"Lustig" Schau, ob du die Datei unter C:\WINDOWS\ServicePackFiles\i386 finden kannst, wenn ja, dann bitte die Datei nach c:\windows\ kopieren

Juhu super! Danke!

Im ordner i386 gabs explorer.exe !
So und ja ein ComboFix fenster ist aufgetaucht und hat die Logdatei erstellt...

Und ich kann meine Festplatten jetzt auch normal öffnen...

Was kann ich jetzt machen das die Viren "verschwinden" ?

Da sind noch einige Dateien, die getauscht und geloescht werden muessen. Bei dem gleich gepostete Script musst du noch die "***" durch den echten Namen ersetzen, sonst klappt es nicht...


Mache bitte folgendes:

1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Zitat:

http://www.trojaner-board.de/76923-trojaner-kis2010-zeigt-fast-uberall-trojaner-2.html#post461109
collect::[49]
c:\dokumente und einstellungen\***\xunfvfp.exe
c:\windows\system32\ucvffb.exe
c:\windows\tmp2730843.bat
suspect::
c:\windows\system32\lsass.exe
c:\windows\system32\spoolsv.exe
c:\windows\system32\explorer.exe
fcopy::
c:\windows\ServicePackFiles\i386\spoolsv.exe | c:\windows\system32\spoolsv.exe
c:\windows\ServicePackFiles\i386\lsass.exe | c:\windows\system32\lsass.exe
c:\windows\ServicePackFiles\i386\services.exe | c:\windows\system32\services.exe
c:\windows\ServicePackFiles\i386\winlogon.exe | c:\windows\system32\winlogon.exe
c:\windows\ServicePackFiles\i386\explorer.exe | c:\windows\system32\explorer.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Hinweis, das noch etwas "versand" werden soll. Mache dies bitte.

Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Nach dem neuen CF Report schauen wir weiter...

Ich hab das gemacht und mein PC startet nicht mehr... es kommt KURZ ein blauer bildschirm nach dem Microsoft Windows XP laden und dort steht ganz kurz STOP irgendwelche Zahlen Buchstaben Schwerer Fehler...
ein paar Zeilen gibts diese verschiedenen Buchstaben und Zahlen dann in der vierten oder fünften (die letze Zeile) Das System wird heruntergefahren...
ich schreibe von einem anderen PC was jetzt machen?

Wir muessen das mal etwas eingrenzen, kannst du im abgesicherten Modus starten?

Leider geht der Abgesicherte Modus auch nicht... passiert das gleiche nach dem Laden der ganzen Daten (treibern oder so...) kommt dann das mit dem blauen bildschirm und den fehlern....

habs in allen 3 abgesicherten Modusen versucht...

Gut, dann nutze bitte "letzte als funktionierende Konfiguration" aus dem Startmenue. Sollte dies auch nicht funktionieren, werden wir die Wiederherstellungskonsole nutzen muessen.

Um mehr Informationen zu bekommen, waere der Inhalt des Blauen Bildschirms interessant. Falls du diesen nur kurz zu sehen bekommst, musst du beim Bootmenue "Automatischen Neustart bei Systemfehler deaktivieren" waehlen.

Ok habe das jetzt mal gemacht.
"letzte als funktionierende Konfiguration" funktioniert auch nicht, es restartet nach dem blauen Bildschirm...

Der Inhalt des blauen Bildschirms:

STOP: c000021 {Schwerer Systemfehler}
Der Systemprozess Windows Logon Process wurde unerwartet beendet. Status 0xc0000
Das System wurde heruntergefahren

(musste mit "Automatischen Neustart bei Systemfehler deaktivieren" machen.)

Wie soll ich die Wiederherstellungskonsole nutzen? Was muss ich genau machen?

Weiß vielleicht jemand anderer wie ich mein Problem behebe??
Oder kennt sich hier nur raman aus??

Hat ComboFix jetzt meinen PC geschrottet?

*kurz einspringe*

Zitat:

Hat ComboFix jetzt meinen PC geschrottet?

Nein, das waren wohl eher die Schädlinge, die einige Windowsdateien überschrieben haben.

1.) Lade dir

• Downloaddetails: Windows XP Service Pack 3
• Downloaddetails: Windows Internet Explorer 8 für Windows XP

und speichere beide auf eine andere Partition oder auf ein externes Laufwerk.

2.) Drucke dir diese Anleitung aus => Reparaturinstallation Windows XP - grafische Anleitung

3.) Trenne die Verbindung zum Internet (Stecker ziehen)

4.) Führe die Reparaturinstallation nach Anleitung aus.

5.) Installiere SP3.

6.) Installiere MSIE 8.

7.) Stelle die Verbindung zum Internet her, besuche umgehend mit dem MSIE diese Adresse => Microsoft Windows Update

8.) Führe alle Sicherheits- und Treiberupdates durch.

Dann wird Windows wieder funktionieren.

ciao, andreas

Lass das bitte mit der Reparaturinstallation. Ich melde mich heute nach Feierabend dazu.....

Danke, andreas...
ich werde mal auf raman warten und dann schauen wir mal weiter, fals nichts funktionieren wird, können wir ja das machen

Eine Reparaturinstallation sollte das letzte sein, was man (in diesem Fall) versucht, da waere ein Neuaufsetzen das beste, denn eine Reparaturinstallation wuerde dein Malwareproblem nicht beseitigen...

Wenn du beim Start ins Auswahlmenue (abgesicherter Modus usw) bist, waehle "zurueck zum Betriebssystemauswahlfenster" und dort Systemwiederherstellungskonsole starten.
Wenn du gefragt wirst, welche Windowsinstallation du starten moechtest waehlst du 1 und drueckst enter (Num Block ist ausgeschaltet!)

Du solltest dich nun in c:\windows befinden. Tippe nun folgendes ein, jeweils am ende die enter Taste druecken

cd ServicePackFiles\i386
copy winlogon.exe c:\windows\system32
copy spoolsv.exe c:\windows\system32
copy services.exe c:\windows\system32
copy explorer.exe c:\windows
copy lsass.exe c:\windows\system32
exit

Nach jedem der copy Befehle sollte eine "1 Datei kopiert" Meldung erscheinen, bzw solltest du das ueberschreiben erlauben und nach exit startet der Rechner neu.

Ich hoffe, das dein Rechner so erstmal wieder neu startet, je nachdem, wo sich die Malware da wieder einmischt.
Rueckmeldung ist erbeten!

Nachtrag, du kannst nach jedem copy Befehl die "Pfeil nach oben Taste" druecken, das bringt dir die letzte Befehlszeile zurueck und du kannst sie entsprechend editieren, falls du mit dem tippen nich so geuebt bist..

Hmmm irgendwie geht die systemwiederherstellungskonsole nicht...
ich hab "zurueck zum Betriebsystemauswahlfenster" gemacht, dann konnte ich auswählen also Windows XP Professional oder System Recovery Console wenn ich das auswähle dann kommt ein schwarzer bildschirm und nur ein _ "blinkt"...