|
Trojaner "System Repair" in Windows Vista wirklich entfernt? Hi; an alle im Forum. ich hatte mir diesen "Sytem Repair" Trojaner eingefangen und bin zur Säuberung meines PCs nch folgender Anleitung gegangen: http://www.trojaner-board.de/101785-...entfernen.html Alles scheint geklappt zu haben. Nun möchte ich Euch bitten mal in meinen Logfiles zu schauen, ob tatsächlich alle OK ist? LG M |
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
|
Hi, zur Zeit habe ich das Problem, dass mein DvD Laufwerk nicht mehr erkannt wird. Der PC versucht den Treiber zu installieren, klappt aber nicht. Nach Rückfrage bei LG support, meinen die, ich muß Windows neu aufsetzen, da die Treiber Bestandteil des Betribssystems sind?? er meinte der Virus hat evtl . die ATAPi Schnittstelle beschädigt (was immer das auch ist)? Bevor ich also obiges Procedere durchgehe, wie ist Euer Rat. Muß ich Windows neu installieren?? Gruß M |
Musst du wissen. Eine Neuinstallation ist bei Befall die sicherste Methode. Man kann aber auch bereinigen. Es kann aber sein, dass wir dein Laufwerk nicht mehr so in Gang bekommen und du trotzdem neuinstallieren musst. Normalerweise braucht man keinen extra Treiber für das DVD- oder CDROM Laufwerk. Mach erstmal die Scans mit MBAM/ESET und dann sehen wir weiter. |
Hi, nachsthend die Logs! guckt mal. Scheint noch was drinzu sein . Gruß M |
CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Hi, hier ist sie! |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hi, ist durchgeführt. hier das log. gruß M |
Ach ja, pc versucht wieder den Treiber für das DVD Laufwerk zu instllieren. Klappt nicht. Kein Laufwerk? Gruß M |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Hi, hier das log. "unhide" wurde von mir bereits am Beginn der ganzen Aktion durchgeführt. D. h. scheint alles wieder da zu sein. Gruß M |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Hm... das tool läuft jetzt schon über 60 Minuten. Gemäß dem was da steht, sollten es max 10 Minuten sein bzw. bei stark infizierten Rechnern die doppelte Zeit? Ist das noch ok mit 60 Minuten? Gruß M |
... jetzt schon über 2 Std???? Gruß M |
Hi, habe nach 4 Std abgebrochen. Denke dass irgendwas nicht klappt..?? Immer nur das gleiche Fenster : Weiße Schrift auf blauen Hintergrund, in der Art: "Scan wird durchgeführt... .... kann 10 Minuten dauern. ... scanzeit kann sich leicht verdoppeln." blinkender Balken War nicht einfach das ganze zu stoppen. Musste mit Notaus arbeiten und dan Windws 2 x normal runter, bzw. wieder hochfahren. Was nun? CF deinstallieren und noch mal runterladen und nochmal versuchen zu scannnen?? Gruß M |
Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal. |
Hi, hab ich gemacht. Löschen war auch schon ein Problem. Mit Start-suchfenster-combofix /uninstall gings nicht. Habe auf C: gelöscht. Nun hängt es wieder wie bei den vorigen Malen? blinkender Eingabebalken. CF läuft scho 1 Std?? Was nu.... ?? |
Kopier die combofix.exe direkt nach C: Starte WIndows neu in den abgesicherten Modus mit Eingabeaufforderung, dort eintippen Code: start c:\combofix.exe |
Habe das Problem, dass er sagt, dass ich nur als administrator auf c: speichen darf? Versteh ich nicht, bin ich doch? Hast du eine Idee? Gruß M |
Genau deswegen - weil eben jeder unter Windows alles mit Adminrechten macht - hat MS die Benutzerkontensteuerung eingeführt - diese mal deaktivieren => http://www.trojaner-board.de/72647-b...ktivieren.html Und nochmal probieren |
puh.. und wie kann ich im abgesicherten Modus den Virenscanner AV Antivir und adware abschalten? CF meckert! Hab es mit eingeschaltetem AV etc. versucht. Wieder scannt CF nicht. Habe CF beendet. Aber wie komme ich jetzt aus dem abgesicherten Modus raus? |
Im abgesicherten Modus läuft kein Virenscanner. Wenn CF meckert, einfach ignorieren. |
Hi, funzt nicht..! Das gleiche problem.. . Habe ca 70 Minuten das gleiche Fenster wie vorher gehabt. "Scan wird durchgeführt... .... kann 10 Minuten dauern. ... scanzeit kann sich leicht verdoppeln." blinkender Balken Habe dann abgebrochen? Irgendeine andere Idee? Gruß M |
Dann lass CF mach weiter im normalen Modus. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). |
Hier sind die Logs. Gruß M |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Folders to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken |
Hier der Link: hxxp://www.file-upload.net/download-3894328/backup.zip.html und das Log: gruß M |
Hm, hat nicht geklappt. Wiederhol das mal mit dem Avenger aber kopiere in das textfenster bitte diesen Code rein, der Rest wie oben: Code: Folders to delete: |
Irgendwie wird das Bild mit den Haken für den Avenger nicht dargestellt? Stell es nochmal ein. Im Moment weiß ich nicht wie ich die Haken dort setzen muß? Gruß M |
ups, jetzt hab iche es. Muß nicht mehr einstellen. |
Hier: hxxp://www.file-upload.net/download-3894595/backup.zip.html und das log |
Mach mal bitte ein neues Log mit GMER |
funzt nicht. Stzürzt dauernd ab. Hab ich jetzt min 10 x probiert. PC fährt dann dauernd wieder hoch. Gruß M |
Mach es mal im abgesicherten Modus. |
Hier das neue gmer Log Gruß M |
Erstmal alle Dateien anzeigen lassen => http://www.trojaner-board.de/59624-a...-sichtbar.html Siehst du im abgesicherten Modus diesen Ordner: C:\Windows\$NtUninstallKB618$\1383212589 oder C:\Windows\$NtUninstallKB618$\2722471983 bzw nur diesen => C:\Windows\$NtUninstallKB618$\ Und wenn ja kannst du diesen öffnen? Wenn ja was ist da drin? |
Hi, finden konnte ich nur diese: C:\Windows\$NtUninstallKB618$\ Der Ordner war allerdings mit dem Verknüpfungssymbol gekennzeichnet? ca 21 Dateien konnten nicht kopiert werden. Z. B. system system.log1 SAm SAm.Log1 etc. Ich kann den Ordner (zip) nicht hochladen, da über 44MB?? Gruß M |
Liste der Anhänge anzeigen (Anzahl: 2) hab mal die Dateien als Jpeg. Dort ist alles zu erkennnen was drin ist. Gruß M |
Ich glaub da müssen wir mal mit einem Fremdsystem ran:
|
Hi, hab leider lkein Laufwerk mehr. Beim Hochfahren versucht er immer den TReiber zu installieren. Sagt dann ist ok? Aber das Laufwerk ist futsch??? Kann daher nicht booten?? Gruß M |
Wenn das Laufwerk unter Windows nicht mehr geht ist das eine Sache. Davon zu booten ist eine ganz andere Geschichte. Offensichtlich hast du es nicht mal ausprobiert?! http://www.trojaner-board.de/81857-c...cd-booten.html |
Pu... hab es! Anbei das neue Log! Gruß M |
Zitat:
geh mal wieder mit PartedMagic auf diesen Ordner los => /media/[C-Laufwerk]/WINDOWS/mikesch Versuch ihn per Rechtsklick zu packen in eine ZIP-Datei. Verschieb ihn dann mal eine Ebene höher, also eine über den Windows-Ordner => /media/[C-Laufwerk]/mikesch Starte dann wieder Windows und mach ein neues Log mit GMER. |
Hi, hab ich probiert. 1. zip geht nicht, aber .tar. 2. ich kann zwar "zippen" und eine Ebene höher ablegen (die tar Datei), aber dann verbleibt der "mikesch" Ordne trotzdem auf der windows Ebene. 3. dachte ich könnte ihn dann löschen, da ich die gezppte ja eine höher habe. geht aber nicht? hier das log |
Zitat:
Zitat:
Zitat:
|
[B]Versuch ihn per Rechtsklick zu packen in eine ZIP-Datei. Verschieb ihn dann mal eine Ebene höher, also eine über den Windows-Ordner => /media/[C-Laufwerk]/mikesch 1. wenn der ordner gezipped ist, soll der gezipte im Windows ordner verbleiben? Korrekt? 2. den mikesch ordner (ungezipped eine Ebene höher? Ich kann ihn nur kopieren und dann eine Ebene höher reinkopieren. Wenn ich auf "delete" gehe, kommt "Directory not empty". 3. Mir ist nicht ganz klar, welcher Ordner wohin? Im Moment ist der ungezppte eine ebene höher, aber auch n der alten ebene, da er nur kopiert werden kann? Vielleicht kapiere ich das mit dem Tool und "verschieben" auch nicht? Diese ganzen Aktionen sollen doch im "Unmont" modus durchgeführt werden ? KorrekT? |
Zitat:
Zitat:
Zitat:
Zitat:
|
Hi, also sorry aber ich bin kein experte im Hintergrundwissen (Windows, Linux, Mount etc.) 1. Wie kann ich den Ordener/Datei (mikesch)verschieben? Ich finde keine Funtion in dem Tool? Kopieren geht -- aber was mach ich mit dem verbleibenden Ordner/Datei (mikesch) im Windows Ordner? 2. Ich kenn mich mit Linux und Mount/Unmount nicht aus. Daher bitte noch einmal die Frage. Bevor ich die Zip und Verschiebe Aktionen starte, soll ich dann auf das, vom Tool angebotene Mount gehen, es wechselt dann auf "unmount"? Bisher habe ich das auch gemacht ? Korrekt? Gruß M |
Zitat:
|
ups, hab ich jetzt. Kommt davon wenn man nie damit arbeitet. Anbei log. Gruß M |
Zitat:
Kannst du den ordner miksch nun ganz löschen? |
Also, wenn ich esw mit PartedMagic probiere(delete) Geht es nicht? Gleiche Meldung "Directory not empty" ???? M |
Edit: Sry hab was falsch verstanden Hast du eine Windows-CD zur Hand? Wenn ja könnte man das Löschen dort probieren. |
??? Keine andere Idee? Du redest von der Recovery CD - windows oder? |
Es geht darum dass man von einer (nativen) Windows-Umgebung mal versucht das Objekt zu löschen. Aus deiner Entsetzung mit den drei Fragezeichen nehme ich aber an, dass du ein format c: interpretiert hast, wovon aber nun garnicht die Rede war. Eine normale Windows-DVD würde schon reichen. Wenn nicht zur Hand nimm das => Vista Notfall/Recovery-CD 32-Bit - Windows Tools Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten) Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der Vista-DVD booten. Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte eintippen: Code: del c:\mikesch /s /q |
hi, ist gemacht worden. es steht dort: Datei wurde gelöscht - c:\mikesch\BCD-Template c:\mikesch\components Der Prozess kann nicht auf die Datei zugrifen, da sie von einem anderen Prozess verwendet wird. Datei wurde gelöscht - c:\mikesch\components.log c:\mikesch\defaults Der Prozess kann nicht auf die Datei zugrifen, da sie von einem anderen Prozess verwendet wird. Datei wurde gelöscht - c:\mikesch\default.log c:\mikesch\sam Der Prozess kann nicht auf die Datei zugrifen, da sie von einem anderen Prozess verwendet wird. c:\mikesch\security Der Prozess kann nicht auf die Datei zugrifen, da sie von einem anderen Prozess verwendet wird. Datei wurde gelöscht - c:\mikesch\security.log c:\mikesch\software Der Prozess kann nicht auf die Datei zugrifen, da sie von einem anderen Prozess verwendet wird. Datei wurde gelöscht - c:\mikesch\software.log Datei wurde gelöscht - c:\mikesch\system Datei wurde gelöscht - c:\mikesch\system.log Datei wurde gelöscht - c:\mikesch\systemprofile\ntuser.dat Habe auf Großschreibung verzichtet z. B. ...\SYSTEM Gruß M |
Zitat:
|
Habe das mit der gemacht: Vista Notfall/Recovery-CD 32-Bit - Windows Tools Gruß M |
Schon merkwürdig. Verschieben konntest du den Ordner aber nicht komplett löschen... Mal ne andere Idee. Besorg dir einen USB-Stick. Starte noch Linux (PartedMagic oder anderes Live-CD) Verschieb dann den mikesch Ordner auf den Stick. Sofern verschieben noch geht, sollte das auch funktionieren. Zieh den Stick dann raus (vorher "unmounten"/auswerfen) und versuch dann wieder Windows zu starten. |
geht nicht. ich kann "cut" anwenden aber der ordner /Datei) mikesch verschwindet nicht. Auf den USB geht nix. Wenn ich noch eine Ebene höher verschiebe erstellt er nur ne Kopie. Aber die alte Datei bleibt auch? HGruß M |
Hm, mir gehen die Ideen aus. Evtl. beinhaltet dieser ordner symbolische oder harte Links :confused: Geh nochmal in die Wiederherstellungskonsole von der Notfall-Windows-CD rein. Tipp dort ein (sind insgesamt 4 Befehle) Code: c: [eingabe] |
hi, ist es ok, dass wenn ich in die neue zeile gehe, automatisch davor generiert wird, z. b. c:> und dann würde dein befehl kommen. löschen kann ich das nicht (c:>) ? Weiterhin: 1. kann ich meine daten auf einen externen träger unbedenklich ziehen ohne dass ich mir von menem rechner irgendwas gefährliches mitnehme? 2. wenn wir das ganze jetzt nicht hinkriegen kann ich ja das system von meiner 2.ten partition (recovery) neu aufsetzen. Gibt es da evtl. probleme oder ist das gefahrlos möglich? Gruß m |
Zitat:
Und löschen kann man das nicht, da du jetzt aber weißt welchen Sinn und Zweck das hat will man das auch garnicht gelöscht haben |
i, 1. ich vermute mal bei deinen befehlen menst du mit [eingabe] dass ich die enter taste drücken soll? habe ich mal gemacht. raus kommt.. Dateträger in laufwerk c: ist boot Volumenseriennummer: 6011-D5FB Verzeichnis von c:\mikesch Datei nicht gefunden c:\mikesch>_ ????? Gruß M |
Ok. Mach bitte nochmal einen Versuch mit Combofix. Starte Combofix am besten wieder im abgescierhten Modus mit Eingabeaufforderung. |
hier das neue CF log Gruß M |
Zitat:
|
????????? meintest Du mich? Hattest doch gepostet "im abgesicherten Modus mit Eingabe...."??? Gruß M |
Achso, ja stimmt, die letzte Anleitung war CF im abgesicherten Modus :D Probier CF bitte nochmal im normalen Modus jetzt aus |
hat geklappt. hier ist es. |
Ok, es lief schon mal. Mach bitte wieder neue Logs mit GMER und OSAM |
hier die neuen. |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: KillAll::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
hier das neue. Gruß M |
Hmpf...viel Hoffnung hab ich nicht mehr -.- Mach bitte wieder ein neues Log mit GMER und poste es |
Ja, hier das neue. Aber noch einmal die Frage, da ich ja trotz deiner Bemühungen evtl. das System neu aufsetzen muss. 1. kann ich meine daten unbedenklich auf einer externen platte speichern? oder fang ich mir dann was ein? 2. kann ich mkit diesem 3pc unbedenklich mit passwörtern arbeiten, bevor ich neu aufsetze? 3. kann ich vo der recovery partition das system unbedenklich neu aufsetzen oder besteht die gefahr, dass ich mir irgendetwas einfange? Wäre schön, wenn du mir das kurz beantworten würdest? gruß m |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code: KillAll::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
ich glaube er ist noch da. gruß M |
Ja leider :balla: Ich hab diese unlöschbaren Ordner mal intern gepostet. Vllt hat einer meiner Kollegen hier noch eine Idee. Ich melde mich dann wieder. |
Hi, hast mir aber leider meine fragen nicht beantwortet. Kann ich trotzdem mit dem PC einigermaßen sicher arbeiten? Oder ist dieser Ordner hinsichtlich "ausspähen" etc. zu gefährlich? Mit der Bitte um eine kurze Antwort! Gruß M |
Zitat:
"einigermaßen" ist daher Quatsch, entweder kann man sicher mit enem System arbeiten oder nicht. Etwas dazwischen gibt es nicht und mit deinem Windows in diesem jetzigen Zustand ist nicht sicher! |
Hallo, verfolgst du diesesn Strang noch? Oder hast du schon formatiert? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board
