Seite 7 von 8 ErsteErste ... 5678 LetzteLetzte
Ergebnis 61 bis 70 von 71
  1. #61
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.813
    Ok, dann probiere jetzt bitte den Fix aus Beitrag 55 erneut im normalen Modus.

  2. #62
    Stammgast
    Registriert seit
    16.03.2012
    Ort
    Senden / Münterland
    Beiträge
    36
    nene , das selbe in grün .
    im otl sagt er unten : killing prozesses do not interrupt
    musste wieder hart ausschalten .

    bin auch der meinung , dass seit dem ersten versuch , den ich hiermit gestartet habe ,
    der pc bedeutend langsamer hochfährt .
    dauert auch länger , ehe ich wieder ins internet komme .

    zum glück habe ich vorher einen wiederherstellungspunkt gesetzt .

    ingo

  3. #63
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.813
    Dann probiere es mit folgendem Skript:

    Code:
    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?st=1&barid={1E4C718E-11D1-4981-9B34-BA7750174E0E}
    IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
    IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={1E4C718E-11D1-4981-9B34-BA7750174E0E}
    IE - HKU\S-1-5-21-2052111302-1450960922-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2481020
    IE - HKU\S-1-5-21-2052111302-1450960922-839522115-1003\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKU\S-1-5-21-2052111302-1450960922-839522115-1003\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://search.yahoo.com/search?fr=chr-panda&q={searchTerms}&ei=UTF-8&type=PCAFSI1219
    IE - HKU\S-1-5-21-2052111302-1450960922-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481020
    IE - HKU\S-1-5-21-2052111302-1450960922-839522115-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_im2_test_v2
    IE - HKU\S-1-5-21-2052111302-1450960922-839522115-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={1E4C718E-11D1-4981-9B34-BA7750174E0E}
    FF - prefs.js..browser.search.defaultthis.engineName: "Ashampoo DE Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?SSPV=FFOB1&ctid=CT2481020&SearchSource=3&q={searchTerms}"
    FF - prefs.js..browser.search.selectedEngine: "Ashampoo DE Customized Web Search"
    FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
    FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?SSPV=FFOB1&ctid=CT2481020&SearchSource=2&q="
    FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
    FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
    FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)"
    FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=302398&p="
    [2012.02.28 12:48:32 | 000,000,955 | ---- | M] () -- c:\Dokumente und Einstellungen\ikirn\Anwendungsdaten\Mozilla\Firefox\Profiles\pj84yd61.default\searchplugins\conduit.xml
    [2011.10.16 18:35:48 | 000,003,915 | ---- | M] () -- c:\Dokumente und Einstellungen\ikirn\Anwendungsdaten\Mozilla\Firefox\Profiles\pj84yd61.default\searchplugins\sweetim.xml
    [2012.01.18 17:48:34 | 000,002,291 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml
    O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - c:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - !{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - !{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O8 - Extra context menu item: Web-Suche - c:\Programme\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
    O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O33 - MountPoints2\{00b216f5-bb51-11e0-95b2-18a9057ab542}\Shell - "" = AutoRun
    O33 - MountPoints2\{00b216f5-bb51-11e0-95b2-18a9057ab542}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{00b216f5-bb51-11e0-95b2-18a9057ab542}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{0899293e-bea6-11e0-95b6-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{0899293e-bea6-11e0-95b6-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{0899293e-bea6-11e0-95b6-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{232a3ac0-4e29-11df-9416-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{232a3ac0-4e29-11df-9416-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{232a3ac0-4e29-11df-9416-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{4576e6d8-b36c-11e0-95a6-18a9057ab542}\Shell - "" = AutoRun
    O33 - MountPoints2\{4576e6d8-b36c-11e0-95a6-18a9057ab542}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{4576e6d8-b36c-11e0-95a6-18a9057ab542}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{4576e6d9-b36c-11e0-95a6-18a9057ab542}\Shell - "" = AutoRun
    O33 - MountPoints2\{4576e6d9-b36c-11e0-95a6-18a9057ab542}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{4576e6d9-b36c-11e0-95a6-18a9057ab542}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{558de74c-bb54-11e0-95b3-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{558de74c-bb54-11e0-95b3-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{558de74c-bb54-11e0-95b3-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{558de74e-bb54-11e0-95b3-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{558de74e-bb54-11e0-95b3-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{558de74e-bb54-11e0-95b3-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{5fb22cf0-bda9-11e0-95b5-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{5fb22cf0-bda9-11e0-95b5-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{5fb22cf0-bda9-11e0-95b5-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{62fa96de-c5ad-11e0-95be-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{62fa96de-c5ad-11e0-95be-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{62fa96de-c5ad-11e0-95be-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{62fa96df-c5ad-11e0-95be-00a0c6000000}\Shell - "" = AutoRun
    O33 - MountPoints2\{62fa96df-c5ad-11e0-95be-00a0c6000000}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{62fa96df-c5ad-11e0-95be-00a0c6000000}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{727cae7f-bb57-11e0-95b4-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{727cae7f-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{727cae7f-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{727cae80-bb57-11e0-95b4-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{727cae80-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{727cae80-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{727cae82-bb57-11e0-95b4-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{727cae82-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{727cae82-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{727cae85-bb57-11e0-95b4-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{727cae85-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{727cae85-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{727cae88-bb57-11e0-95b4-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{727cae88-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{727cae88-bb57-11e0-95b4-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{b366cf3a-c57a-11e0-95bd-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{b366cf3a-c57a-11e0-95bd-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{b366cf3a-c57a-11e0-95bd-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{b366cf3b-c57a-11e0-95bd-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{b366cf3b-c57a-11e0-95bd-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{b366cf3b-c57a-11e0-95bd-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{b366cf3c-c57a-11e0-95bd-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{b366cf3c-c57a-11e0-95bd-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{b366cf3c-c57a-11e0-95bd-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{bbb28210-c4f3-11e0-95bc-00a0c6000000}\Shell - "" = AutoRun
    O33 - MountPoints2\{bbb28210-c4f3-11e0-95bc-00a0c6000000}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{bbb28210-c4f3-11e0-95bc-00a0c6000000}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{bbb28211-c4f3-11e0-95bc-00a0c6000000}\Shell - "" = AutoRun
    O33 - MountPoints2\{bbb28211-c4f3-11e0-95bc-00a0c6000000}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{bbb28211-c4f3-11e0-95bc-00a0c6000000}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{c0e430aa-4e23-11df-9415-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{c0e430aa-4e23-11df-9415-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{c0e430aa-4e23-11df-9415-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{c0e430ad-4e23-11df-9415-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{c0e430ad-4e23-11df-9415-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{c0e430ad-4e23-11df-9415-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{c0e430ae-4e23-11df-9415-0027132f2b8e}\Shell - "" = AutoRun
    O33 - MountPoints2\{c0e430ae-4e23-11df-9415-0027132f2b8e}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{c0e430ae-4e23-11df-9415-0027132f2b8e}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    O33 - MountPoints2\{c369bab0-c82b-11e0-95c2-00a0c6000000}\Shell - "" = AutoRun
    O33 - MountPoints2\{c369bab0-c82b-11e0-95c2-00a0c6000000}\Shell\AutoRun - "" = Auto&Play
    O33 - MountPoints2\{c369bab0-c82b-11e0-95c2-00a0c6000000}\Shell\AutoRun\command - "" = E:\AutoRun.exe
    [2012.02.29 09:56:28 | 000,000,000 | ---D | C] -- c:\Dokumente und Einstellungen\ikirn\Lokale Einstellungen\Anwendungsdaten\conduitEngine
    [2012.02.29 09:55:52 | 000,000,000 | ---D | C] -- c:\Dokumente und Einstellungen\ikirn\Anwendungsdaten\PriceGong
    [2012.02.29 09:55:48 | 000,000,000 | ---D | C] -- c:\Dokumente und Einstellungen\ikirn\Anwendungsdaten\BabylonToolbar
    
    :Commands
    [purity]
    [emptytemp]
    Scheint ein Prozess vorhanden zu sein, der sich nicht beenden lassen will (müssen wir im Hinterkopf behalten).

  4. #64
    Stammgast
    Registriert seit
    16.03.2012
    Ort
    Senden / Münterland
    Beiträge
    36
    Keine Ahnung , welche Anwendung es ist , aber es tut sich nix .
    Popup geht sofort auf und unten im Fenster steht immer das selbe .
    Danach hilft nur noch hart ausschalten .

    Habe jetzt mein System von Dienstag Nachmittag wieder hergestellt und
    damit startet er bedeutend schneller und man kommt auch relativ schnell in Skype und ins Internet .

    Ingo

  5. #65
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.813
    Hallo Ingo,

    ok, dann erstelle mir von diesem Zustand neue OTL-Logfiles wie folgt:

    Systemscan mit OTL

    Erstelle bitte OTL-Logfiles nach dieser Anleitung. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer".

    Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

    Achte darauf, Nachnamen und/oder persönliche Daten ggfs. zu anonymisieren.

  6. #66
    Stammgast
    Registriert seit
    16.03.2012
    Ort
    Senden / Münterland
    Beiträge
    36
    Hallo ,

    O.K. Habe ihn nochmals gescannt mit OTL . Diesmal , wie in der Anleitung beschrieben , mit minimaler Ausgabe .
    Allerdings müssten es ja die selben Dateien sein , wie die , die Du modifiziert hast und die ich fixen sollte .
    Aber egal . Habe die Dateien angehangen .

    Bei Scanning Modules hattte er eine schöpferische Pause gemacht von ca. 5 Minuten .
    Die ersten beiden Male habe ich auch abgebrochen , da er keine Rückmeldung sagte .
    Dann hat er jedoch weiter gemacht .

    Ingo
    Angehängte Grafiken Angehängte Grafiken
    Angehängte Dateien Angehängte Dateien

  7. #67
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.813
    Hallo ikirn,


    ===== Punkt 1 =====

    die alte Javaversion bitte deinstallieren:
    "{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22


    ===== Punkt 2 =====

    Warum hast Du mir noch nicht gesagt, dass Avira gar nicht mehr funktioniert?
    Sowas muss ich wissen

    Code:
    [ Application Events ]
    Error - 03.03.2012 13:07:44 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4118
    Description = AUSNAHMEFEHLER beim Aufruf der Funktion AVEPROC_TestFile() für die
     Datei  C:\Dokumente und Einstellungen\ikirn\Eigene Dateien\Pinnacle Studio\Render\SibFiles\d0b3035605640349.JPG.
    
     [ACCESS_VIOLATION Exception!! EIP = 0x1ba3952]   Bitte Avira informieren und die 
    obige Datei übersenden!
     
    Error - 25.03.2012 16:16:36 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4109
    Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9
     
    Error - 26.03.2012 06:05:07 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4109
    Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9
     
    Error - 26.03.2012 09:29:36 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4109
    Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9
     
    Error - 26.03.2012 10:56:44 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4109
    Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9
     
    Error - 27.03.2012 06:38:40 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4109
    Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9
     
    Error - 27.03.2012 07:32:53 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4109
    Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9
     
    Error - 28.03.2012 07:38:53 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4109
    Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9
     
    Error - 29.03.2012 09:07:46 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4109
    Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9
     
    Error - 30.03.2012 05:46:40 | Computer Name = MSGIKIM1 | Source = Avira Antivirus | ID = 4109
    Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9

    ===== Punkt 3 =====

    Rootkit-Suche mit Gmer

    Was sind Rootkits?

    Wichtig:
    • Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie das Ergebnis verfälschen können.

    • Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
    • Alle anderen Programme sollen geschlossen sein.
    • Während des Scans nichts am Rechner machen.
    • Nach jedem Scan der Rechner neu gestartet werden.

    • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

    Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und speichere das Programm auf dem Desktop.

    • Gmer ist geeignet für => NT/W2K/XP/VISTA/7 (nur 32Bit).
    • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
    • Vista-User mit Rechtsklick und als Administrator starten.


    • Gmer startet automatisch einen ersten Scan.
    • Sollte sich ein Fenster mit folgender Warnung öffnen:

      Code:
      WARNING !!!
      GMER has found system modification, which might have been caused by ROOTKIT activity.
      Do you want to fully scan your system?
    • Unbedingt auf "No" klicken und nichts löschen!
      Über den Save-Button das bisherige Resultat als gmer.txt auf dem Desktop speichern.

    • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
    • Entferne den Haken bei:
      • IAT/EAT
      • Show all
      • zusätzlichen Laufwerken, also nur die Bootpartition (meistens C:\) anhaken.

    • Starte den Scan durch Drücken des Buttons "Scan".
    • Wenn der Scan fertig ist klicke auf "Save" und speichere den Bericht gmer1.txt auf dem Desktop.
      Mit "Ok" wird Gmer beendet.
    • Oder füge das Log aus der Zwischenablage direkt in Deine Antwort hier ein (mit STRG + V).

    Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

    Nun das Logfile in Code-Tags posten.


    ===== Punkt 4 =====

    Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

    Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

    Wichtig:
    • Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie das Ergebnis verfälschen können.


    • Downloade die MBR.exe von Gmer und
      kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
      Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.

    • Start => ausführen => cmd (da reinschreiben) => OK
      es öffnet sich eine Eingabeaufforderung.

      Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.

    • Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
      Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

      Code:
      mbr.exe -t > C:\mbr.log & C:\mbr.log
      (Enter drücken)

    • Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
      Bitte kopiere den Inhalt hier in Deinen Thread.


    Info: Was ist eigentlich ein MBR?

  8. #68
    Stammgast
    Registriert seit
    16.03.2012
    Ort
    Senden / Münterland
    Beiträge
    36
    Hallo ,

    Punkt 1 ist erledigt .
    Java Update 22 habe ich entfernt .
    Deinstallieren kann man das nicht .

    Punkt 2
    Avira läuft völlig problemlos .
    Ist auch aktiv und gestern hat er sich ein neues Update runtergeladen .
    Screenshot habe ich angehangen .

    zu Punkt 3
    Die Gmer habe ich mir von der Seite runtergeladen .
    Dachdem ich sie starte , geht für ein Zehntel einer Sekunde das Fenster auf und der PC schaltet sich sofort aus und startet neu .
    Kein Runterfahren , sondern ein Kill des Systems .
    Das habe ich dreimal durch und dann aufgegeben .
    Vorher habe ich Avira auf AUS gesetzt .

    Punkt 5 habe ich nicht gemacht .

    Ingo
    Angehängte Grafiken Angehängte Grafiken

  9. #69
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.813
    Hallo Ingo,

    nein, das ist alles nicht in Ordnung. So wie es sich mir darstellt, hebelt hier ein Rootkit die Funktion von Gmer und des Antivirus-Programmes aus. Die Hinweise bzgl. der geänderten Avira-Engine erhärten meinen Eindruck. Dir wird durch die geänderte Avira-Engine vorgegaukelt, es sei alles in Ordnung, das ist aber mitnichten der Fall. Dieser Rechner ist über eine Backdoor in fremder Hand.

    Ihr werdet es nicht glauben , aber das Problem hat sich von allein gelöst .
    Dieser Satz bestätigt ebenfalls meinen Eindruck, dass hier von außen fleißig manipuliert wird. Sowas erledigt sich nicht von alleine. Ich muss Dich deshalb an diesem Punkt stoppen, denn die Zusammenfassung der Ergebnisse zeigen, dass Du neben dem BKA-Trojaner noch weitere gefährliche Infektionen an Board hast, u.a. eine Backdoor. Über diese Backdoor kann der Angreifer die volle Kontrolle über Dein System übernehmen, d. h. Passwort-Daten abgreifen, Tastatur-Eingaben mitloggen, Systemdateien manipulieren.

    Diese Infektionsarten verstecken sich über einen Rootkit, den Malwarebytes nicht löschen kann. Malwarebytes hat nur die Dateien "drumherum" löschen können. Diese Infektionsart setzt Anti-Virus-Programme außer Kraft und erlaubt dem Angreifer die volle Kontrolle über Dein System zu übernehmen. Da Gmer auch nicht startet, kann das Rootkit auch nicht ohne Weiteres gelöscht werden.

    Bitte auf jeden Fall eine Neuinstallation Deines Systems durchführen und alle Deine Passwort-Daten schnellstmöglich von einem weiteren, virenfreien System aus ändern!

    Eine ausführliche Anleitung zum Neuaufsetzen von Windows XP findest Du hier. Dort wird auch erklärt, wie Du am besten bzgl. der Sicherung Deiner Daten vorgehst.

  10. #70
    Stammgast
    Registriert seit
    16.03.2012
    Ort
    Senden / Münterland
    Beiträge
    36
    O.K. Petra , dass sich das Problem von allein gelöst hat , stimmt nicht wirklich .
    Es hat sich nicht gelöst , der Trojaner hat nur einfach einen Moment zu lange gebraucht , um zu starten .
    Und diese Schwachstelle habe ich ausgenutzt , um per Systemweiderherstellung einen Punkt vor dem Trojaner zu starten und damit den PC problemlos hochfahren konnte .
    Es hat sich also nicht gelöst , sondern ich habe ihn um ein paar Stunden betrogen

    Ich selbst kann eh keine neue Installation drüberbügeln .
    Dann muss ich ihn mal in der Firma abgeben und die müssen das machen .
    Die haben bestimmt auch temporär besserer Virenscanner , die sie mal drüber laufen lassen können .

    In meine Firma kam bisher noch niemand rein .

    Erstmal Danke .

    Ingo

Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 05.01.2014, 04:06
  2. Antworten: 21
    Letzter Beitrag: 15.10.2012, 09:04
  3. GVU Trojaner - disabletaskmgr wird nicht gefunden
    Von Jure im Forum Unvollständig / Fehlendes Feedback
    Antworten: 2
    Letzter Beitrag: 31.07.2012, 13:33
  4. BKA Trojaner 1.03 DisableTaskmgr wird nicht gefunden
    Von UniQu3 im Forum Unvollständig / Fehlendes Feedback
    Antworten: 1
    Letzter Beitrag: 13.05.2012, 20:24
  5. BKA 3.02 ! svhcost.exe wird nicht gefunden !!!!!!!
    Von masterecki im Forum Unvollständig / Fehlendes Feedback
    Antworten: 7
    Letzter Beitrag: 31.01.2012, 14:04

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
G Data
forum.botfrei.de wird überprüft von der Initiative-S