Start im abgesichertem Modus nicht möglich

#16 Malwarebytes hat 7 Objekte gefunden:
1. Spyware.OnlineGames File c:\program files\ world of warcraft\WOW!Sharp.dll
2. Spyware.OnlineGames File c:\$Recycle.Bin\s-1-5-21-1352296441-3704174347-122289378-1003\$ROOUKSM.exe
3. Adware.NaviPromo File c:\Users\Myname\downloads\Speed-Downloading_setup(2).exe
4. Trojan.Bot File c:\Users\Myname\AppData\Roaming\mlRC\bin\dll\SysTray.dll
5. Trojan.Bot File c:\Users\Myname\downloads\serial-crack.v.3.3121.exe
6. Virus.Virut File c:\Users\Myname\downloads\quad_registry_cleaner_activation_free_download_key.exe
7. Hijack.DisplayProperties Registry Data HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges


Puuuuh, das war mal wat .

#17 Ich kann nicht auf Scan-Berichte klicken.
Wenn ich da draufgehe, passiert nix.

#18

Zitat

serial-crack.v.3.3121.exe

Kann ich leider nicht unterstützen.

Gruss Swiss

#19 Wie soll ich das jetzt verstehen? Werde ich hier keine Möglichkeit bekommen den PC jetzt zu normalisieren?

#20 Du benutzt Key Gens bezw. Crack..

Aus welchem Grund?
Ist eigentlich logisch dass man sich damit infiziert.

Gruss Swiss

#21 Logisch ist das nicht, weil ich mir den Crack erst nach dem Problem runtergeladen habe. Es war vllt. nicht richtig, aber ich versuche schon 34 Tage den PC wieder hinzubekommen, da war mir letztendlich jedes Mittel recht. Ich habe auch schon gelesen, dass es an dem Update liegen "könnte". Was mich gewundert hat ist, das sogar Kaspersky nicht mehr reagiert. Gibt es jetzt noch einen Weg den PC wieder normal hinzubekommen?

#22 Hast Du die gefundennen Datein von Malwarebytes entfernen lassen?

Geht Combofix immer noch nicht?
Habe es ebenfalls als Anhang eingefügt

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

>>
Nun versuche einen Onlinescan mit Fsecure:
http://www.f-secure.com/en_EMEA/security/security-lab/tools-and-services/online-scanner/

Gruss Swiss

#23 DATFINDBAT:
Verzeichnis von c:\

23.07.2009 00:46 0 dirdat.txt
23.07.2009 00:30 8.902.742.016 pagefile.sys
22.07.2009 00:13 10.733 Bug.txt
22.07.2009 00:13 231 Start_.cmd

Verzeichnis von C:\Windows\system32

23.07.2009 00:38 1.033.904 perfh009.dat
23.07.2009 00:38 493.666 perfc009.dat
23.07.2009 00:38 1.952.552 perfh007.dat
23.07.2009 00:38 557.512 perfc007.dat
23.07.2009 00:38 5.524 PerfStringBackup.INI
23.07.2009 00:31 65.536 Ikeext.etl
23.07.2009 00:31 3.216 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
23.07.2009 00:31 3.216 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
15.07.2009 09:25 417.896 FNTCACHE.DAT
10.07.2009 22:54 419.840 wrap_oal.dll
10.07.2009 22:54 133.632 OpenAL32.dll
07.07.2009 17:43 26.410.432 mrt.exe
15.06.2009 17:46 189.440 t2embed.dll
15.06.2009 17:42 96.256 fontsub.dll
15.06.2009 17:41 48.128 atmlib.dll
15.06.2009 15:17 366.080 atmfd.dll
09.05.2009 08:38 1.146.368 wininet.dll
09.05.2009 08:37 1.484.288 urlmon.dll
09.05.2009 08:20 9.234.432 mshtml.dll
09.05.2009 08:17 31.744 jsproxy.dll
09.05.2009 08:16 1.538.560 inetcpl.cpl
09.05.2009 08:15 219.136 ieui.dll
09.05.2009 08:15 77.312 iesetup.dll
09.05.2009 08:15 2.332.672 iertutil.dll
09.05.2009 08:15 72.192 iernonce.dll
09.05.2009 08:15 12.454.912 ieframe.dll
09.05.2009 08:15 457.728 iedkcs32.dll
09.05.2009 06:15 70.656 ie4uinit.exe
09.05.2009 06:14 1.638.912 mshtml.tlb
01.05.2009 02:46 1.494.560 nvcpluir.dll
01.05.2009 02:46 2.589.728 nvcplui.exe
01.05.2009 02:46 410.656 nvcpl.cpl
01.05.2009 02:46 1.627.168 nvsvs.dll
01.05.2009 02:46 1.349.664 nvsvsr.dll
01.05.2009 02:46 3.607.072 nvwssr.dll
01.05.2009 02:46 3.678.752 nvwss.dll
01.05.2009 02:46 4.456.480 nvvitvsr.dll
01.05.2009 02:46 4.570.656 nvvitvs.dll
01.05.2009 02:46 1.640.480 nvmobls.dll
01.05.2009 02:46 2.852.896 nvmoblsr.dll
01.05.2009 02:46 289.312 nvmccss.dll
01.05.2009 02:46 455.712 nvmccssr.dll
01.05.2009 02:46 4.402.720 nvgamesr.dll
01.05.2009 02:46 5.113.888 nvgames.dll
01.05.2009 02:46 5.889.056 nvdispsr.dll
01.05.2009 02:46 4.417.056 nvdisps.dll
01.05.2009 02:46 229.555 NvApps.xml
01.05.2009 02:46 64.777 NvwsApps.xml
01.05.2009 02:46 381.984 nvvsvc.exe
01.05.2009 02:46 1.087.488 nvsvcr.dll
01.05.2009 02:46 870.944 nvsvc64.dll
01.05.2009 02:46 16.299.552 nvcpl.dll
01.05.2009 02:46 238.080 nvshext.dll

Verzeichnis von C:\Users\Peter\AppData\Local\Temp

22.07.2009 23:14 2.927 jusched.log
22.07.2009 18:32 25.600 tmp9A3E.tmp
21.07.2009 13:16 81.664 onkayakj.sys
21.07.2009 12:05 4.194.304 WinSAT_StorageAsmt.etl
21.07.2009 12:04 41.943.040 WinSAT_DX.etl
21.07.2009 12:04 15.728.640 WinSAT_KernelLog.etl
21.07.2009 11:59 0 etilqs_1vduVpfL5XEKUVp6REjY
21.07.2009 11:54 0 RPT64D7.tmp
21.07.2009 11:54 0 RPT64D8.tmp
21.07.2009 00:31 2.575.984 QRC.exe
18.07.2009 22:45 1.582 MSI24d44.LOG
18.07.2009 22:45 1.582 MSI21c27.LOG
18.07.2009 22:15 4.395.554 MSI477ed.LOG
18.07.2009 21:55 784.468 MSI200ca.LOG
18.07.2009 21:51 1.582 MSI536a9.LOG
18.07.2009 21:39 512 ~DF7F81.tmp
18.07.2009 21:39 32.768 ~DF7F77.tmp
18.07.2009 21:39 16.384 ~DF7F4A.tmp
18.07.2009 21:39 512 ~DF7F51.tmp
18.07.2009 21:39 512 ~DF7EFD.tmp
18.07.2009 21:39 32.768 ~DF7EF6.tmp
18.07.2009 21:39 0 ~DFF569.tmp
18.07.2009 21:39 0 ~DFE86F.tmp
18.07.2009 21:34 223.017.811 explorer.DMP
18.07.2009 18:46 0 ~DFC6B3.tmp
18.07.2009 18:46 0 ~DFB909.tmp
18.07.2009 10:44 0 JET188E.tmp
18.07.2009 10:43 0 JET6BFB.tmp
18.07.2009 10:32 87.414 Microsoft .NET Framework 3.5-KB963707_20090718_083233967.html
18.07.2009 10:32 693.420 Microsoft .NET Framework 3.5-KB963707_20090718_083233967-Msi0.txt
18.07.2009 10:21 134 190414.od
18.07.2009 10:21 0 CVRE7CE.tmp.cvr
18.07.2009 00:34 4.780.760 DWPUpgradeInstaller.exe
17.07.2009 23:04 134 44521359.od
17.07.2009 23:04 0 CVR578F.tmp.cvr
17.07.2009 22:24 16.825.216 718631~1.exe
17.07.2009 12:24 134 6112462.od
17.07.2009 12:24 0 CVR44CE.tmp.cvr
16.07.2009 22:42 512 FINEE45.tmp
16.07.2009 22:42 136 FINEE44.tmp
16.07.2009 22:42 128 FINEE46.tmp
16.07.2009 22:42 512 FINEE47.tmp
16.07.2009 22:41 0 FINEF81.tmp
16.07.2009 22:41 0 FINEF80.tmp
16.07.2009 22:41 0 JET9684.tmp
13.07.2009 22:35 243.712 ~AB9F.tmp
12.07.2009 21:24 243.712 ~2280.tmp
10.07.2009 10:17 0 etilqs_WQAHdDsqFDl5EmClFut0
18.06.2009 18:12 243.712 ~7A8E.tmp
17.06.2009 22:45 243.712 ~A814.tmp
13.06.2009 22:25 243.712 ~7E18.tmp
19.05.2009 18:48 243.712 ~4662.tmp


Combo-Fix.exe funktioniert immer noch nicht.

#24 >>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

Zitat

C:\Users\Peter\AppData\Local\Temp\onkayakj.sys

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Was meint der Onlinescan von FSecure?

>>
wende bitte RSIT an + poste die zwei Logs
http://virus-protect.org/artikel/tools/random.html

Gruss Swiss

#25 Onlinescan von FSecure sagt: "You need to install F-Secure Online Scanner add-on for Internet Explorer. Click on the yellow bar to continue." Sehe aber keine gelbe bar. Habs jetzt auch schon mehrmals versucht. Versuche jetzt erstmal das andere.

#26 Gibts denn bei Vista Arbeitsplatz?

#27 Da heißt es Computer! Du musst alt drücken um die Leiste mit Extras aufzurufen !
__________
Mein Leben verläuft streng nach Murphys Gesetz

#28 RSIT kann ich auch nicht installieren.

#29 Datei onkayakj.sys empfangen 2009.07.22 23:36:53 (UTC)
Ergebnis: 1/38 (2.64%)

a-squared 4.5.0.24 2009.07.22 -
AhnLab-V3 5.0.0.2 2009.07.22 -
AntiVir 7.9.0.222 2009.07.22 -
Antiy-AVL 2.0.3.7 2009.07.22 -
Authentium 5.1.2.4 2009.07.22 -
Avast 4.8.1335.0 2009.07.22 -
BitDefender 7.2 2009.07.23 -
CAT-QuickHeal 10.00 2009.07.22 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1736 2009.07.23 -
DrWeb 5.0.0.12182 2009.07.23 -
eSafe 7.0.17.0 2009.07.21 Win32.Banker
eTrust-Vet 31.6.6634 2009.07.22 -
F-Prot 4.4.4.56 2009.07.22 -
Fortinet 3.120.0.0 2009.07.22 -
GData 19 2009.07.23 -
Ikarus T3.1.1.64.0 2009.07.22 -
Jiangmin 11.0.800 2009.07.22 -
K7AntiVirus 7.10.799 2009.07.22 -
Kaspersky 7.0.0.125 2009.07.23 -
McAfee 5684 2009.07.22 -
McAfee+Artemis 5684 2009.07.22 -
McAfee-GW-Edition 6.8.5 2009.07.22 -
Microsoft 1.4903 2009.07.22 -
NOD32 4268 2009.07.23 -
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.22 -
Panda 10.0.0.14 2009.07.22 -
PCTools 4.4.2.0 2009.07.22 -
Prevx 3.0 2009.07.23 -
Rising 21.39.24.00 2009.07.22 -
Sophos 4.44.0 2009.07.22 -
Sunbelt 3.2.1858.2 2009.07.22 -
Symantec 1.4.4.12 2009.07.23 -
TheHacker 6.3.4.3.372 2009.07.23 -
TrendMicro 8.950.0.1094 2009.07.22 -
VBA32 3.12.10.8 2009.07.22 -
VirusBuster 4.6.5.0 2009.07.22 -
weitere Informationen
File size: 81664 bytes
MD5...: 8370274fec54becdf357232c1fe44008
SHA1..: 031a5481f389c69ef8926da86b71b24335b86cec
SHA256: d2620850cbe923ab5e893bd8af0ca3bdd94eecf57baf752d13ef43603a5c90bd
ssdeep: 1536:jRXWg3LG/Gh/2J3Uwz9LcxzrpiF5SF1PhT:133y/Gh/2J3RI1rpiFS1Pt

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11985
timedatestamp.....: 0x49b65e3c (Tue Mar 10 12:34:04 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xc098 0xc100 6.47 11dcefc2707b7d39243cba0b96a60162
.rdata 0xc580 0x2864 0x2880 5.30 b9d8ede721a4c45fd0d8b96fcd3aadcb
.data 0xee00 0x2b64 0x2b80 0.46 32d73eeec2778451dce1da442ef60f5d
INIT 0x11980 0x938 0x980 5.56 3753a8ffad7565478c87783191a53493
.rsrc 0x12300 0x370 0x380 3.34 4e7151b2f3eff225733d5c41e06d07ba
.reloc 0x12680 0x181a 0x1880 6.39 de0af08ed9108bf4ccf5247d2dcb4caa

( 2 imports )
> ntoskrnl.exe: KeSetEvent, ZwClose, ExFreePoolWithTag, ExAllocatePoolWithTag, ZwReadFile, ZwQueryInformationFile, ZwOpenFile, _except_handler3, KeQuerySystemTime, PsLookupProcessByProcessId, ObfDereferenceObject, ObReferenceObjectByHandle, KeDetachProcess, KeAttachProcess, MmIsAddressValid, ZwSetInformationFile, RtlInitUnicodeString, ObOpenObjectByPointer, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, RtlUnicodeStringToAnsiString, PsTerminateSystemThread, PsCreateSystemThread, KeInitializeEvent, wcsstr, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, strrchr, KeBugCheckEx, IoFreeIrp, KeGetCurrentThread, _wcsnicmp, IoAllocateIrp, IoGetBaseFileSystemDeviceObject, ZwWriteFile, ZwCreateFile, strncmp, IoGetCurrentProcess, strncpy, _vsnprintf, PsGetCurrentProcessId, _snprintf, RtlTimeToTimeFields, ExSystemTimeToLocalTime, _stricmp, ZwQuerySystemInformation, KeWaitForSingleObject, RtlCopyUnicodeString, ZwQueryValueKey, ZwOpenKey, ZwSetValueKey, _snwprintf, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, MmMapLockedPagesSpecifyCache, wcslen, PsLookupThreadByThreadId, RtlAnsiStringToUnicodeString, RtlInitAnsiString, _strupr, _strlwr, KeDelayExecutionThread, RtlVolumeDeviceToDosName, ObfReferenceObject, IoGetDeviceObjectPointer, wcschr, wcsncmp, KeServiceDescriptorTable, _wcsicmp, wcsrchr, strchr, strstr, wcsncpy, IoCreateNotificationEvent, ZwQuerySection, wcscpy, RtlInitString, ZwRequestWaitReplyPort, ZwConnectPort, MmMapLockedPages, MmGetSystemRoutineAddress, ObReferenceObjectByName, IoDriverObjectType, ZwDeleteFile, KeTickCount, NtClose, RtlCompareUnicodeString, IoBuildSynchronousFsdRequest, _strnicmp, KeClearEvent
> HAL.dll: KeGetCurrentIrql

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=8370274fec54becdf357232c1fe44008' target='_blank'>http://www.threatexpert.com/report.aspx?md5=8370274fec54becdf357232c1fe44008</a>
packers (Kaspersky): PE_Patch

#30 Du musst IE benutzen für den Scan, dann sollte oben ein gelber Balken zu sehen sein. Dort klicken. Du musst dafür Add on aktiviert haben.

Wenn das wirklich ein Banker-trojaner sein sollte, dann ist sowieso eine Reinigung nicht empfehlenswert.

Gruss Swiss