Hallo Allerseits,

ich habe folgendes Problem:

Ein direkter Zugriff (öffnen) auf meine externe Festplatte ist vom Arbeitsplatz nicht mehr möglich. Zugriff funktioniert nurnoch über Rechtsklick -> Explorer oder die Addressleiste mit M:\.
Beim öffnen erscheint diese Fehlermeldung:

Zitat:

"Recycler\S-6-5-91-1000009823-100013637-100010015-3736.com" konnte nicht gefunden werden. Stellen Sie sicher, das Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Kllicken Sie auf "Start" und anschließend auf "Suchen", um die Datei zu suchen."

Die Board-Suche hat schon folgendes ergeben:

http://www.trojaner-board.de/71737-f...u-starten.html

http://www.trojaner-board.de/70976-f...t-oeffnen.html

Auch wenn der letztgenannte Thread schon als "Gelöst" markiert wurde, war es mir mithilfe der beschriebenen Anleitungen nicht möglich mein eigenes Problem zu lösen. Dies könnte eventuell auch daran liegen, dass das Rootkit sich ganz woanders versteckt hat oder ich einfach nicht ausreichende Kenntnisse in Puncto Registry-Problembehebung habe...

Ich habe schon einen Scan mit Malwarebytes' AM durchgeführt. Nach meiner Ansicht nach sollte dabei der "Backdoor.Bot" schon entfernt worden sein. Außerdem wurde The Avenger entfernt, was ich mir kurz zuvor noch auf Anweisung eines obig genannten Threads runtergeladen habe.
Ich habe vor einer Woche seit langem mal wieder einen Virenscan durchführen lassen. Ergebnis waren nach Avira 34 Viren und Unerwünschte Programme.
Falls ihr auch dieses Log-File braucht kann ich es nachreichen.


Hier der Bericht:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1904
Windows 5.1.2600 Service Pack 3, v.5755

24.05.2009 21:01:59
mbam-log-2009-05-24 (21-01-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|J:\|M:\|)
Durchsuchte Objekte: 428997
Laufzeit: 1 hour(s), 21 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 14
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe "C:\WINDOWS\server.exe") Good: (Explorer.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,"C:\WINDOWS\server.exe",) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8db04276-bc42-4769-890c-7ea9a6883112}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a39734ce-5945-4f51-ad5a-d58bd435c7fc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{af559e18-41b9-48ba-ace9-81dea9c0547d}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8db04276-bc42-4769-890c-7ea9a6883112}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a39734ce-5945-4f51-ad5a-d58bd435c7fc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{af559e18-41b9-48ba-ace9-81dea9c0547d}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{8db04276-bc42-4769-890c-7ea9a6883112}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{a39734ce-5945-4f51-ad5a-d58bd435c7fc}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{af559e18-41b9-48ba-ace9-81dea9c0547d}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.81,85.255.112.148 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Loo\Eigene Dateien\Download\avenger.exe (Malware.Tool) -> Quarantined and deleted successfully.
         

Hier noch das HJT-Logfile

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:39, on 25.05.2009
Platform: Windows XP SP3, v.5755 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox 3\firefox.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Media Player\wmplayer.exe
E:\PROGRA~1\FREEDO~1\fdm.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\***\Eigene Dateien\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - E:\Programme\Hotspot Shield\hssie\HssIE.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Policies\Explorer\Run: [server] C:\WINDOWS\server.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://E:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://E:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://E:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://E:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://messenger.msn.com
O15 - Trusted Zone: h**p://www.smartshanghai.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C7DEF36-C96C-4279-86FD-FA6427C3E273}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - E:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 5767 bytes
         

Ich bin für jede Art von Hilfen und Hinweisen dankbar...
lg Loo

hast du jetzt schon einen avira scan gemacht??

könnten ja einige dazugekommen sein oder?

vielleicht ist ja auch ein virus oder mehrere auf der externen festplatte

scann diese auch mal mit malewarebytes und avira

Ok ich werde nochmal beide scans durchführen und berichten.

Scans mit Malwarebytes' Anti-Malware und Avira AntiVir haben keine Viren o.ä gefunden. Der oben beschriebe "öffnen" Fehler besteht weiterhin.
Weiß jemand weiter??
LG Loo

Hi,

da dürften zumindest noch Mountpoints verbogen sein...


Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris

Ps.: Für sowas sind wir hier aber nicht im richtigen Forum....

Hi,

eine Anmerkung noch;
Vor dem Scann mit ComboFix bitte die externe Festplatte anschließen!

chris

Ok ich habe beim natürlich beim ersten mal vergessen die Festplatte anzuschließen... deshalb sind es jetzt 2 Logs. Die sind zu groß um sie hier zu posten.
Deshalb hab ich sie mal bei Rapidshare hoch geladen. Hier der Link:

http://rapidshare.com/files/238392649/Combofix_Logs.rar.html

Die externe Festplatte lässt sich wieder normal öffnen.
Dafür bin ich euch schon mal dankbar.
Kann trotzdem jemand bitte über die 2 Logs schauen und beurteilen ob ich "clean" bin??
lg Loo

P.S falls ihr Rapidshare partout meidet gibt es noch einen alternativen Download Link:
Combofix_logs.rar

Hi,

bei Dir war ein zur Zeit sehr beliebtes Rootkit aktiv...
ComboFix hat das Rootkit erwischt, allerdings...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\drivers\ffqpu.sys
c:\windows\system32\XDva136.sys
c:\windows\system32\XDva115.sys
c:\windows\system32\XDva123.sys
c:\windows\system32\XDva129.sys
c:\windows\system32\XDva136.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Danach noch MAM laufen lassen:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Je nachdem was virustotal sagt, werden wir die Treiber entfernen müssen,
da z. B. XDva136.sys -> http://spywaredlls.prevx.com/RRIIGF4...VA136.SYS.html sein kann...

chris

Hallo...
Die Dateien:

Zitat:

c:\windows\system32\drivers\ffqpu.sys
c:\windows\system32\XDva136.sys
c:\windows\system32\XDva115.sys
c:\windows\system32\XDva123.sys
c:\windows\system32\XDva129.sys
c:\windows\system32\XDva136.sys

lassen sich trotz der Option "Versteckte Ordner und Dateien anzeigen" nicht finden.
Soll trotzdem mit Malwarebyte´s gescannt werden?
Grüße Loo

Hallo nochmal,
Bedeutet es jetzt, dass ich falls die Dateien für den Virustotal scan nicht finde, dass mein Rechner endgültig sauber ist? Oder soll ich trotzdem nochmal mit malwarebyte's scannen und hier posten??
Über eine letzte Antwort wäre ich sehr dankbar..
Lg Loo

Hi,

bitte noch mal MAM updaten und Fullscan sowie:
Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...
(Das ist nur ein Scanner, zum Bereinigen müsste man in kaufen, aber dann wissen wir ja wo was liegt ;o)...
Vor dem Scannen bitte Combofix entfernen, sonst wird der "erkannt"...
Start->ausführen combofix /u

chris

Oh!!
Habe jetzt erst die 2. Seite des Threads bemerkt. Werde scannen und berichten..
lg Loo

Okay hier die Ergebnisse:


Info: Der im Bild markierte Eintrag ist ein Anti-Cheat Programm und meiner Meinung nach nicht Malware verseucht...

und das log

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2227
Windows 5.1.2600 Service Pack 3, v.5755

04.06.2009 19:27:30
mbam-log-2009-06-04 (19-27-26).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|I:\|)
Durchsuchte Objekte: 372434
Laufzeit: 2 hour(s), 3 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\bfast.com (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\commission-junction.com (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\fastclick.com (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\fastclick.net (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\kqzyfj.com (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\linksynergy.com (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
         

lg Loo

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\windows\system32\drivers\fapeum.sys
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

fapeum.sys

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Dann sehen wir mal weiter...

chris

Mhm..
Die Datei

Zitat:

C:\windows\system32\drivers\fapeum.sys

lässt sich, um sie bei VT hochzuladen, nicht finden.
Das Regsearch tool findet auch nichts.
Wodran kann das liegen? Ich hoffe nicht, dass ich irgendeinen Fehler gemacht habe, als es um die Einblendungen aller Versteckten (System)Dateien ging.
Was kann noch getan werden?