellungsdatum hat die Avenger.txt?

juwe77 07.04.2010 15:13
so, hier beide dateien:

hxxp://www.file-upload.net/download-2415685/avenger.zip.html

die avenger.txt ist auch von gestern!

cosinus 07.04.2010 15:16
Haben noch andere Zugriff auf Dein Rechner?

Das hat der Avenger geloggt, da wurde definitiv mit dem Tool gescriptet:

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\cmd16.exe" not found!
Deletion of file "C:\WINDOWS\system32\cmd16.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\svc.exe" not found!
Deletion of file "C:\WINDOWS\svc.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\svw.exe" not found!
Deletion of file "C:\WINDOWS\svw.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\lsass.exe" not found!
Deletion of file "C:\WINDOWS\lsass.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\ctfmon.exe" not found!
Deletion of file "C:\WINDOWS\ctfmon.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\logon.exe" deleted successfully.

Error: file "C:\WINDOWS\svx.exe" not found!
Deletion of file "C:\WINDOWS\svx.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\wdmon.exe" not found!
Deletion of file "C:\WINDOWS\wdmon.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\60325cahp25ca0.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\60325cahp25ca0.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

juwe77 07.04.2010 15:19
nein, nicht dass ich wüsste. kannst du da was draus erkennen? können wir damit das problem lösen?

cosinus 07.04.2010 15:22
Eigentlich ist die logon.exe malware, ich glaube aber, wenn wir die nach system32 zurückkopieren, startet der Rechner wieder. Dann hätte man zumindest wieder ein laufendes Windows und man könnte daraus versuchen zu bereinigen. Probier das mal.

juwe77 07.04.2010 15:28
die vier umbenannten dateien mit endung vir sollen aber in dem extra angelegten ordner bleiben? was soll ich mit denen machen? löschen? was sind das überhaupt für dateien?

juwe77 07.04.2010 15:31
logon.exe in system32 hat auch nichts gebracht. ich sollte ja logon.exe nur kopieren, nicht löschen

cosinus 07.04.2010 17:12
Hm...
Also Windows startet schon normal durch, nur kannst Du keine Eingaben machen, weil das SecurityTeil alles blockiert? Ist das richtig? Kommst Du mit dem Affengriff in den Taskamanger?

juwe77 07.04.2010 17:28
genau. auf affengriff folgt keine reaktion. hatte ich auch schon mal probiert.

cosinus 07.04.2010 17:39
Zitat:
C:\WINDOWS\System32\lowsec
Dieser Ordner fiel mir eben erst auf. In der PE-Umgebung bitte löschen. Poste bitte auch ein frisches Logfile. File Age bitte auf 90 Tage setzen.

juwe77 07.04.2010 19:48
der ordner ist nach dem neustart wieder da, habe ihn erneut gelöscht und danach logfile erstellt:

hxxp://www.file-upload.net/download-2416582/OTL2.Txt.html

cosinus 07.04.2010 20:25
AUha, so langsam wird mir klar warum der Rechner nicht startet. Hast Du da aus der PE-Umgebung einen Registry-Editor? Da müssen einige Einträge gefixt werden...

juwe77 07.04.2010 20:35
das versteh ich jetzt nicht, weis nicht was du damit meinst

cosinus 07.04.2010 20:38
Ok, ich versuch es so...normalerweise frickelt ich nicht an nicht nicht mehr startenden Kisten herum, aber ein Versuch mach ich mal. Ich poste gleich noch mal, einen Moment bitte.

Zitat:
c:\v5r
Was ist das für ein Ordner?

Zitat:
C:\WINDOWS\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\System32\vicak.dll
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\unyfufize.sys
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\ovynod.bin
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\pywaxu.sys
C:\Programme\Gemeinsame Dateien\byzicume.dat
C:\Programme\Gemeinsame Dateien\ywynipi._sy
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\ikycigi.lib
C:\WINDOWS\System32\logon.exe
Diese Dateien (falls vorhanden) bitte in einen "Quarantäneordner" verschieben wie zB c:\böse ;)

juwe77 07.04.2010 20:52
"v5r" ist der "vir"-ordner von vorhin, in der pe-umgebung spinnt die tastatur ein wenig...

bitte versuche mir weiter zu helfen. es kann ja nicht viel schlimmer werden... ich werde mich auch erkenntlich zeigen wenns wieder funktioniert

juwe77 07.04.2010 21:03
die dateien waren alle noch da, alle in quarantäne verschoben, soll ich jetzt pe-umgebung verlassen und normalen neustart versuchen?

cosinus 07.04.2010 21:18
Diesen Ordner bitte auch noch verschieben

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a515ffe

Probier dann mal den neustart. Im Moment bin ich noch am Frickeln, Scripte mit OTL hab ich bisher nicht gemacht, leider :o

juwe77 07.04.2010 21:39
so, rechner ist wieder am laufen, muss nur wieder logon.exe und rqrqom.dll zurück schieben, die sucht er und findet sie nicht

juwe77 07.04.2010 21:40
was schlägst du mir vor, welche programme soll ich jetzt drüber laufen lassen zum testen? soll ich avenger löschen?

cosinus 07.04.2010 21:40
Läuft?? Schön.

Dann mach mal gleich Malwarebytes im lauffähigen Windows! Datenbank vorher updaten und Vollscan machen!

juwe77 07.04.2010 21:47
ja läuft, nur die rqrqom.dll hab ich nicht mehr (scheinbar versehentlich gelöscht), wo bekomm ich die her?

cosinus 07.04.2010 21:51
Die brauchst Du nicht, das ist Malware!
Hat eigentlich nur das Verschieben den Erfolg gebracht oder musste unbedingt die logon.exe wieder nach system32?

juwe77 07.04.2010 22:04
nein, rechnet hat auch wieder ohne logon.exe in system 32 gestartet, es kamen nur immer die zwei fenster, die mir mitteilten, dass die zwei dateien fehlen und nicht gefunden werden konnten.
du sagst, dass ich die eine datei nicht brauche, ok, wie kann ich dann aber die fehlermeldung (fester) nach jedem neustart loswerden?
Suchlauf von malwarebytes läuft übrigens noch...

cosinus 07.04.2010 22:34
Das kriegen wir schon weg. Da ist "nur" noch ein Autostarteintrag von der malware über, der Fehler ist aber da, weil er die Datei natürlich nicht mehr finden kann...

cosinus 08.04.2010 15:19
Postest Du das Log von Malwarebytes noch?

juwe77 08.04.2010 16:05
hier das logfile von der nacht und heute früh:

hxxp://www.file-upload.net/download-2418738/mbam-log-2010-04-08--09-38-18-.zip.html

cosinus 08.04.2010 16:15
War ne fiese Infektion!

Zitat:
Datenbank Version: 3930
Aktualisier nochmal die Datenbanken in Malwarebytes und mach sicherheitshalber noch nen Vollscan!


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55