Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Computer startet nicht nach Entfernung von Windows Recovery Virus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.04.2011, 02:07   #1
experijens
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



hi,

hier gibt es ja schon eine Menge zu dem Thema "Windows Recovery".

Ich habe jetzt folgendes Problem und bisher noch nichts dazu bei meiner websuche gefunden.

Ich habe/hatte auf meinem Rechner das Windows-Recovery-Problem, wie in diesem Thread beschieben: http://www.trojaner-board.de/96741-w...entfernen.html
(der computer ließ sich noch starten)

Ich habe dann mit einem anderen Rechner (von dem ich jetzt auch schreibe) rkill und Malwarebytes downgeloadet, umbenannt, auf cd gebrannt, auf dem infizierten rechner wie im thread beschrieben ausgeführt.
(mehrmals rkill, dann unsichtbare dateien sichtbar gemacht (war dann alles wieder da), dann Malwarebytes installiert, rechner wieder ans i-net angeschlossen (hatte ich zur sicherheit getrennt), geupdatet, vollen scan gemacht und dann alle Bedrohungen entfernt. (im log stand überall, dass es erfolgreich war))
Nun sollte ich zum endgültigen entfernen neu starten, was ich bestätigt habe. Seitdem startet der computer nicht mehr. Er lädt bis zum Windows-Bildschirm mit dem Balken (windows xp englisch), und sartet dann neu. Dann kommt die auswahl, wo man die verschiedenen abgesicherten modi ... wählen kann. Egal, welchen ich auswähle, der rechner startet neu.
bei safe mode, safe mod network und safe mode command prompt -> ohne windows bild bis ....\drivers\Mup.sys, dann restart
bei last known good und normally bis Windows bild - 2 kleine balken, dann ganz kurzer bluescreen, dann restart.

ich hoffe, ihr könnt mir helfen - schon mal danke für eure mühe

grüße

Alt 16.04.2011, 14:22   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



Kommst du an die Logs von Malwarebytes ran? Wenn ja bitte alle posten!
__________________

__________________

Alt 16.04.2011, 14:51   #3
experijens
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



hi,

über das installierte windows nicht, da das ja in keinem der Modi startet.

Ich hatte überlegt, ob ich die windows-reparatur-option von der windows cd drüber laufen lasse.

Vorher werd ich aber erst mal versuchen, mit diesem ubuntu aus deiner signatur meine Daten zu sichern. Wenn ich damit Zugriff auf die Festplatte habe, werd ich gleich mal nach einer solchen logdati ausschau halten.

Würden die Logs denn helfen, wenn das system ohnehin nicht von allein startet? Da muss ja dann eh was repariert werden. (aber ich frage zu viel ich werd erst mal nach den Logdateien sehen)

Auf jeden Fall danke für deine schnelle Antwort.

grüße
__________________

Alt 17.04.2011, 19:14   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



Mit OTLPE kriegen wir es vllt noch hin. Einen Zweitrechner mit funktionstüchtigem Windows hast du ja. Von dort aus kommst du auch an die Log von Malwarebytes ran.

XP => Dokumente und Einstellungen/NAME/Anwendungsdaten/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Vista und 7 => Users/NAME/AppData/Roaming/Malwarebytes/Malwarebytes' Anti-Malware/Logs
ein anderer Ort ist auch möglich => /ProgramData/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote den Rechner mit defektem Windows von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.04.2011, 20:36   #5
experijens
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



hi,

kann ich die otl.txt auch mit der reatogo-platform auf nen usb-stick ziehen oder sollte ich dafür wieder ubuntu benutzen?

die OTL.Txt hab ich unter c:
Eine extras.txt gibt es aber nicht unter c:

grüße


Alt 17.04.2011, 21:11   #6
experijens
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



hi,

hab jetzt nochmal auf ubuntu gewechselt und die otl.txt rübergeholt.

Beide dateien (malwarebytes-log und otl-log) poste ich hier im anhang.

grüße
Angehängte Dateien
Dateityp: txt mbam-log-2011-04-16 (02-26-24).txt (8,2 KB, 214x aufgerufen)
Dateityp: txt OTL.Txt (60,8 KB, 199x aufgerufen)

Alt 17.04.2011, 21:32   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



Zitat:
c:\WINDOWS\system32\drivers\volsnap.sys
Die Datei hat Malwarebytes gelöscht weil sie manipuliert wurde. Dummerweise kann Windows ohne sie nicht starten.
Ich hab dir so eine volsnap mach hochgeladen, ist von meiner WinXP-Installation => File-Upload.net - volsnap.sys
Übertrage sie über Ubuntu oder OTLPE in den Ordner c:\WINDOWS\system32\drivers

Dann sollte dein Windows eigentlich normal wieder starten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.04.2011, 21:54   #8
experijens
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



hi,

juhuuuu - vielen dank - windows startet wieder.

Was sollte ich als nächstes tun?

Meine Dateien und Ordner sind noch unsichtbar. Bei meiner Recherche am Anfang hab ich hier im Forum irgendwas mit unhide gelesen. Sollte ich das machen, oder erst noch was anderes?

grüße

Alt 18.04.2011, 13:23   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Erstell auch frische OTL-Logs aus dem laufenden Windows heraus und poste sie.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.04.2011, 17:53   #10
experijens
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



hi,

bevor ich jetzt nochmal irgendwas auf dem rechner ausführe hab ich erst mal noch ne frage:

gestern hat ja Windows wieder gestartet, heute jedoch nicht mehr - wieder das gleiche problem - habe dann nochmal deine volsnap.sys per ubuntu kopiert (die fehlte tatsächlich - beim ersten mal war sie irgendwie noch da, aber nicht als sys-datei (unbekannte dateiendung, als ich die über ubuntu anklicken wollte)) und nun war der Start wieder erfolgreich. (hab ubuntu nicht wie empfohlen auf einfachklick eingestellt, weil ich doppelklick gewohnt bin - einfachklick wählt dann ja nur die datei aus)

Gestern hatte ich nichts weiter mit dem rechner gemacht, bis auf malwarebytes-scans und update und noch nen scan - hat jedes mal nichts gefunden. Interessanterweise hat aber Malwarebytes noch ne riesen liste unter dem tab quarantäne.
Zudem gab es ab und zu ne Fehlermeldung. Momentan war ich mit dem Rechner per IE in diesem Thread und habe unhide.exe downgeloadet. Da hat sich nen neues Fenster mit webinhalt geöffnet, was auf meinem laptop nicht der fall war.
Bisher hat AVG auch 2 Bedrohungen gemeldet (sieht zumindest so aus (Infektion: Exploit: Blackhole Exploit Kit (type 2002))). Bisher hab ich aber noch keinen AVG-Scan durchgeführt, da das ja vorher auch nicht geholfen hat.

edit: mir ist noch was aufgefallen: auf dem Desktop ist ne (unsichtbare) Datei (wie ja alles andere auch) namens "windows recovery". Zudem hab ich im Taskmanager die Prozesse PnkBstrA.exe und PnkBstrB.exe entdeckt. Ich weiß zwar, dass Punkbuster bei diversen Spielen läuft, aber ich kann mich nicht erinnern, das mal außerhalb von Spielen im Taskmanager unter Prozesse gesehen zu haben - kann mich da aber auch irren.

grüße

Geändert von experijens (18.04.2011 um 18:17 Uhr)

Alt 18.04.2011, 18:14   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



Zitat:
Interessanterweise hat aber Malwarebytes noch ne riesen liste unter dem tab quarantäne.
Das Log dazu posten. Alle Logs posten, die im Reiter Logdateien zu sehen sind.

Zitat:
Bisher hat AVG auch 2 Bedrohungen gemeldet (sieht zumindest so aus (Infektion: Exploit: Blackhole Exploit Kit (type 2002))).
Auch das Log posten.

Windows startet jetzt immer wieder normal oder nicht?
Bitte im laufenden Windows dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.04.2011, 18:42   #12
experijens
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



hi,

hab den TDSSKiller-Log angehangen.
Auch den zweiten log von malwarebytes (den ersten hatte ich ja schon - oder soll ich immer wieder alle posten?)

Nach TDSS-Kill restart hat windows gestartet.

Ich vermute, dass Malwarebytes die volsnap nochmal gelöscht hat, weil die noch in der quarantäne liste steht.

vom AVG hab ich nichts sinnvolles gefunden, was ich posten könnte - ich hab ja auch seitdem keinen scan gemacht - es ist nur eine Bedrohung in nem Fenster gemeldet worden - aber ich such nochmal.

Ich schreibe grad vom dem Rechner. Während vor TDSSKill der IE oft abgestürzt ist, läuft es momenten (zumindest) ohne Störung.

grüße
Angehängte Dateien
Dateityp: txt mbam-log-2011-04-17 (23-44-29).txt (1,0 KB, 150x aufgerufen)

Alt 18.04.2011, 18:45   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



Zitat:
2011/04/18 19:23:36.0921 3880 \HardDisk0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot

2011/04/18 19:23:36.0921 3880 \HardDisk0 - ok

2011/04/18 19:23:36.0921 3880 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure

2011/04/18 19:23:42.0968 3896 Deinitialize success
TDL4 wurde erkannt und entfernt. Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.04.2011, 18:54   #14
experijens
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



hi,

hab ich gemacht - hat nix weiter gefunden.

grüße

Alt 18.04.2011, 18:58   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nicht nach Entfernung von Windows Recovery Virus - Standard

Computer startet nicht nach Entfernung von Windows Recovery Virus



Dann sollte das Problem mit der volsnap behoben sein.
Poste bitte frische OTL-Logs, diese aus dem laufenden Windows heraus erstellen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Computer startet nicht nach Entfernung von Windows Recovery Virus
bluescreen, computer, computer startet nicht, dateien, englisch, folge, i-net, infizierte, log, lädt, malwarebytes, network, neu, nichts, problem, rechner, recovery, recovery virus, scan, sicherheit, starten, startet, startet nicht, virus, windows, windows recovery, windows xp



Ähnliche Themen: Computer startet nicht nach Entfernung von Windows Recovery Virus


  1. nach Befall durch BKA Virus Entfernung durch Fachhandel Jetzt startet Windows sicherheitsdienst nicht mehr
    Log-Analyse und Auswertung - 05.06.2014 (14)
  2. Nach fehlerhaften Recovery Versuch startet Windows nicht mehr [WIN7]
    Alles rund um Windows - 03.02.2012 (3)
  3. Nach Recovery wg BKA-Virus startet Windows nicht mehr richtig.
    Plagegeister aller Art und deren Bekämpfung - 14.09.2011 (9)
  4. Nach Entfernung des Bundespolizei-Trojaners (jashla.exe) startet der Windows-Explorer nicht mehr
    Log-Analyse und Auswertung - 17.08.2011 (4)
  5. Nach Windows-Recovery-Entfernung: Fehlermeldung (404) beim Surfen
    Log-Analyse und Auswertung - 11.07.2011 (31)
  6. Nach Entfernung von Windows Recovery Virus noch Reste in der Registry
    Plagegeister aller Art und deren Bekämpfung - 09.07.2011 (9)
  7. Windows Recovery: Desktopprobleme nach Entfernung mit Malwarebyte und OTL
    Plagegeister aller Art und deren Bekämpfung - 07.07.2011 (18)
  8. Vista: Nach Entfernung des Trojaners Windows Recovery leerer Desktop
    Plagegeister aller Art und deren Bekämpfung - 14.06.2011 (1)
  9. Problem nach entfernung des Windows Recovery Virus :(
    Plagegeister aller Art und deren Bekämpfung - 11.06.2011 (5)
  10. Windows 7 Recovery | tdsskiller startet nicht
    Log-Analyse und Auswertung - 09.06.2011 (15)
  11. Windows Vista Recovery | tdsskiller startet nicht!
    Log-Analyse und Auswertung - 23.05.2011 (10)
  12. Leerer Desktop nach Entfernung von Windows Recovery durch Malewarebytes
    Log-Analyse und Auswertung - 01.05.2011 (7)
  13. Windows Recovery - Laptop startet nicht mehr!
    Plagegeister aller Art und deren Bekämpfung - 27.04.2011 (1)
  14. Nach Entfernung von Windows Recovery sind Dateien unsichtbar
    Plagegeister aller Art und deren Bekämpfung - 23.03.2011 (1)
  15. Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen)
    Plagegeister aller Art und deren Bekämpfung - 10.05.2010 (17)
  16. Windows startet nicht nach Recovery CD anwendung
    Alles rund um Windows - 07.01.2010 (3)
  17. windows startet nicht nach virus alarm
    Alles rund um Windows - 15.08.2009 (1)

Zum Thema Computer startet nicht nach Entfernung von Windows Recovery Virus - hi, hier gibt es ja schon eine Menge zu dem Thema "Windows Recovery". Ich habe jetzt folgendes Problem und bisher noch nichts dazu bei meiner websuche gefunden. Ich habe/hatte auf - Computer startet nicht nach Entfernung von Windows Recovery Virus...
Archiv
Du betrachtest: Computer startet nicht nach Entfernung von Windows Recovery Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.