Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.02.2013, 15:31   #1
1000fragen
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Nach gefundenen Trojaner TR/Agent.59392.91 und der Entfernung mit Avira sind die Desktopsymbole, das Startmenü und Dateiordner im Explorer für den Benutzer nicht mehr sichtbar.
Ich habe die Logdatei die ich mit OTL erstellt habe beigefügt. Gibt es eine Möglichkeit die Daten wieder herzustellen?
Vielen Dank für eine kurze Rückinfo.

Geändert von 1000fragen (25.02.2013 um 15:38 Uhr)

Alt 25.02.2013, 15:39   #2
aharonov
/// TB-Ausbilder
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Hi,

Zitat:
Gibt es eine Möglichkeit die Daten wieder herzustellen?
Das kann man im Normalfall, ja.

Mach bitte auch noch ein Gmer-Log:


Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.
  • Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
  • Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
  • Schliesse bitte alle anderen Programme.
  • Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Sollte sich ein Fenster mit folgender Warnung öffnen
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    dann klicke unbedingt auf No.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Show all
  • Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
  • Starte den Scan mit einem Klick auf Scan.
  • Mache gar nichts am Computer, während der Scan läuft!
  • Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
  • Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
  • Füge bitte den Inhalt des Logfiles hier in deine Thread ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Bitte poste in deiner nächsten Antwort:
  • Log von Gmer
__________________

__________________

Alt 26.02.2013, 08:44   #3
1000fragen
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Log von Gmer



GMER Logfile:
Code:
ATTFilter
GMER 2.1.19081 - hxxp://www.gmer.net
Rootkit scan 2013-02-26 08:24:02
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD75 rev.80.0 698,64GB
Running: 3hsy9jn8.exe; Driver: C:\Users\ADMINI~1\AppData\Local\Temp\pgddqpow.sys


---- System - GMER 2.1 ----

SSDT   9072814E                                  ZwCreateSection
SSDT   90728158                                  ZwRequestWaitReplyPort
SSDT   90728153                                  ZwSetContextThread
SSDT   9072815D                                  ZwSetSecurityObject
SSDT   90728162                                  ZwSystemDebugControl
SSDT   907280EF                                  ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

.text  ntkrnlpa.exe!ZwRollbackEnlistment + 140D  82E939E9 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2    82ECD1C2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text  ntkrnlpa.exe!KeRemoveQueueEx + 11F7       82ED430C 4 Bytes  [4E, 81, 72, 90]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1553       82ED4668 4 Bytes  [58, 81, 72, 90]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1597       82ED46AC 4 Bytes  [53, 81, 72, 90]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1613       82ED4728 4 Bytes  [5D, 81, 72, 90]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1667       82ED477C 4 Bytes  [62, 81, 72, 90]
.text  ...                                       

---- EOF - GMER 2.1 ----
         
--- --- ---
__________________

Alt 26.02.2013, 09:19   #4
aharonov
/// TB-Ausbilder
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Hi,

Zitat:
sind die Desktopsymbole, das Startmenü und Dateiordner im Explorer für den Benutzer nicht mehr sichtbar.
Sind genannte Objekte nach folgendem Schritt alle wieder sichtbar oder fehlt noch was?
(Wir sind dann noch nicht fertig.)


Downloade bitte Grinler's unhide.exe auf deinen Desktop.
  • Starte das Tool mit Doppelklick.
  • Wenn es fertig ist, wird eine Nachricht mit "Done" erscheinen.
  • Es wird auch ein Logfile Unhide.txt erstellt. Poste dieses bitte hier.
__________________
cheers,
Leo

Alt 26.02.2013, 14:11   #5
1000fragen
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Hat leider keine unhide.txt erstellt. Kann es damit zu tun haben das ich nicht als Administrator angemeldet bin?
Ich habe den Inhalt des DOS-Fensters mal kopiert und unten angehängt.
Die Desktop-Symbole sind nun wieder da. Das Startmenü ist aber noch nicht da und das eingstellte Hintergrundbild (was nicht wichtig ist) wurden noch nicht wiederhergestellt.
Ich kann aber z.B. die Standardhintergründe wieder einstellen, was zuvor nicht möglich war.
Sollten noch weiter Maßnahmen ergreifen oder es dabei belassen?
Viele Grüße

Miniaturansicht angehängter Grafiken
-unhide.jpg  

Alt 26.02.2013, 14:49   #6
aharonov
/// TB-Ausbilder
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Hallo,

Zitat:
Das Startmenü ist aber noch nicht da und das eingstellte Hintergrundbild (was nicht wichtig ist) wurden noch nicht wiederhergestellt.
Das Hintergrundbild musst du selber wieder einstellen.
Aber das verschobene Startmenü wird nach solchen Infektionen normalerweise durch unhide.exe gefunden und wiederhergestellt..
Bei dir sagt es, dass der entsprechende Ordner nicht existiert. Hast du in der Zwischenzeit mal deine temporären Dateien geleert?

Zitat:
Sollten noch weiter Maßnahmen ergreifen oder es dabei belassen?
Wir sollten danach sicher noch weitermachen!
__________________
--> Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg

Alt 27.02.2013, 12:44   #7
1000fragen
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Habe die temporären Dateien über den Explorer gelöscht und den Rechner neu gestartet. Danach habe ich auch nochmal unhide laufen lassen aber das Startmenü ist noch nicht wieder da (siehe Bild)
Viele Grüße
Miniaturansicht angehängter Grafiken
-startmenue.jpg  

Alt 27.02.2013, 13:47   #8
aharonov
/// TB-Ausbilder
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Das mit den temporären Dateien war eigentlich mehr eine Frage als eine Aufforderung...
Aber halb so wild, unhide konnte ja vorher schon nichts finden.

Wir können trotzdem einen Versuch starten, ob irgendwo diese Verknüpfungen noch liegen, auch wenn das nicht sehr wahrscheinlich ist:

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
%SYSTEMDRIVE%\*.lnk /s
         
  • Schliesse bitte alle anderen Programme.
  • Klicke nun auf None (deutsch "Nichts") und danach auf den Scan Button.
  • Kopiere danach den Inhalt der OTL.txt hier in deinen Thread.
    Wenn das Logfile zu gross ist zum Posten, dann pack es in ein zip-Archiv (Rechtsklick -> Senden an -> zip-komprimierten Ordner) und hänge es an.
__________________
cheers,
Leo

Alt 27.02.2013, 15:36   #9
1000fragen
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Anbei die Logdatei von OTL

Alt 27.02.2013, 16:54   #10
aharonov
/// TB-Ausbilder
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Ich seh da schon noch Verknüpfungen im Startmenü..
Fehlt das Startmenü denn in allen Benutzerkonten oder ist es in manchen noch vorhanden?
Kannst du mal überprüfen und mir mitteilen, in welchen Konten (mit Kontoname) das Startmenü für dich noch intakt ist und in welchen nicht?
__________________
cheers,
Leo

Alt 28.02.2013, 10:02   #11
1000fragen
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Das Startmenü fehlt nur bei dem Benutzer christ.de\hauck
Viele Grüße

Alt 28.02.2013, 11:14   #12
aharonov
/// TB-Ausbilder
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Ok, dann sag mir bitte noch einen Kontonamen, von welchem du das Startmenü 1-zu-1 ins betroffene Konto hinüberkopieren möchtest.
Wir fahren in der Zwischenzeit schon mal fort:


Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!


Downloade dir bitte Combofix.
  • WICHTIG: Speichere Combofix auf deinen Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
  • Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 2

Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von Combofix
  • Log von OTL
__________________
cheers,
Leo

Alt 28.02.2013, 12:44   #13
1000fragen
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Bitte vom Konto Administrator kopieren.
Anbei dei beiden Log-Datein

Alt 28.02.2013, 20:14   #14
aharonov
/// TB-Ausbilder
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Dann noch eine Kontrolle, ob dein ungebetener Gast noch einen Kollegen mit zur Party eingeladen hat, der sich gut versteckt. Das scheint er nämlich gerne zu tun.


Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
  • Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.
Falls Funde angezeigt werden:
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
  • Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.
Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.



Bitte poste in deiner nächsten Antwort:
  • Log von MBAR
__________________
cheers,
Leo

Alt 03.03.2013, 19:25   #15
aharonov
/// TB-Ausbilder
 
Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Standard

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg



Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.
__________________
cheers,
Leo

Antwort

Themen zu Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg
avira, benutzer, dateiordner, daten, desktop, desktopsymbole, entfernung, erstell, erstellt, explorer, gefunde, gefundene, gefundenen, kurze, logdatei, möglichkeit, nicht mehr, startmenü, troja, trojaner



Ähnliche Themen: Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg


  1. kein desktop, die taskleiste u. startmenü funktionieren nicht bzw. sind weg
    Log-Analyse und Auswertung - 12.11.2014 (5)
  2. desktop, die taskleiste u. startmenü funktionieren nicht bzw. sind weg
    Mülltonne - 03.11.2014 (1)
  3. Desktop schwarz und alle Programme im Startmenü verschwunden
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (3)
  4. Trojaner(?): Festplatte angeblich kaputt, Desktop ist schwarz, Startmenü leer
    Plagegeister aller Art und deren Bekämpfung - 03.08.2012 (14)
  5. Suisa-Trojaner: leerer Desktop, leeres Startmenü
    Log-Analyse und Auswertung - 19.06.2012 (22)
  6. TaskManager weg, Desktop/Startmenü leer, Wallpaper schwarz
    Plagegeister aller Art und deren Bekämpfung - 25.03.2012 (1)
  7. Fake alert: Desktop, Startmenü, Eigene Dateien unsichtbar
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (3)
  8. SecurityCenter, Desktop schwarz, Startmenü leer...
    Plagegeister aller Art und deren Bekämpfung - 19.01.2012 (3)
  9. Desktop schwarz, Startmenü leer, HDD
    Plagegeister aller Art und deren Bekämpfung - 13.12.2011 (3)
  10. Starker Trojaner(?)-Befall! Alle Dateien (Desktop, Startmenü) weg, ununterbrochen Pop-ups.
    Plagegeister aller Art und deren Bekämpfung - 31.10.2011 (5)
  11. TaskManager weg, Desktop/Startmenü leer, Wallpaper schwarz
    Plagegeister aller Art und deren Bekämpfung - 30.09.2011 (9)
  12. Probleme nach Problembehandlung "Leerer Desktop/Startmenü/Festplatte"
    Plagegeister aller Art und deren Bekämpfung - 25.07.2011 (28)
  13. Desktop schwarz, Startmenü leer, HDD angeblich kaputt
    Plagegeister aller Art und deren Bekämpfung - 11.06.2011 (14)
  14. Desktop schwarz, Startmenü leer, HDD
    Plagegeister aller Art und deren Bekämpfung - 07.06.2011 (23)
  15. Trojanisches Pferd TR/Agent.59392 in C:\WINDOWS\system32\kuf.exe
    Plagegeister aller Art und deren Bekämpfung - 01.02.2010 (1)
  16. Kein Desktop, keine Taskleiste Startmenü :)
    Mülltonne - 25.07.2006 (1)

Zum Thema Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg - Nach gefundenen Trojaner TR/Agent.59392.91 und der Entfernung mit Avira sind die Desktopsymbole, das Startmenü und Dateiordner im Explorer für den Benutzer nicht mehr sichtbar. Ich habe die Logdatei die ich - Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg...
Archiv
Du betrachtest: Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.