Probleme mit gelben Dreieck

#16 ueberpruefe, ob du die sys noch findest
E:\WINDOWS\system32\mmf.sys

und das hier:
C:\Dokumente und Einstellungen\Hugo....\Lokale Einstellungen\Temp\abc123yMkX.exe

**
scanne, lasse alles loeschen, was noch gefunden wird und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 mmf.sys ist noch in dem angegeben ordner.

abc123yMkX.exe ist nicht vorhanden. aber in dem verzeichnis gibt es die datei abc123.pid.

geschaut hab ich per explorer.



---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 23:15 06-10-13

+ Scan-Ergebnis:



C:\ja.exe -> Downloader.Agent.awf : Gesäubert.
:mozilla.6:E:\Dokumente und Einstellungen\Hugo\Anwendungsdaten\Mozilla\Profiles\default\h4z6k6yb.slt\cookies.txt.old -> TrackingCookie.247realmedia : Gesäubert.
:mozilla.7:E:\Dokumente und Einstellungen\Hugo\Anwendungsdaten\Mozilla\Profiles\default\h4z6k6yb.slt\cookies.txt.old -> TrackingCookie.247realmedia : Gesäubert.
:mozilla.108

edit

#18 poste noch mal die 6 logs von datfindbat - bis Juni 2006
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 4819-19D4

Verzeichnis von E:\WINDOWS\system32

06-10-13 22:27 43,459 nvapps.xml
06-10-13 22:26 769 mmf.sys
06-10-13 22:26 13,712 wpa.dbl
06-10-12 18:20 462 errorlog.txt
06-08-20 20:41 1,056 KGyGaAvL.sys
06-08-04 01:31 43,520 CmdLineExt03.dll
06-07-30 20:12 3,534 jupdate-1.5.0_03-b07.log
06-06-16 17:14 380,350 perfh009.dat
06-06-16 17:14 52,764 perfc009.dat
06-06-16 17:14 391,000 perfh007.dat
06-06-16 17:14 63,580 perfc007.dat
06-06-16 17:14 897,776 PerfStringBackup.INI
_______________________________________________________________
Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 4819-19D4

Verzeichnis von E:\DOKUME~1\Hugo~1\LOKALE~1\Temp

06-10-13 22:54 16,384 Perflib_Perfdata_eb4.dat
06-10-11 17:20 4 abc123.pid
2 Datei(en) 16,388 Bytes
0 Verzeichnis(se), 3,417,735,168 Bytes frei
_______________________________________________________________
Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 4819-19D4

Verzeichnis von E:\WINDOWS

06-10-13 22:27 0 0.log
06-10-13 22:26 1,811,735 WindowsUpdate.log
06-10-13 22:26 157 wiadebug.log
06-10-13 22:26 50 wiaservc.log
06-10-13 22:26 2,048 bootstat.dat
06-10-12 23:23 32,624 SchedLgU.Txt
06-10-12 18:31 146,160 ntbtlog.txt
06-10-11 17:20 28,949 setupapi.log
06-10-08 13:11 185,091 setupact.log
06-10-03 22:09 512 randseed.rnd
06-09-23 13:26 95 winamp.ini
06-09-09 21:57 116 NeroDigital.ini
06-09-02 19:51 16,349 mozver.dat
06-09-01 23:14 909 win.ini
06-08-20 20:36 121,904 comsetup.log
06-08-20 20:36 49,327 iis6.log
06-08-20 20:36 1,374 imsins.log
06-08-20 20:36 73,964 ntdtcsetup.log
06-08-20 20:36 131,935 tsoc.log
06-08-20 20:36 6,438 KB893803.log
06-08-20 20:36 12,335 ocmsn.log
06-08-20 20:36 184,596 ocgen.log
06-08-20 20:36 16,876 msgsocm.log
06-08-20 20:36 326,162 FaxSetup.log
06-08-19 11:25 2,359,875 setupapi.log.0.old
06-07-30 23:54 69,707 wmsetup.log
06-07-30 23:24 19,886 dasetup.log
06-07-30 18:50 0 cdplayer.ini
06-07-30 18:45 283,648 uninst.exe
06-07-15 15:32 466 ST6UNST.005
06-07-15 15:32 74,752 ST6UNST.EXE
06-07-02 22:15 2,662 Ausba3.ini
06-07-02 22:15 11,469 Dusb3ar.ini
06-07-02 21:51 4 AErroru3.dat
06-07-02 21:51 33 BadPixelInfo3.txt
06-07-02 21:51 30,720 EWhiteu12.dat
06-07-02 21:51 30,720 EDarku12.dat
06-07-02 21:51 6 EExpou.dat
06-07-02 21:51 3 EGain6.dat
06-07-02 21:51 3 EOffsetu.dat
06-06-02 15:06 99,024 MozillaUninstall.exe
06-06-02 15:06 98,512 GREUninstall.exe
_______________________________________________________________

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 4819-19D4

Verzeichnis von E:\WINDOWS\Temp
_______________________________________________________________

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 4819-19D4

Verzeichnis von E:\WINDOWS\Downloaded Program Files

06-08-08 11:45 576 kavwebscan.inf
04-02-27 14:44 65 desktop.ini
03-12-08 14:58 3,759 swflash.inf
03-08-29 15:55 2,136 WMAVAX.inf
03-06-30 23:41 1,689 WMV9VCM.inf
_______________________________________________________________

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 4819-19D4

Verzeichnis von E:\

06-10-14 01:07 0 sys.txt
06-10-14 01:07 621 down.txt
06-10-14 01:06 117 tmp.txt
06-10-14 01:05 9,713 system.txt
06-10-14 01:05 352 systemtemp.txt
06-10-14 01:04 96,809 system32.txt
06-10-13 22:26 1,048,576,000 pagefile.sys
06-10-09 20:01 5,150 ComboFix.txt
06-10-08 13:14 1,165 rapport.txt
06-10-06 23:10 6,133 ComboFix2.txt
06-10-03 23:12 210 files.txt
05-10-31 17:56 700,416 StubInstaller.exe
12 Datei(en) 1,049,396,686 Bytes
0 Verzeichnis(se), 3,417,735,168 Bytes frei
_______________________________________________________________

_______________________________________________________________

#20 Avenger

Zitat

Files to delete:
E:\WINDOWS\system32\mmf.sys
E:\Dokumente und Einstellungen\Hugo\Lokale Einstellungen\Temp\abc123.pid

poste das log nach dem neustart
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Irgendwie mag mich der Avenger nit. Beim Versuch die beiden Dateien zu löschen kam mal wieder die Fehlermeldungs-Boxen und ein Neustart wurde auch nicht durchgeführt. Habe grad nochmal im Explorer nachgeschaut. Die beiden Dateien sind immer noch da.

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

#22 Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

E:\WINDOWS\system32\mmf.sys
E:\Dokumente und Einstellungen\Hugo\Lokale Einstellungen\Temp\abc123.pid

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#23 hab ich gemacht.

danach hab ich im explorer geschaut, ob die dateien noch da sind

mmf.sys ist leider immer noch da
abc123.pid ist weg; stattdess ist doch jetzt diese tmp-dabei: ~DF5A7D.temp

#24 Gebe dann unter start ausfuehren CMD ein und druecke Enter. Dann oeffnet sich ein Dosfenster in diesem Fenster gibst du folgendes ein: (von hier abkopieren)

del \\?\e:\windows\system32\mmf.sys

wieder enter druecken. Sollte eine Fehlermeldung auftauchen, schreib, welche.
__________
MfG Sabina

rund um die PC-Sicherheit

#25 \\?\e:\windows\system32\mmf.sys konnte nicht gefunden werden

also hab grad mal unter dos in das verzeichnis geguckt. da wird mmf.sys nicht aufgefuehrt.

im explorer unter windows steht die datei im verzeichnis...aaaber...das symbol vor dem dateinamen ist grau. also sieht etwas anders aus als die anderen symbole. kanns nit besser beschreiben...ich hoffe du verstehst was ich meine

#26 poste nochmal das erste log von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#27 wenn du magst bin ich im moment auch per ts erreichbar. daten hab ich dir per pm geschickt.

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 4819-19D4

Verzeichnis von E:\WINDOWS\system32

06-10-14 19:25 769 mmf.sys
06-10-14 19:25 43,459 nvapps.xml
06-10-13 22:26 13,712 wpa.dbl
06-10-12 18:20 462 errorlog.txt
06-08-20 20:41 1,056 KGyGaAvL.sys
06-08-04 01:31 43,520 CmdLineExt03.dll

#28 loesche die mmf.sys, egal wie, mit Killbox, mit avenger oder umbenennen mit rechtsklick in syss (Im abgesicherten Modus)
__________
MfG Sabina

rund um die PC-Sicherheit

#29 ich hab jetzt alles mögliche ausprobiere sowohl im normalen als auch im abgesicherten modus.

letzer versuch war starten im abgesicherten modus und umbenennen der datei in mmf.syss
ergebnis: ich hab jetzt im normalen modus eine mmf.sys (versteckt) und eine mmf.syss drinstehen.

ich hab kein plan wie ich die loswerden soll

ich habs mit killbox mit avenger und mit noch einem anderen tool versucht. dann noch im dos modus im explorer. nix hat geklappt. bin dann noch als administrator in den abgesicherten modus. aber da hat er die datei nit gefunden.

was ist das ueberhaupt fuer ein teil? was hat das fuer auswirkungen auf meinen rechner?

#30 mmf.sys ist ein Driver, wird normalerweise zusammen mit den Viren erstellt, auch wenn sie bei Ueberpruefung noch nicht als solche erkannt wird.

da die sys nun umbenannt ist , ist sie nicht mehr gefaehrlich

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit