Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rogue-Antivir: SecurityTools, kann PC nicht starten (https://www.trojaner-board.de/85422-rogue-antivir-securitytools-pc-starten.html)

MLRS 28.04.2010 15:53
Rogue-Antivir: SecurityTools, kann PC nicht starten
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hi,

habe mir gestern Abend Security Tool eingefangen. Ich benutze XP
*Ich hab mir schon viel darüber durchgelesen, aber ich habe nichts das mein Problem löst gefunden*
Es hat das System ziemlich lahmgelegt und schließlich ist mein Computer abgestürzt.
Wenn ich ihn jetzt einzuschalten versuche lande ich nach wenigen Augenblicken auf einem schwarzen Bildschirm und es tut sich nichts.

Ich sehe ein paar Sekunden lang den Teil, wo ich F12 fürs BIOS-Setup drücken kann.Wenn ich F8 drücke und im gesicherten Modus starte sehe ich folgendes (Anhang) und es tut sich nichts

Ich würde gern das Formatieren umgehen, bitte helft mir :)

MLRS 28.04.2010 18:58
werden weitere Informationen benötigt?

Könnte eine System-Reparatur funktionieren?

Larusso 01.05.2010 14:40
Ok diese Anleitung ist groß. Drucke sie dir aus damit du weißt was du tun must.

Zwei Programme sind zu downloaden.

Schritt 1

ISOBurner
Dies wird dir erlauben die OTLPE ISO auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch. Wie brenne ich eine ISO Datei auf CD/DVD


Schritt 2
  • Download OTLPE.iso und brenne es mit ISOBurner auf eine CD. NOTE: Die Datei ist 292MB groß und wird deshalb ein wenig dauern bis du sie gedownloadet hast.
  • Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
  • Starte dein System neu und boote von der CD die du gerade erstellt hast.
    Note : Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, dann folge diesen Schritten hier
  • Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
  • Mache einen doppel Klick auf das OTLPE Icon.
  • Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Entsichere die Box "Automatically Load All Remaining Users" wenn sie gewählt ist und drücke OK.
  • OTL sollte nun starten. Ändere die folgenden Einstellungen
    • Change Drivers to Non-Microsoft
  • Drücke Run Scan um den Scan zu starten.
  • Wenn er fertig ist werden die Dateien in C:\OTL.txt gesichert
  • Kopiere diese Datei auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt der OTL.txt Datei in diesen Thread.

MLRS 16.05.2010 15:50
Hi,

ich war die letzten 2 Wochen nicht zu Hause, aber ich bin jetzt um so glücklicher zu wissen, dass man mir helfen kann :)

also das Booten war kein Problem, allerdings wurde ich nach dem Öffnen von OTPLE nur

"Do you wish to load remote user profile(s) for scanning"

gefragt und bei "Drivers" gab es keine Option "Non-Microsoft"

Es sind nur wenige Dateien, die ich unbedingt behalten will - Kann ich von REATOGO auf die alte Festplatte zugreifen, diese Dateien sichern und dann formatieren?

Am Ende der Scan für diese Einstellungen:
http://img299.imageshack.us/img299/6219/otplescreen.png

OTL logfile created on: 5/16/2010 5:09:58 PM - Run
OTLPE by OldTimer - Version 3.1.39.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,023.00 Mb Total Physical Memory | 827.00 Mb Available Physical Memory | 81.00% Memory free
907.00 Mb Paging File | 833.00 Mb Available in Paging File | 92.00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 18.64 Gb Total Space | 2.16 Gb Free Space | 11.61% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive X: | 280.77 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO
Current User Name: SYSTEM
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
Using ControlSet: ControlSet001

========== Win32 Services (SafeList) ==========

SRV - [2010/03/19 04:49:20 | 000,144,672 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2010/04/27 15:38:26 | 000,000,000 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\guqoip.sys -- (guqoip)
DRV - [2010/04/27 15:03:23 | 000,050,704 | ---- | M] (CACE Technologies, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF) WinPcap Packet Driver (NPF)
DRV - [2010/04/27 13:47:20 | 000,081,408 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\zoxwcakdiqrr1.sys -- (zoxwcakdiqrr1)
DRV - [2008/12/25 11:05:20 | 000,025,280 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2008/12/01 18:13:40 | 003,452,928 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005/11/03 10:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x)
DRV - [2005/08/10 08:44:04 | 000,050,688 | ---- | M] (Protection Technology) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005/05/16 09:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Hannes_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.orf.at/
IE - HKU\Hannes_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Hannes_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local



========== FireFox ==========

FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.orf.at/"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: wolfram-google@sidthemonkey.com:1.0

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010/04/17 06:33:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010/04/11 12:51:00 | 000,000,000 | ---D | M]

[2008/12/23 10:39:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hannes\Anwendungsdaten\mozilla\Extensions
[2010/04/27 14:49:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hannes\Anwendungsdaten\mozilla\Firefox\Profiles\wrgvessj.default\extensions
[2009/10/19 14:33:07 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Hannes\Anwendungsdaten\mozilla\Firefox\Profiles\wrgvessj.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009/12/19 17:19:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hannes\Anwendungsdaten\mozilla\Firefox\Profiles\wrgvessj.default\extensions\wolfram-google@sidthemonkey.com
[2009/10/28 16:55:06 | 000,001,980 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\Anwendungsdaten\Mozilla\FireFox\Profiles\wrgvessj.default\searchplugins\wolframalpha.xml
[2010/04/27 14:49:43 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010/03/16 14:28:04 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010/03/16 14:28:04 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010/03/16 14:28:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010/03/16 14:28:04 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010/03/16 14:28:04 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010/04/27 14:39:57 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKU\Hannes_ON_C\..\Toolbar\ShellBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKU\Hannes_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O4 - HKLM..\Run: [23281] C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\smlmmh.exe ()
O4 - HKU\.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (eSXi)
O4 - HKU\LocalService_ON_C..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (eSXi)
O4 - HKU\NetworkService_ON_C..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (eSXi)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Microsoft Driver Setup = C:\WINDOWS\cidrive32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: yj3h = C:\DOKUME~1\Hannes\LOKALE~1\Temp\ws6e.exe ( )
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Hannes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230044264567 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138 10.0.0.138
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\system32\sdra64.exe (Ihxazytuelyzuzanf)
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-4358775870-1374384493-064508695-2423\mgrls32.exe) - C:\RECYCLER\S-1-5-21-4358775870-1374384493-064508695-2423\mgrls32.exe ()
O20 - HKU\Hannes_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Hannes\csrss.exe) - C:\Dokumente und Einstellungen\Hannes\csrss.exe ()
O20 - HKU\Hannes_ON_C Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\Hannes_ON_C Winlogon: Shell - (C:\RECYCLER\S-1-5-21-4358775870-1374384493-064508695-2423\mgrls32.exe) - C:\RECYCLER\S-1-5-21-4358775870-1374384493-064508695-2423\mgrls32.exe ()
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O21 - SSODL: GootkitSSO - {0076778D-0C55-44F6-BB26-BE934AE8B6C7} - C:\WINDOWS\system32\msxsltsso.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: B:\Documents and Settings\Default User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: B:\Documents and Settings\Default User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O27 - HKLM IFEO\1: Debugger - C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/12/17 06:02:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{104fc5c8-d4e2-11dd-a59f-0030053b8a29}\Shell\AutoRun\command - "" = G:\
O33 - MountPoints2\{104fc5c8-d4e2-11dd-a59f-0030053b8a29}\Shell\explore\Command - "" = AUTORUN.EXE explore
O33 - MountPoints2\{104fc5c8-d4e2-11dd-a59f-0030053b8a29}\Shell\open\Command - "" = AUTORUN.EXE open
O33 - MountPoints2\{8dccdd74-4d35-11de-a6c3-0030053b8a29}\Shell\AutoRun\command - "" = F:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd74-4d35-11de-a6c3-0030053b8a29}\Shell\explore\command - "" = F:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd74-4d35-11de-a6c3-0030053b8a29}\Shell\open\command - "" = F:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd75-4d35-11de-a6c3-0030053b8a29}\Shell\AutoRun\command - "" = H:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd75-4d35-11de-a6c3-0030053b8a29}\Shell\explore\command - "" = H:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd75-4d35-11de-a6c3-0030053b8a29}\Shell\open\command - "" = H:\ZAPALICU\\sveslike.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: AppSecDll - (C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Anwendungsdaten\Windows Server\yesybr.dll) - C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Anwendungsdaten\Windows Server\yesybr.dll ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010/05/12 20:07:57 | 000,000,000 | R--D | C] -- \I386
[2010/05/12 20:07:01 | 000,000,000 | R--D | C] -- \SFX
[2010/05/12 20:02:18 | 000,000,000 | R--D | C] -- \PROGRAMS
[2010/04/27 15:03:23 | 000,281,104 | ---- | C] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\wpcap.dll
[2010/04/27 15:03:23 | 000,100,880 | ---- | C] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\Packet.dll
[2010/04/27 15:03:23 | 000,050,704 | ---- | C] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\drivers\npf.sys
[2010/04/27 15:01:23 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\NetworkService\Favoriten
[2010/04/27 14:42:31 | 000,000,000 | -HSD | C] -- C:\WINDOWS\System32\lowsec
[2010/04/27 14:41:08 | 000,578,560 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\kovtoedy
[2010/04/27 13:47:31 | 000,317,440 | ---- | C] (eSXi) -- C:\WINDOWS\System32\cooper.mine
[2010/04/27 13:44:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Anwendungsdaten\Windows Server
[2010/04/20 16:58:14 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2008/12/23 09:49:45 | 007,954,872 | ---- | C] (Mozilla) -- C:\Programme\Mozilla Firefox.exe
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010/05/16 17:08:33 | 001,201,534 | ---- | M] () -- C:\OTPLE Screen.bmp
[2010/04/27 15:38:29 | 004,194,304 | -H-- | M] () -- C:\Dokumente und Einstellungen\Hannes\NTUSER.DAT
[2010/04/27 15:38:29 | 000,229,376 | -H-- | M] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[2010/04/27 15:38:29 | 000,229,376 | -H-- | M] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[2010/04/27 15:38:26 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\guqoip.sys
[2010/04/27 15:38:25 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010/04/27 15:38:22 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010/04/27 15:38:19 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Hannes\ntuser.ini
[2010/04/27 15:07:07 | 000,000,880 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\Desktop\Security Tool.lnk
[2010/04/27 15:03:23 | 000,281,104 | ---- | M] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\wpcap.dll
[2010/04/27 15:03:23 | 000,100,880 | ---- | M] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\Packet.dll
[2010/04/27 15:03:23 | 000,050,704 | ---- | M] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\drivers\npf.sys
[2010/04/27 15:03:10 | 000,024,064 | ---- | M] () -- C:\WINDOWS\System32\drivers\890.exe
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At9.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At8.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At7.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At6.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At5.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At4.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At3.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At24.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At23.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At22.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At21.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At20.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At19.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At18.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At17.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At16.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At15.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At14.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At13.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At12.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At11.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At10.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\tasks\At1.job
[2010/04/27 15:01:22 | 000,036,864 | ---- | M] (eSXi) -- C:\WINDOWS\System32\ctfmon.exe
[2010/04/27 14:59:59 | 000,044,032 | ---- | M] () -- C:\WINDOWS\System32\oljumqta^.exe
[2010/04/27 14:59:59 | 000,044,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\oljumqta^.exe
[2010/04/27 14:59:45 | 000,000,001 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\oashdihasidhasuidhiasdhiashdiuasdhasd
[2010/04/27 14:40:42 | 000,317,440 | ---- | M] (eSXi) -- C:\WINDOWS\System32\cooper.mine
[2010/04/27 14:39:37 | 000,026,624 | ---- | M] () -- C:\WINDOWS\System32\reader_s.exe
[2010/04/27 14:39:37 | 000,026,624 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\reader_s.exe
[2010/04/27 14:37:59 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010/04/27 14:37:11 | 1072,746,496 | -HS- | M] () -- C:\hiberfil.sys
[2010/04/27 14:35:09 | 000,026,624 | ---- | M] () -- C:\lsass.exe
[2010/04/27 13:50:36 | 000,065,024 | ---- | M] () -- C:\WINDOWS\System32\h7t.wt
[2010/04/27 13:50:36 | 000,032,768 | ---- | M] () -- C:\WINDOWS\System32\hgtd.ruy
[2010/04/27 13:47:33 | 000,578,560 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\user32.dll
[2010/04/27 13:47:33 | 000,578,560 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\kovtoedy
[2010/04/27 13:47:33 | 000,135,168 | ---- | M] () -- C:\WINDOWS\System32\nmklo.dll
[2010/04/27 13:47:20 | 000,081,408 | ---- | M] () -- C:\WINDOWS\System32\drivers\zoxwcakdiqrr1.sys
[2010/04/27 13:46:43 | 000,042,496 | ---- | M] () -- C:\WINDOWS\System32\msxsltsso.dll
[2010/04/27 13:46:01 | 000,110,592 | RHS- | M] () -- C:\WINDOWS\cidrive32.exe
[2010/04/27 13:44:16 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010/04/24 12:12:34 | 000,162,816 | RHS- | M] () -- C:\Dokumente und Einstellungen\Hannes\csrss.exe
[2010/04/21 14:15:29 | 000,192,077 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\Desktop\ToT, Bsp. 7.pdf
[2010/04/20 12:25:03 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010/04/16 18:26:55 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010/05/16 17:08:33 | 001,201,534 | ---- | C] () -- C:\OTPLE Screen.bmp
[2010/05/12 20:06:22 | 000,001,052 | R--- | C] () -- \reatogoMenu.ini
[2010/05/12 20:02:13 | 000,000,000 | R--- | C] () -- \WIN51IP.SP2
[2010/05/12 20:02:12 | 000,000,000 | R--- | C] () -- \WIN51IP
[2010/04/27 15:07:07 | 000,000,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Hannes\Desktop\Security Tool.lnk
[2010/04/27 15:03:10 | 000,024,064 | ---- | C] () -- C:\WINDOWS\System32\drivers\890.exe
[2010/04/27 14:59:45 | 000,000,001 | ---- | C] () -- C:\Dokumente und Einstellungen\Hannes\oashdihasidhasuidhiasdhiashdiuasdhasd
[2010/04/27 13:50:36 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\hgtd.ruy
[2010/04/27 13:50:35 | 000,065,024 | ---- | C] () -- C:\WINDOWS\System32\h7t.wt
[2010/04/27 13:47:33 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\nmklo.dll
[2010/04/27 13:46:43 | 000,042,496 | ---- | C] () -- C:\WINDOWS\System32\msxsltsso.dll
[2010/04/27 13:46:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\guqoip.sys
[2010/04/27 13:46:08 | 000,110,592 | RHS- | C] () -- C:\WINDOWS\cidrive32.exe
[2010/04/27 13:46:06 | 000,026,624 | ---- | C] () -- C:\Dokumente und Einstellungen\Hannes\reader_s.exe
[2010/04/27 13:46:05 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\reader_s.exe
[2010/04/27 13:45:55 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At24.job
[2010/04/27 13:45:55 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At23.job
[2010/04/27 13:45:55 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At22.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At21.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At20.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At19.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At18.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At17.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At16.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At15.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At14.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At13.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At12.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At11.job
[2010/04/27 13:45:54 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At10.job
[2010/04/27 13:45:53 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At9.job
[2010/04/27 13:45:53 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At8.job
[2010/04/27 13:45:53 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At7.job
[2010/04/27 13:45:53 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At6.job
[2010/04/27 13:45:53 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At5.job
[2010/04/27 13:45:53 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At4.job
[2010/04/27 13:45:53 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At3.job
[2010/04/27 13:45:53 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At2.job
[2010/04/27 13:45:52 | 000,044,032 | ---- | C] () -- C:\WINDOWS\System32\oljumqta^.exe
[2010/04/27 13:45:52 | 000,044,032 | ---- | C] () -- C:\Dokumente und Einstellungen\Hannes\oljumqta^.exe
[2010/04/27 13:45:52 | 000,000,376 | ---- | C] () -- C:\WINDOWS\tasks\At1.job
[2010/04/27 13:45:24 | 000,081,408 | ---- | C] () -- C:\WINDOWS\System32\drivers\zoxwcakdiqrr1.sys
[2010/04/27 13:45:01 | 000,026,624 | ---- | C] () -- C:\lsass.exe
[2010/04/24 12:12:38 | 000,162,816 | RHS- | C] () -- C:\Dokumente und Einstellungen\Hannes\csrss.exe
[2010/04/21 14:15:29 | 000,192,077 | ---- | C] () -- C:\Dokumente und Einstellungen\Hannes\Desktop\ToT, Bsp. 7.pdf
[2010/01/16 13:10:02 | 000,000,008 | ---- | C] () -- C:\WINDOWS\f31.ini
[2009/12/09 16:19:50 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2009/09/24 16:05:30 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2009/02/03 10:52:54 | 000,042,496 | ---- | C] () -- C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/12/17 07:40:13 | 000,001,015 | ---- | C] () -- C:\WINDOWS\ATICIM.INI
[2008/12/17 07:12:39 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Hannes\ntuser.ini
[2008/12/17 07:12:38 | 000,757,760 | -H-- | C] () -- C:\Dokumente und Einstellungen\Hannes\ntuser.dat.LOG
[2008/12/17 07:12:36 | 004,194,304 | -H-- | C] () -- C:\Dokumente und Einstellungen\Hannes\NTUSER.DAT
[2008/12/17 06:07:20 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.ini
[2008/12/17 06:07:19 | 000,229,376 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[2008/12/17 06:07:19 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[2008/12/17 06:07:09 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[2008/12/17 06:07:09 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.ini
[2008/12/17 06:07:08 | 000,229,376 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[2006/03/24 07:06:41 | 000,000,053 | R--- | C] () -- \AUTORUN.INF
[2005/07/16 17:36:50 | 000,240,128 | R--- | C] () -- \reatogoMenu.exe
[2004/07/17 05:36:38 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys

========== LOP Check ==========

[2010/05/12 20:07:57 | 000,000,000 | R--D | M] -- \I386
[2010/05/12 20:02:18 | 000,000,000 | R--D | M] -- \PROGRAMS
[2010/05/12 20:07:01 | 000,000,000 | R--D | M] -- \SFX
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At10.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At11.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At12.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At13.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At14.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At15.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At16.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At17.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At18.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At19.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At2.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At20.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At21.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At22.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At23.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At24.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At3.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At4.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At5.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At6.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At7.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At8.job
[2010/04/27 15:01:23 | 000,000,376 | ---- | M] () -- C:\WINDOWS\Tasks\At9.job
[2010/04/27 14:37:59 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job

========== Purity Check ==========


< End of report >

Einen schönen Sonntag und DANKE für die Hilfe :)

Larusso 16.05.2010 16:25
Hy und willkommen zurück ;)

Dein System ist sehr schwer verseucht. Ich kann versuchen das wir es wieder clean bekommen, kann es aber in deinem Fall nicht garantieren.

Du hast einen Dropper am System der meist Virut herunterladet.
Hier eine Erläuterung von meiner Kollegin Petra, um was es sich bei Virut handelt.

Wie gesagt, eine Vermutung

Wenn Du formatieren willst, wäre das der beste Weg.
Ich möchte aber zuerst einmal das Sichtbare entfernen.

Bitte Schritt 1 auf dem sauberen Rechner ausführen !!!!

Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:
  1. Trenne den Rechner physikalisch vom Netz.
  2. Deaktiviere den Hintergrundwächter deines AVP.
  3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
  4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
  5. Wenn der Scan zuende ist, kannst du das Programm schließen.
  6. Starte Deinen Rechner neu.
Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.


schritt 2

Bitte speichere folgendes als fix.txt auf einen USB Stick.
Code:
:otl
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKU\Hannes_ON_C\..\Toolbar\ShellBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKU\Hannes_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O4 - HKLM..\Run: [23281] C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\smlmmh.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Microsoft Driver Setup = C:\WINDOWS\cidrive32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: yj3h = C:\DOKUME~1\Hannes\LOKALE~1\Temp\ws6e.exe ( )
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\system32\sdra64.exe (Ihxazytuelyzuzanf)
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-4358775870-1374384493-064508695-2423\mgrls32.exe) - C:\RECYCLER\S-1-5-21-4358775870-1374384493-064508695-2423\mgrls32.exe ()
O20 - HKU\Hannes_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Hannes\csrss.exe) - C:\Dokumente und Einstellungen\Hannes\csrss.exe ()
O20 - HKU\Hannes_ON_C Winlogon: Shell - (C:\RECYCLER\S-1-5-21-4358775870-1374384493-064508695-2423\mgrls32.exe) - C:\RECYCLER\S-1-5-21-4358775870-1374384493-064508695-2423\mgrls32.exe ()
O21 - SSODL: GootkitSSO - {0076778D-0C55-44F6-BB26-BE934AE8B6C7} - C:\WINDOWS\system32\msxsltsso.dll ()
O33 - MountPoints2\{8dccdd74-4d35-11de-a6c3-0030053b8a29}\Shell\AutoRun\command - "" = F:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd74-4d35-11de-a6c3-0030053b8a29}\Shell\explore\command - "" = F:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd74-4d35-11de-a6c3-0030053b8a29}\Shell\open\command - "" = F:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd75-4d35-11de-a6c3-0030053b8a29}\Shell\AutoRun\command - "" = H:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd75-4d35-11de-a6c3-0030053b8a29}\Shell\explore\command - "" = H:\ZAPALICU\\sveslike.exe -- File not found
O33 - MountPoints2\{8dccdd75-4d35-11de-a6c3-0030053b8a29}\Shell\open\command - "" = H:\ZAPALICU\\sveslike.exe -- File not found
O36 - AppCertDlls: AppSecDll - (C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Anwendungsdaten\Windows Server\yesybr.dll) - C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Anwendungsdaten\Windows Server\yesybr.dll ()
[2010/04/27 15:07:07 | 000,000,880 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\Desktop\Security Tool.lnk
[2010/04/27 15:03:10 | 000,024,064 | ---- | M] () -- C:\WINDOWS\System32\drivers\890.exe
[2010/04/27 14:59:59 | 000,044,032 | ---- | M] () -- C:\WINDOWS\System32\oljumqta^.exe
[2010/04/27 14:59:59 | 000,044,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\oljumqta^.exe
[2010/04/27 14:59:45 | 000,000,001 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\oashdihasidhasuidhiasdhiashdiuasdhasd
[2010/04/27 14:39:37 | 000,026,624 | ---- | M] () -- C:\WINDOWS\System32\reader_s.exe
[2010/04/27 14:39:37 | 000,026,624 | ---- | M] () -- C:\Dokumente und Einstellungen\Hannes\reader_s.exe
[2010/04/27 14:35:09 | 000,026,624 | ---- | M] () -- C:\lsass.exe
[2010/04/27 13:50:36 | 000,065,024 | ---- | M] () -- C:\WINDOWS\System32\h7t.wt
[2010/04/27 13:50:36 | 000,032,768 | ---- | M] () -- C:\WINDOWS\System32\hgtd.ruy
[2010/04/27 13:47:33 | 000,578,560 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\kovtoedy
[2010/04/27 13:47:33 | 000,135,168 | ---- | M] () -- C:\WINDOWS\System32\nmklo.dll
[2010/04/27 13:47:20 | 000,081,408 | ---- | M] () -- C:\WINDOWS\System32\drivers\zoxwcakdiqrr1.sys
[2010/04/27 13:46:43 | 000,042,496 | ---- | M] () -- C:\WINDOWS\System32\msxsltsso.dll
[2010/04/27 13:46:01 | 000,110,592 | RHS- | M] () -- C:\WINDOWS\cidrive32.exe
:files
C:\WINDOWS\Tasks\At*.job
:commands
[emptytemp]
[emptyflash]
[reboot]

Starte nun erneut von der OTLPE CD. Klicke auf den roten RunFix Button. Du wirst gefragt ob du ein Script laden willst. Wähle YES und navigiere zu der fix.txt auf dem USB Stick --> öffnen

Nun klicke erneut auf RunFix


Berichte ob du den Rechner nun normal starten kannst.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:31 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129