Trojaner-Board - Virenscanner deaktiviert, System ungeschützt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virenscanner deaktiviert, System ungeschützt (https://www.trojaner-board.de/130716-virenscanner-deaktiviert-system-ungeschuetzt.html)

Zitat:

ich müsste also nur noch einen kleineren Teil von der alten Kiste retten.

Aber das hat doch nichts mit diesem Strang zu tun, außerdem wissen wir doch noch garnicht ob der andere Rechner befallen ist

Zitat:

wäre das eine gute Alternative zur Neuformatierung?

Ja, ich empfehle aber statt Recovery lieber eine vernünftige Neuinstallation mit normaler Windows-DVD (falls vorhanden bzw. machbar) sonst muss du recovern und den ganzen Müll der da drin ist runterschmeißen, also diverse Müll-Spiele, 60-Tage-Test-Software, Adware etc. pp.

Der Zweitrechner ist sauber!

Ich habe leider keine Vista-CD oder DVD zur Hand, deshalb dachte ich an die Recovery-Funktion.

Ich mache in den nächsten Tagen die Datensicherung via LiveCD.

Womit kontrolliere ich die gesicherten Daten denn am besten?

Danke und noch einen schönen Sonntag!

Zitat:

Womit kontrolliere ich die gesicherten Daten denn am besten?

Erstmal sicherst du nur reine Datendateien, keine Programme, Spiele oder Setups davon
Danach gesht du mit einem Virenscanner deiner Wahl drüber und/oder zusätzlich noch Malwarebytes und/oder ESET Online Scanner

Sorry, dass ich so lange nicht reagiert habe. Mein Organismus hatte sich auch einen Virus eingefangen, sprich ich hatte Grippe.

Bin jetzt soweit, die Datenrettung anzugehen und das System neu aufzusetzen. Habe wie schon geschrieben leider keine Vista-CD/DVD, würde also die Recovery-Funktion nutzen wollen.
Jetzt habe ich was von "MBR unbedingt überschreiben" aufgeschnappt. Geht das dann überhaupt oder bleibt die Gefahr, dass der Virus weiter auf dem Rechner ist?

Spricht außerdem was dagegen meine Mozilla Thunderbird Profile zu kopieren?

Danke und viele Grüße!

Mach erstmal mit Recovery, sag Bescheid wenn du damit fertig bist. Du könntest auch mal aswMBR (Anleitungunten) laufen lassen damit wir dann den MBR checken nach dem Recovern - und ja, das Thunderbirdprofil solltest du auf jeden Fall sichern und auch übernehmen können. Helfen kann dir dabei MozBackup - Download - Filepony

aswMBR

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

OK. Hier der Log von aswMBR. Nach einem Update der Definition wurde ich nicht gefragt.

Code:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software

Run date: 2013-02-22 13:56:43

-----------------------------

13:56:43.456    OS Version: Windows 6.0.6002 Service Pack 2

13:56:43.456    Number of processors: 2 586 0xF0D

13:56:43.456    ComputerName: BOSS  UserName: 

13:56:45.063    Initialize success

13:56:45.172    AVAST engine defs: 13020501

13:57:05.421    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

13:57:05.421    Disk 0 Vendor: Hitachi_ BBFO Size: 238475MB BusType: 3

13:57:05.421    Disk 1  \Device\Harddisk1\DR1 -> \Device\00000069

13:57:05.421    Disk 1 Vendor: (  Size: 238475MB BusType: 0

13:57:05.436    Disk 2  \Device\Harddisk2\DR2 -> \Device\0000006a

13:57:05.436    Disk 2 Vendor: (  Size: 238475MB BusType: 0

13:57:05.436    Disk 0 MBR read successfully

13:57:05.452    Disk 0 MBR scan

13:57:05.530    Disk 0 Windows VISTA default MBR code

13:57:05.545    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS         7602 MB offset 2048

13:57:05.592    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       230871 MB offset 15570944

13:57:05.608    Disk 0 scanning sectors +488395120

13:57:05.701    Disk 0 scanning C:\Windows\system32\drivers

13:57:17.339    Service scanning

13:57:44.703    Modules scanning

13:57:52.940    Disk 0 trace - called modules:

13:57:52.971    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iastor.sys 

13:57:52.987    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8671c908]

13:57:52.987    3 CLASSPNP.SYS[88da58b3] -> nt!IofCallDriver -> [0x8560edc8]

13:57:52.987    5 acpi.sys[884986bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x85615030]

13:57:54.141    AVAST engine scan C:\Windows

13:57:57.230    AVAST engine scan C:\Windows\system32

14:02:39.108    AVAST engine scan C:\Windows\system32\drivers

14:02:51.946    AVAST engine scan C:\Users\***

14:27:07.748    AVAST engine scan C:\ProgramData

14:31:45.569    Scan finished successfully

14:32:41.324    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat"

14:32:41.324    The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR.txt"

Hab noch eine gute Nachricht: Die Daten sind gesichert und wohl sauber. Habe Virenscanner und Malwarebytes mehrmals mit der jeweils neusten Definition laufen lassen.

Kann ich jetzt recovern? Sobald Du grünes Licht gibst, kann es los gehen. :-)

Entschuldigung, da hatte ich Deinen letzten Post nicht ganz richtig verstanden.
Der Log ist vor dem Recovery. Das mache ich jetzt und melde mich wieder, wenn ich durch bin.

Ja, nach dem Recovern wäre aswMBR sinnvoller gewesen :D

So, der Rechner läuft wieder fast wie neu. Richtig schnell auf einmal... ;-)
Habe aber auch noch nicht alle Programme und Daten wieder drauf.

Hier also der aswMBR-Scan nach Recovery:

Code:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software

Run date: 2013-02-23 00:00:22

-----------------------------

00:00:22.285    OS Version: Windows 6.0.6002 Service Pack 2

00:00:22.285    Number of processors: 2 586 0xF0D

00:00:22.285    ComputerName: BOSS  UserName: 

00:00:53.797    Initialize success

00:00:54.998    AVAST engine defs: 13022201

00:01:20.909    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

00:01:20.909    Disk 0 Vendor: Hitachi_ BBFO Size: 238475MB BusType: 3

00:01:20.909    Disk 1  \Device\Harddisk1\DR1 -> \Device\0000005d

00:01:20.909    Disk 1 Vendor: (  Size: 238475MB BusType: 0

00:01:20.909    Disk 2  \Device\Harddisk2\DR2 -> \Device\0000005e

00:01:20.925    Disk 2 Vendor: (  Size: 238475MB BusType: 0

00:01:20.956    Disk 0 MBR read successfully

00:01:20.956    Disk 0 MBR scan

00:01:20.956    Disk 0 Windows VISTA default MBR code

00:01:21.019    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS         7602 MB offset 2048

00:01:21.034    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       230871 MB offset 15570944

00:01:21.346    Disk 0 scanning sectors +488395120

00:01:21.487    Disk 0 scanning C:\Windows\system32\drivers

00:01:43.717    Service scanning

00:02:53.105    Modules scanning

00:03:26.037    Disk 0 trace - called modules:

00:03:26.084    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iastor.sys 

00:03:26.084    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85bffac8]

00:03:26.099    3 CLASSPNP.SYS[87fa58b3] -> nt!IofCallDriver -> [0x84a0cc38]

00:03:26.099    5 acpi.sys[806976bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x84a13030]

00:03:29.469    AVAST engine scan C:\Windows

00:03:40.810    AVAST engine scan C:\Windows\system32

00:09:09.050    AVAST engine scan C:\Windows\system32\drivers

00:10:01.403    AVAST engine scan C:\Users\Mister

00:11:37.203    AVAST engine scan C:\ProgramData

00:12:54.158    Scan finished successfully

00:13:04.095    Disk 0 MBR has been saved successfully to "C:\Users\Mister\Desktop\MBR.dat"

00:13:04.111    The log file has been saved successfully to "C:\Users\Mister\Desktop\aswMBR.txt"

Wie überprüfe ich den Rechner jetzt weiter?

Zitat:

Disk 0 Windows VISTA default MBR code

MBR ist ok

Zitat:

Wie überprüfe ich den Rechner jetzt weiter?

Wenn gibts da nur noch etwaige Datenpartitionen zu überprüfen wie zB externe Platten oder Sticks. Mach das mit Malwarebytes FULLSCAN und/oder ESET

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

OK. Ist soweit alles sauber. Hab Malwarebytes und zwei Virenscanner mehrmals über die Daten laufen lassen.

Sicherheitseinstellungen sind auch up to date.

Bleibt mir nur noch ein ganz großes DANKE zu sagen. :dankeschoen: