Forum
Tipps
News
Menu-Icon
Thema geschlossen (topic locked)

Upps:

C:\WINDOWS\system32\winlogon.exe

muss es heißen.

Ich ändere das dann in dem Code, den ich einfüge, ok?

Nein, nicht ändern!!!
Ich hab extra gefragt ob der Pfad so richtig ist!!
Die winlogon darfst Du so nicht einfach aus system32 löschen, die ist für Windows wichtig! (ob infiziert oder nicht, das lösen wir nachher anders!)

OK. Ist noch nicht zu spät. Ich warte noch auf den MBAM. Bislang eine infizierte Datei und ich glaube ich weiss auch, wie sie heißt. :)

Ja, dann poste das Log wenn es durch ist. Und wiederhol dann den Schritt mit OTL. Achte darauf, dass alles aus meiner Zitatbox samt dem :OTL mitkopiert wird, also auch der Doppelpunkt.

Klar.  ;D

Copy & Paste kriege ich noch hin. :D

Während des MBAM-Scans ist der Computer abgestürzt und konnte danach nicht mehr starten. Auch nicht im abgesicherten Modus. Ich habe jetzt im Modus der letzten funktionierenden Konfiguration gestartet.*

Ich mach' dann jetzt die Sache mit dem OLT...

Schöne Sch***** - was hab' ich mir da nur eingefangen?!
 
* - es wurde natürlich auch kein neuer Log erstellt...

Also ich hab den Eindruck, dass durch AntiVir der Zugriff auf winlogon.exe in system32 verweigert wird oder es diese Datei gar schon gelöscht hat. Das führt unweigerlich zu Problemen.

Deinstallier in diesem noch funktioinerenden Modus erstmal AntiVir bevor Du da weitere Probleme bekommst. Um die angeblich infizierte winlogon.exe kümmern wir uns später. 

Antivir ist deinstalliert und der PC wurde neu gestartet. OTL hängt sich auf bei

Processing IE - HKLM\Software\Microsoft\InternetExplorer\Search,SearchAssistant=...

Probier es mit diesem text für OTL:

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O33 - MountPoints2\{3f57c99e-8816-11db-acc3-00137732e402}\Shell - "" = AutoRun
O33 - MountPoints2\{3f57c99e-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a0-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a5-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a6-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a7-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a8-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
[2010.09.13 22:56:50 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.09.14 13:20:26 | 000,841,728 | ---- | M] () -- C:\WINDOWS\System32\drivers\kubzg.sys
[2010.09.14 11:53:57 | 000,071,170 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BJpc8Rfm.exe
[2010.09.14 11:53:57 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\8vii51PH.dat
:Commands
[purity]
[resethosts]
[emptytemp][/code

So, das hat jetzt funktioniert.

Hier der Link zum Logfile:
*entfernt*

« Letzte Änderung: 14.09.10, 23:58:14 von Anica »

Und zuvor habe ich MBAM laufen lassen mit 2 Funden und diesem Logfile:

*entfernt*

(war ein Quickscan. alles andere dauert über eine Stunde) 

« Letzte Änderung: 14.09.10, 23:58:43 von Anica »

Dann bitte jetzt CF ausführen wie hier angegeben => http://tinyurl.com/2dt97b7

(bin jetzt zu faul das richtig für CH zu formatieren  ;D

So, Combofix ist fertig. Hier der Logfile:
*entfernt*

« Letzte Änderung: 15.09.10, 00:10:01 von Anica »

Update:

Der Computer läuft unverändert, d.h. er startet und zeigt dann nur den Desktophintergrund. Steuerung erfolgt über den Taskmanager. Ton funktioniert auch nicht.

Ich habe MBAM nochmal komplett laufen lassen (nach Update). Keine Funde. Hier der Log:
http://www.file-upload.net/download-2822044/mbam-log-2010-09-15--09-26-49-.txt.html

Bald geb' ich's echt auf...

Wieso wurde das Log vopn CF entfernt??  ???


« HijackThis Log bei Windows 7Adobe-zieht-Flash-Update-vor auf 20.9.2010 »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Quellcode
Ein Quellcode, auch als Quelltext bekannt, bezeichnet den unkompilierten Programm-Code einer Software. Quell- oder Programm-Code ist der auch für Menschen lesbare Co...

Unicode
Unicode ist ein international anerkannter Standard, der als universeller Zeichencode ("Universal Code") dient und durch das Unicode-Konsortium entwickelt und verwaltet wi...

QR-Code
QR-Codes, die Abkürzung für "Quick Response Codes", sind eine Form von zweidimensionalen Barcodes. Damit lassen sich Informationen schnell und effizient speiche...