Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Systemwiederherstellung deaktiviert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.03.2007, 21:11   #1
Lisa17
 
Systemwiederherstellung deaktiviert - Standard

Systemwiederherstellung deaktiviert



Hallo liebe Community ;-)

Ich habe gestern eine Datei geöffnet aber kurz davor einen Systemwiederherstllunspunkt gemcht.
Leider war wie ich es erwsrtet habe ,die datei ein Virus/Trojaner ,der meine Systemwiederherstllung deaktivert hat.

1.Kann mir jemand sagen wie ich die Systemwiederherstllung wieder aktivieren kann und somit das alte Systen wiederherstellen kann ?
2.Ist dann der Trojaner auch endgültg weg ?

Liebe Grüße ihr Süßen

Lisa

Alt 19.03.2007, 21:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Systemwiederherstellung deaktiviert - Standard

Systemwiederherstellung deaktiviert



Zitat:
1.Kann mir jemand sagen wie ich die Systemwiederherstllung wieder aktivieren kann und somit das alte Systen wiederherstellen kann ?
Kann man so pauschal leider nicht beantworten, jedenfalls nicht ohne zu wissen welcher Schädling dein System befallen hat.
Zitat:
2.Ist dann der Trojaner auch endgültg weg ?
Nein, jedenfalls nicht sicher. Führst du einen Schädling mit Adminrechten aus, nisten die sich nicht selten in das Verzeichnis ein, das für die Systemwiederherstellung genutzt wird.

Ob sich eine Bereinigung lohnt, wird sich zeigen, idR ist ein befallenes System aber neu aufzusetzen. Poste bitte ein Hijackthis-Logfile.
__________________

__________________

Alt 19.03.2007, 21:49   #3
Lisa17
 
Systemwiederherstellung deaktiviert - Standard

Systemwiederherstellung deaktiviert



Hijack kommt noch.

1)Wenn ich es schaffe diese Dateinen zu löschen und beim nächsten Systemstart systemwiederherstllung deaktiviert habe, dann wieder beim nächsten es aktivieren, werden die trojaner wieder hochgefahren?Muss ich dann für immer und ewig Systemwiederherstllung deaktiviert lassen ?
__________________

Alt 19.03.2007, 22:11   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Systemwiederherstellung deaktiviert - Standard

Systemwiederherstellung deaktiviert



Zitat:
Zitat von Lisa17 Beitrag anzeigen
1)Wenn ich es schaffe diese Dateinen zu löschen und beim nächsten Systemstart systemwiederherstllung deaktiviert habe, dann wieder beim nächsten es aktivieren, werden die trojaner wieder hochgefahren?
Kann man auch so nicht sagen, es kommt immer drauf an welcher Schädling sich denn so auf deinem System breit gemacht hat. Ich würde aber eher dazu tendieren, dass dieses Vorhaben scheitert, denn moderne Schädlinge beschränken sich nicht bloß auf eine Datei bzw. einen im Hintergrund laufenden Prozess. Da laufen tw. mehrere Schädlingsprozesse, alle kontrollieren sich gegenseitig, sobald einer beendet und die dazugehörige *.exe gelöscht wird, wird eine neue *.exe angelegt und ein neuer Prozess gestartet.

Dein Vorhaben kann klappen, aber nur das Entfernen garantiert kein sauberes System. Wer sagt dir, dass keine wichtigen Systemdateien durch die Malware verändert wurden? Das kannst du nur überschauen, wenn du von jeder Systemdatei vor dem Befall eine Prüfsumme abgelegt hast und vom bereinigten System wiederum welche erstellst und mit den vorherigen vergleichst. Schwierig hierbei ist aber, dass Windows-Updates ebenfalls Systemdateien ersetzen und dadurch die ersetzten Systemdateien auch andere Prüfsummen haben => müsste man beachten, ist deswegen imho zu aufwendig.

Ok, ich hab jetzt ein bissi weit ausgeholt, poste erstmal für den Grobeindruck ein Hijackthis-Logfile.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.03.2007, 14:58   #5
Lisa17
 
Systemwiederherstellung deaktiviert - Standard

Systemwiederherstellung deaktiviert



Hier ist logfile...bitte helft mir ,mein pappn bringt mich um...
Darf auch nicht formatieren

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 15:56:04, on 20.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.937\HijackThis.exe
C:\WINDOWS\system32\mdm.exe

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - C:\WINDOWS\system32\UpMedia\ContentTool.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB58.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB58.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_SFC.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [shdef] cleared - Anti-sharK by s33k
O4 - HKLM\..\Run: [scvhost] cleared - Anti-sharK by s33k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe


Alt 20.03.2007, 19:23   #6
Le Pfannenwender
 
Systemwiederherstellung deaktiviert - Standard

Systemwiederherstellung deaktiviert



auf jeden fall ist da das Adware Mirar dabei: Mirar - Potentiell unerwünschte Anwendung - Sophos Bedrohungsanalyse
Aber mehr seh ich da leider auch nicht. kenn mich da nicht so aus

Fixen auf jeden fall:
O15 - Trusted Zone: h**p://click.getmirar.com (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O15 - Trusted Zone: Mirar (HKLM)
O15 - Trusted Zone: Mirar (HKLM)

dann ist noch ein: Backdoor.Win32.Nucleroot.a dabei: Troj/RKNu-A - Trojaner - Sophos Bedrohungsanalyse

das wäre dann der eintrag: O4 - HKLM\..\Run: [shdef] cleared - Anti-sharK by s33k
was das Antishark bedeutet kann ich leider nicht sagen. hab da nicht so viel ahnung davon.

und dann noch eine datei scvhost (Die Datei von Windows heißt: SVCHOST!!!), wahrscheinlich irgendein trojaner
O4 - HKLM\..\Run: [scvhost] cleared - Anti-sharK by s33k

also mehr find ich da leider auch nicht

Geändert von Le Pfannenwender (20.03.2007 um 19:34 Uhr)

Alt 20.03.2007, 21:20   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Systemwiederherstellung deaktiviert - Standard

Systemwiederherstellung deaktiviert



Lisa, da sind rel. viele Einträge bzw. Dateien, die ich als Schädlinge einstufen würde. Zumindest sind diese sehr verdächtig. Von der Spyware abgesehen finde ich diese besonders bedenklich:

O4 - HKLM\..\Run: [shdef] cleared - Anti-sharK by s33k
O4 - HKLM\..\Run: [scvhost] cleared - Anti-sharK by s33k


Du hast nicht schonmal versucht, den Rechner mit einem Removal-Tool zu säubern?
Wieso *darfst* du nicht formatieren und wieso bringt "pappn" dich um? Du wirst doch nicht unerlaubterweise an den Rechner gegangen sein? Wenn ja, dann steh zu deinem "Missgeschick" und schildere ihm, dass der Rechner befallen ist.

Eine Bereinigung ist alles andere als sicher.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Systemwiederherstellung deaktiviert
aktiviere, aktivieren, community, datei, deaktiviert, ellung, gestern, liebe, systemwiederherstellung, virus/trojaner, wiederherstellen



Ähnliche Themen: Systemwiederherstellung deaktiviert


  1. Windows Vista: Updates deaktiviert, Sicherheitsmaßnahmen abgeschaltet, Avira deaktiviert
    Log-Analyse und Auswertung - 12.02.2014 (14)
  2. Sophos On-Access-Scan wird deaktiviert; Win7 Sicherheitscenter wird deaktiviert; PC startet neu
    Log-Analyse und Auswertung - 07.08.2013 (25)
  3. GVU Trojaner mit Systemwiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 11.07.2013 (5)
  4. Windows Sicherheitscenter deaktiviert sich ständig, Systemwiederherstellung lässt sich nicht öffnen
    Log-Analyse und Auswertung - 29.03.2012 (13)
  5. Log nach Systemwiederherstellung
    Log-Analyse und Auswertung - 06.01.2011 (1)
  6. Anti Vir Guard deaktiviert, Windows Firewall deaktiviert und andere Miseren...
    Log-Analyse und Auswertung - 24.01.2009 (13)
  7. Systemwiederherstellung
    Mülltonne - 24.12.2008 (1)
  8. Sophos Antivirus Deaktiviert nach Systemwiederherstellung
    Mülltonne - 24.10.2008 (0)
  9. Systemwiederherstellung ist weg
    Alles rund um Windows - 16.12.2007 (1)
  10. Systemwiederherstellung
    Alles rund um Windows - 27.11.2007 (3)
  11. Systemwiederherstellung
    Mülltonne - 26.05.2007 (0)
  12. systemwiederherstellung ?!
    Alles rund um Windows - 30.01.2007 (20)
  13. Systemwiederherstellung
    Alles rund um Windows - 11.12.2006 (6)
  14. Systemwiederherstellung
    Alles rund um Windows - 04.06.2006 (6)
  15. Systemwiederherstellung
    Alles rund um Windows - 26.09.2004 (6)
  16. Systemwiederherstellung
    Alles rund um Windows - 02.07.2004 (6)

Zum Thema Systemwiederherstellung deaktiviert - Hallo liebe Community ;-) Ich habe gestern eine Datei geöffnet aber kurz davor einen Systemwiederherstllunspunkt gemcht. Leider war wie ich es erwsrtet habe ,die datei ein Virus/Trojaner ,der meine Systemwiederherstllung - Systemwiederherstellung deaktiviert...
Archiv
Du betrachtest: Systemwiederherstellung deaktiviert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.