Registryveränderungen werden nicht dauerhaft beseitigt

Abgesicherter Modus nicht zugänglich

Hallo Ralf oder alle anderen die dies lesen

Geisterst du auch am WE hier rum ?

Boot.ini / safeboot problem beseitigt aber jetzt taucht folgendes problem auf :
Über F8 komme ich ins Modusmenue mit drei AM möglichkeiten :
AM
AM mit netzwerktreibern
AM mit eingabauforderung

egal was ich auswähle immer kommt der gleiche fehlerbildschirm (blau) :

es wurde ein problem festgestellt windows wurde herunter gefahren damit
der computer nicht beschädigt wird blabla
dazu noch ne speicheradresse

Nach neustart und auswahl windows normal ist alles ok.
Drweb MUSS ja wohl im AM laufen oder ?

Was hältst du davon (von der HJT seite ) :

Code: 
Lade das SafeMode-Regfix präventiv herunter, entpacke es auf Deinen
Desktop. Dieser SafeMode-Regfix wird gebraucht, falls Malware durch 
Registry-Änderungen dafür gesorgt hat, dass Du nicht mehr aus dem 
abgesicherten Modus heraus kommst bzw. dass der abgesicherte Modus nicht 
mehr funktioiert. In diesem Fall mache einen Doppelklick auf die "SafeMode 
Repair.reg", um die verbogenen Registry-Einträge zu reparieren. Klicke auf 
"OK" und beantworte die Frage mit "Ja". Starte Deinen Rechner neu, um 
wieder in den normalen Modus zu kommen.

Oder gibt es andere möglichkeiten ?

Gruss
Andy
 
Last edited:
Re : DrWeb im abgesicherten Modus

Danke, werd ich machen sobald ich sonntag abend zurückkomme.
Schönes WE noch . . .

Gruss
Andy
 
DrWeb log :

Hallo Ralf

Das DrWebLog passt hier nicht rein über 4 MB !
Ich habs nach string "infiziert" durchsucht, der kam in den gelöschten zeilen nicht vor.
Der ersten Fund von DrWeb war neu hab ich vor schreck desinfiziert, also gelöscht ( ist nicht im papierkorb sondern wurde offensichtlich sofort richtig gelöscht ) war : C:\windows\system32\wmihtsp.exe.
Der rest wurde in quarantäne verschoben.
Postoobe.nec ist mir auch nicht bekannt, NEC geräte hab ich nicht und das
system wurde vom vorbesitzer offensichtlich neu installiert.
Die anderen sind altes zeug, von frühreren problemen hab ich zu vergleichszwecken aufgehoben.

Code: 
=============================================================================
Dr.Web Scanner für Windows v5.00.10 (5.00.10.11260)
© Doctor Web, Ltd., 1992-2009
Log erstellt am: 2010-01-24, 16:54:09 [SN047870720165][1234]
Kommandozeile: "C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\84ryxXP.exe" /lng:de-scan /ini:setup_XP.ini /fast
Betriebssystem: Windows XP Home Edition x86 (Build 2600), Service Pack 2
=============================================================================
DwShield gestartet
Engine-Version: 5.00 (5.00.1.12222)
API-Version: 2.02
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\5fe3f619 - 2409 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\b8e797d7 - 20043 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\641300e3 - 14982 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\bcb8e99c - 17748 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\b658d24e - 18725 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\b0a8d580 - 18429 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\34a6688c - 872 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\12e0a1f3 - 142240 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\eff9e792 - 66726 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\92a820b9 - 24512 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\a8238c0e - 82762 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\75fbfe0d - 514157 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\035a07f4 - 486 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\b8f635d7 - 1834 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\711ea551 - 2625 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\59f8b138 - 2545 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\aef59b96 - 2801 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\5e525658 - 6197 Virensignaturen
[Virendatenbank] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\87df59f7 - 28348 Virensignaturen
Gesamtzahl der Virensignaturen: 968441
[Selbstüberprüfung] C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\84ryxXP.exe
Lizenzschlüsseldatei: C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\setup.key
Lizenzchlüsselnummer: 0011097003
Registriert für:: An unauthorized User
Aktivierungsdatum des Lizenzschlüssels:: 2009-09-14
Ablaufdatum des Lizenzschlüssels:: 2010-03-17
Speichervorgang: System:4 - OK
Speichervorgang: \SystemRoot\System32\smss.exe:348 - OK
Speichervorgang: C:\ATI Technologies\ATI Control Panel\atiptaxx.exe:376 - OK
Speichervorgang: C:\WINDOWS\ALCWZRD.EXE:384 - OK
Speichervorgang: C:\WINDOWS\system32\ctfmon.exe:392 - OK
Speichervorgang: C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe:404 - OK
Speichervorgang: C:\Programme\FRITZ!DSL\StCenter.exe:448 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:476 - OK
Speichervorgang: C:\Programme\FRITZ!DSL\IGDCTRL.EXE:528 - OK
Speichervorgang: C:\WINDOWS\system32\cisvc.exe:564 - OK
Speichervorgang: \??\C:\WINDOWS\system32\csrss.exe:584 - OK
Speichervorgang: \??\C:\WINDOWS\system32\winlogon.exe:616 - OK
Speichervorgang: C:\WINDOWS\system32\services.exe:660 - OK
Speichervorgang: C:\WINDOWS\system32\lsass.exe:672 - OK
Speichervorgang: C:\WINDOWS\system32\Ati2evxx.exe:824 - OK
Speichervorgang: C:\Programme\firefox\firefox.exe:836 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:844 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:936 - OK
Speichervorgang: C:\Programme\Java\jre6\bin\jqs.exe:988 - OK
Speichervorgang: C:\WINDOWS\System32\svchost.exe:1036 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:1136 - OK
Speichervorgang: C:\WINDOWS\system32\wbem\wmiapsrv.exe:1212 - OK
Speichervorgang: C:\WINDOWS\system32\svchost.exe:1240 - OK
Speichervorgang: C:\WINDOWS\system32\wdfmgr.exe:1376 - OK
Speichervorgang: C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\84ryxXP.exe:1448 - OK
Speichervorgang: C:\WINDOWS\system32\wscntfy.exe:1580 - OK
Speichervorgang: C:\WINDOWS\system32\spoolsv.exe:1900 - OK
Speichervorgang: C:\WINDOWS\system32\Ati2evxx.exe:1920 - OK
Speichervorgang: C:\WINDOWS\Explorer.EXE:2016 - OK
Speichervorgang: C:\WINDOWS\System32\svchost.exe:2212 - OK
Speichervorgang: C:\WINDOWS\system32\wuauclt.exe:2780 - OK
Speichervorgang: C:\DOKUME~1\1234\LOKALE~1\Temp\RarSFX6\6ndzlq.exe:2888 - OK
Speichervorgang: C:\WINDOWS\system32\cidaemon.exe:3112 - OK
Speichervorgang: C:\Programme\DRWEBCUREIT\drweb-cureit.exe:4016 - OK
[Speicherscannen] Keine Viren gefunden
Master Boot Record HDD1 - OK
Active OS/2 or WinNT Boot Sector HDD1 - OK

[Scanpfad] C:\Dokumente und Einstellungen\1234\Eigene Dateien
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\instit.bat gepackt von UPX
>C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\instit.bat gepackt von VGCRYPT
>>C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\instit.bat infiziert mit Win32.Opasoft.27136 - Desinfektion vom Benutzer abgelehnt
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\institu - OK
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\lammer! - OK
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\marco!.scr gepackt von PCSHRINK
>C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\marco!.scr infiziert mit Win32.Opasoft - Desinfektion vom Benutzer abgelehnt
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\natal.scr gepackt von DEFILER
>C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\natal.scr gepackt von PEPACK
>>C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\natal.scr infiziert mit Win32.Opasoft.36068 - Desinfektion vom Benutzer abgelehnt
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\speedy! - OK
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\speedy.bat gepackt von UPX
>C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\speedy.bat gepackt von PCPEC
>>C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\speedy.bat infiziert mit Win32.Opasoft.36068 - Desinfektion vom Benutzer abgelehnt
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\speedy.scr gepackt von UPX
>C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\speedy.scr gepackt von PCPEC
>>C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\speedy.scr infiziert mit Win32.Opasoft.36068 - Desinfektion vom Benutzer abgelehnt
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\tmp.ini - OK

-----------------------------------------------------------------------------
Scanstatistiken
-----------------------------------------------------------------------------
Gescannt: 35356
Infiziert: 6
Modifikationen: 0
Verdächtig: 1
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 0
Ignoriert: 0
Geschwindigkeit:: 162 Kb/s
Dauer:: 00:52:18
-----------------------------------------------------------------------------

C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\instit.bat - verschoben
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\marco!.scr - verschoben
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\natal.scr - verschoben
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\speedy.bat - verschoben
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\PC\horrorkabinett\speedy.scr - verschoben
C:\Dokumente und Einstellungen\1234\Eigene Dateien\LIFE AND TIMES\ORGANSATION UND TECHNIK\vbs\muster\BackupProgramm.vbs - verschoben
c:\drivers\postoobe.nec - verschoben

=============================================================================
Gesamtsitzungsstatistik
=============================================================================
Gescannt: 59944
Infiziert: 6
Modifikationen: 0
Verdächtig: 1
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 7
Ignoriert: 0
Geschwindigkeit:: 161 Kb/s
Dauer:: 00:52:32
=============================================================================

So das wars erstmal.

Bis denn
Andy
 
Nachschlag zu #24

Hallo Ralf

Auch die nutzung von cure-it will gelernt sein.
Das log in # 24 war der quickscan.
Hier die ergebnisse des kompletten scans, ein richtiges logfile gabs allerdings nicht.
Kann auch daran liegen das ich die einstellungen verändert habe.
Es sind aber alle "finds" aufgeführt.

Code: 
[Scanpfad] C:\
C:\Dokumente und Einstellungen\1234\ijtjvyf.exe infiziert mit BackDoor.Tofsee - verschoben
C:\Dokumente und Einstellungen\1234\ppbxg.exe infiziert mit BackDoor.Tofsee - verschoben
C:\Dokumente und Einstellungen\1234\DoctorWeb\Quarantine 100124 2000\BackupProgramm.vbs wahrscheinlich infiziert mit SCRIPT.Virus - verschoben
>>C:\Dokumente und Einstellungen\1234\DoctorWeb\Quarantine 100124 2000\instit.bat infiziert mit Win32.Opasoft.27136 - verschoben
>C:\Dokumente und Einstellungen\1234\DoctorWeb\Quarantine 100124 2000\marco!.scr infiziert mit Win32.Opasoft - verschoben
>>C:\Dokumente und Einstellungen\1234\DoctorWeb\Quarantine 100124 2000\natal.scr infiziert mit Win32.Opasoft.36068 - verschoben
C:\Dokumente und Einstellungen\1234\DoctorWeb\Quarantine 100124 2000\postoobe.nec infiziert mit VBS.Generic.278 - verschoben
>>C:\Dokumente und Einstellungen\1234\DoctorWeb\Quarantine 100124 2000\speedy.bat infiziert mit Win32.Opasoft.36068 - verschoben
>>C:\Dokumente und Einstellungen\1234\DoctorWeb\Quarantine 100124 2000\speedy.scr infiziert mit Win32.Opasoft.36068 - verschoben
C:\Programme\irfanview\URFILE iview400g_setup.exe ist eine Adware Adware.Stud
>>>>>>>>>>>C:\Programme\super\URFILE SUPERsetup.exe/data002/data001/0011\E6\Movawin.spk/data002 wahrscheinlich infiziert mit Trojan.Packed.Based
>>>>>>>>C:\Programme\super\URFILE SUPERsetup.exe/data002/data001/0011\E6\Movawin.spk - Archiv enthält infizierte Objekte
>>>>>>>>C:\Programme\super\URFILE SUPERsetup.exe/data002/data001/0011\E6\Smabwin.spk wahrscheinlich infiziert mit Trojan.Packed.Based
>>>>>C:\Programme\super\URFILE SUPERsetup.exe/data002/data001 - Archiv enthält infizierte Objekte
>>>C:\Programme\super\URFILE SUPERsetup.exe/data002 - Archiv enthält infizierte Objekte
>C:\Programme\super\URFILE SUPERsetup.exe - Archiv enthält infizierte Objekte - verschoben
>C:\Programme\super\mencoder\mencoder.exe - Fehler beim Entpacken
>C:\Programme\super\mencoder\mplayer.exe - Fehler beim Entpacken
>>>>>C:\Programme\super\spk\Movawin.spk/data002 wahrscheinlich infiziert mit Trojan.Packed.Based
>>C:\Programme\super\spk\Movawin.spk - Archiv enthält infizierte Objekte - verschoben
>>C:\Programme\super\spk\Movawin.spkError open file, error_code=2 
 wahrscheinlich infiziert mit Trojan.Packed.Based
>>C:\Programme\super\spk\Smabwin.spk wahrscheinlich infiziert mit Trojan.Packed.Based - verschoben
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218827.exe infiziert mit BackDoor.Tofsee - verschoben
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218828.exe infiziert mit BackDoor.Tofsee - verschoben
C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218829.vbs wahrscheinlich infiziert mit SCRIPT.Virus - verschoben
>>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218830.bat infiziert mit Win32.Opasoft.27136 - verschoben
>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218831.scr infiziert mit Win32.Opasoft - verschoben
>>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218832.scr infiziert mit Win32.Opasoft.36068 - verschoben
>>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218833.bat infiziert mit Win32.Opasoft.36068 - verschoben
>>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218834.scr infiziert mit Win32.Opasoft.36068 - verschoben
>>>>>>>>>>>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218835.exe/data002/data001/0011\E6\Movawin.spk/data002 wahrscheinlich infiziert mit Trojan.Packed.Based
>>>>>>>>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218835.exe/data002/data001/0011\E6\Movawin.spk - Archiv enthält infizierte Objekte
>>>>>>>>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218835.exe/data002/data001/0011\E6\Smabwin.spk wahrscheinlich infiziert mit Trojan.Packed.Based
>>>>>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218835.exe/data002/data001 - Archiv enthält infizierte Objekte
>>>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218835.exe/data002 - Archiv enthält infizierte Objekte
>C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP146\A0218835.exe - Archiv enthält infizierte Objekte - verschoben

PS :
alle PC probleme behoben ( ausser starten im abgesicherte modus nicht möglich ) und keine neuen symptome !

Gruss
Andy
 
Du kannst die Datei aus dem Hijackthis Link nutzen und versuchen, ob das den abgesicherten Modus "repariert", falsch machen kannst du auf jeden Fall nichts damit. Einen weiteren Kontrollscan mit Kasperky AVP Toll wuerde ich dann auch noch machen. Abgesocherter Modus ist nicht noetig dafuer:
http://board.protecus.de/t37785.htm
 
So das war's wohl !

Hallo Ralf

Das safe-boot tool von HJT hat bei mir funktioniert.
Kapersky hat beim ersten durchlauf noch einige dateien im JAVA ordner gefunden,
hab aber erst beim zweiten durchlauf kapiert wie man mit K. ein log erstellt.
Die dateien hab ich löschen lassen. Bis jetzt gibt es keine negativen nebenwirkungen.

Zweiter durchlauf K :
Autoscan: completed 10 hours ago (events: 2, objects: 199775, time: 00:51:00)
26.01.2010 23:56:07 Task started
27.01.2010 00:47:08 Task completed

Alle anderen scanner zeigen auch nichts alarmierendes mehr an !

Eine letzte frage :
Kennst du links zu vernünftiger vorsorge software "live-scanner" o.ä.
durchaus auch im bezahlbereich - wie Kapersky -.

Bleibt mir nur, dir nochmals für deinen einsatz und die kompetente hilfe zu danken. Substantielleres gibts per paypal.

Alles Gute und erfolgreiche Jagd

Andy
 
You must log in or register to reply here.
Back
Top