Upps:
C:\WINDOWS\system32\winlogon.exe
muss es heißen.
Ich ändere das dann in dem Code, den ich einfüge, ok?
Nein, nicht ändern!!!
Ich hab extra gefragt ob der Pfad so richtig ist!!
Die winlogon darfst Du so nicht einfach aus system32 löschen, die ist für Windows wichtig! (ob infiziert oder nicht, das lösen wir nachher anders!)
Während des MBAM-Scans ist der Computer abgestürzt und konnte danach nicht mehr starten. Auch nicht im abgesicherten Modus. Ich habe jetzt im Modus der letzten funktionierenden Konfiguration gestartet.*
Ich mach' dann jetzt die Sache mit dem OLT...
Schöne Sch***** - was hab' ich mir da nur eingefangen?!
* - es wurde natürlich auch kein neuer Log erstellt...
Also ich hab den Eindruck, dass durch AntiVir der Zugriff auf winlogon.exe in system32 verweigert wird oder es diese Datei gar schon gelöscht hat. Das führt unweigerlich zu Problemen.
Deinstallier in diesem noch funktioinerenden Modus erstmal AntiVir bevor Du da weitere Probleme bekommst. Um die angeblich infizierte winlogon.exe kümmern wir uns später.
Probier es mit diesem text für OTL:
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O33 - MountPoints2\{3f57c99e-8816-11db-acc3-00137732e402}\Shell - "" = AutoRun
O33 - MountPoints2\{3f57c99e-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a0-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a5-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a6-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a7-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3f57c9a8-8816-11db-acc3-00137732e402}\Shell\AutoRun - "" = Auto&Play
[2010.09.13 22:56:50 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.09.14 13:20:26 | 000,841,728 | ---- | M] () -- C:\WINDOWS\System32\drivers\kubzg.sys
[2010.09.14 11:53:57 | 000,071,170 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BJpc8Rfm.exe
[2010.09.14 11:53:57 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\8vii51PH.dat
:Commands
[purity]
[resethosts]
[emptytemp][/code
Dann bitte jetzt CF ausführen wie hier angegeben => http://tinyurl.com/2dt97b7
(bin jetzt zu faul das richtig für CH zu formatieren )
Update:
Der Computer läuft unverändert, d.h. er startet und zeigt dann nur den Desktophintergrund. Steuerung erfolgt über den Taskmanager. Ton funktioniert auch nicht.
Ich habe MBAM nochmal komplett laufen lassen (nach Update). Keine Funde. Hier der Log:
http://www.file-upload.net/download-2822044/mbam-log-2010-09-15--09-26-49-.txt.html
Bald geb' ich's echt auf...
« HijackThis Log bei Windows 7 | Adobe-zieht-Flash-Update-vor auf 20.9.2010 » | ||