Ist der Benutzer mit dem du arbeitest ein Administrator? Wenn nein, dann wechsele ins Adminkonto.

Geht nicht. Unter Benutzer wechseln steht keine Auswahl ausser meiner privaten.

Gibt es einen anderen Weg, welchne ich nicht kenne?

Wenn ja, bitte um eine Anleitung. Wie anfangs geschrieben bin ich nur ein Anwender und manchmal fällt es mir sehr schwer etwas zu verstehen.

Danke für all die Mühe aber ich muss jetzt Schluss machen. Ist zu spät geworden und morgen früh fängt der neue Tag seht früh an.

Wir probieren mal folgendes:

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

1. Combofix kopieren
   • Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
2. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
3. Combofix starten
   • Tippe explorer (Enter)
   • Finde den USB-Stick und starte Combofix mit einem Doppelklick.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle anderen Warnungen mit OK.
4. Logfile posten
   • Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken - Anleitung)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo,

sorry - ich hatte gestern ganz andere Probleme. Also ich habe heute wieder den Rechner hochgefahren und er läuft normal für einen Anwender. Habe wieder mehrmals versucht mit dds aber diese logfiles werden einfach nicht ezeugt. Ich werde jetzt die nächste Möglichkeit wie von dir am 02.07.13 versuchen.

Folgender Ablauf:
Start mit Eingabeaufforderung
- Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
- Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
- Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.

Nachdem ich die F8 Taste mehrmals gedrückt habe bekam ich zuerst die Auswahl worüber der Rechner booten soll. Dann habe ich USB Card selektiert. Im Bios ist immer noch USB Card an erster Stelle eingestellt. Erst jetzt bekomme ich die Möglichkeit den Abgesicherten Modus mit Eingabeanforderung zu selektieren. Das tue ich auch, tippe explorer und bestätige mit der Enter Taste.
Danach erscheint nur ein schwarzer Bildschirm und an jeder Ecke steht abgesicherter Modus. Jetzt passiert gar nichts mehr.

Schon 2 Mal ausprobiert.

HILFE wie gehts weiter?

Hallo,

ich habe den Rechner mit AVIRA überprüfen lassen und folgende Funde sind entdeckt worden:

Object

Objekt Fund Aktion
724db3c7-7404b096 JAVA/Dldr.Obfshlp.OA In Quarantäne verschieben
49fa7042-6524cac3 EXP/CVE-2013-1493... In Quarantäne verschieben
skype.dat TR/MalCrypt.JH.1 In Quarantäne verschieben

Ich werde jetzt die Aktion durchführen und alle in Quarantäne verschieben.

Hier noch die Befunde über das AVIRA logfile.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\skype.dat
[FUND] Ist das Trojanische Pferd TR/MalCrypt.JH.1
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\49fa7042-6524cac3
[0] Archivtyp: ZIP
--> Base.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.332
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Ocoo.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.339
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\724db3c7-7404b096
[0] Archivtyp: ZIP
--> Cxzcxz.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.125
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Cxzcxz$Leak.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.126
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Cxzcxz$MBI.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.127
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Cxzcxz$MCS.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.128
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.129
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf3.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.130
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf4.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.PA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf5.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.OU
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf6.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.131
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> wh.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Obfshlp.OA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\724db3c7-7404b096
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Obfshlp.OA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51ee40e3.qua' verschoben!
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\49fa7042-6524cac3
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.339
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b6f4b.qua' verschoben!
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\skype.dat
[FUND] Ist das Trojanische Pferd TR/MalCrypt.JH.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1b6135f5.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 4. Juli 2013 23:08
Benötigte Zeit: 1:09:57 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

13997 Verzeichnisse wurden überprüft
429753 Dateien wurden geprüft
13 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
429740 Dateien ohne Befall
6044 Archive wurden durchsucht
12 Warnungen
3 Hinweise
402734 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Es gibt da eine Variante:

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

1. Batch-Datei vorbereiten
   • Drücke Windowstaste + R > notepad (eintippen) > Enter
     Kopiere den folgenden Text vollständig in das Fenster:
     
     Code: Alles auswählenAufklappen

     ATTFilter

     @echo off
     copy %0\..\combofix.exe "%userprofile%"\desktop 
     "%userprofile%"\desktop\combofix.exe
              

   • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
2. Combofix kopieren
   • Lade dir Combofix von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
3. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
4. Laufwerksbuchstaben finden und Combofix starten
   • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
   • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
   • Wenn du es gefunden hast tippe start.bat (Enter)
   • Combofix sollte jetzt starten.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle Warnungen mit OK.
5. Logfile posten
   • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Hallo,

nach mehrmaligen Versuchen hier mein Problem.
Ab Buchstabe D kann ich deinen Anweisungen nicht folgen. Auf meinem PC hat der Stick den Buchstaben G. Sobald ich G: eintippe und die enter Taste drücke erscheint weiterhin das schwarze Fenster mit dem blinkenden Cursor für mehrere Sekunden und dann wird Windows hochgefahren. Hier bekomme ich die Anmeldeauswahl Administrator oder Privat und an dieser Stelle schalte ich den PC aus.

Mache ich etwas falsch oder ist der PC so stark infiziert?

Auf jeden Fall danke ich dir für dir Zeit und die Mühe die du für meine Angelegenheit investierst.

Wenn du weißt, dass es g: ist, dann kannst du einfach eingeben:

g:\start.bat

Evtl klappt es dann.

Geht leider nicht.

Nach Eingabe und enter Taste erscheint wie schon beschrieben das schwarze Fenster mit dem blinkenden Cursor für mehrere Sekunden und dann wird Windows hochgefahren. Hier bekomme ich die Anmeldeauswahl Administrator oder Privat und an dieser Stelle schalte ich den PC aus.

Was noch? Würde alles ausprobieren um die Kiste rein zu bekommen.

Wir hatten eingangs doch versucht mit FRST zu scannen - funktioniert das evtl doch?

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis, nachdem du deine Logfiles hier eingestellt hast.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen