Windows Recovery Malware Logfiles
 

Hallo zusammen!

Als erstes möchte ich mich für eure sehr umfangreiche und gut erklärte Anleitung bedanken!

Ich hatte gestern trotz installierter Firewall und avast! Antivirus diese
" Windows Recovery"- Malware ( --> http://www.trojaner-board.de/96741-w...entfernen.html) auf meinem Rechner.
Dies äusserte sich in den von euch beschriebenen Symptomen
( Fehlermeldungen, Windows Restore Fenster, Dateien verschwunden).

Bevor ich mit euer Anleitung begonnen habe, habe ich auf eigene Faust mit einer LiveCD ( aus CT 08/2011 --> Desinfect) das System gescannt, leider kam ich zu keinem befriedigendem Ergebniss da es nicht richtig funktionierte. Leider wurde das Logfile auch nicht richtig gespeichert.

Anschließend habe ich eure Anleitung gefunden und sie in der beschriebenen Reihenfolge ausgeführt. Jetzt sind alle Dateien sichtbar und ich habe objektiv keine Beeinträchtigung mehr. Ich wäre sehr froh wenn sich jemand die Logfiles ansehen könnte und mir sagen kann ob es noch etwas zu tun gibt bzw. was ich für die Zukunft besser machen kann. Die Logfiles habe ich im Angehängt.


Danke schoneinmal im voraus!

Bernhard


PS: Desinfect LiveCD Log konnte ich wiederherstellen

Ist dein System mit Truecrypt verschlüsselt? Die Systempartition?

Ja die ganze Systempartition.

Umgehend deinstallieren, das Teil ist kontraproduktiv und uralt, wird schon lange nicht mehr gepflegt. Verwende die Windows-Firewall. Sag Bescheid wenn es runter ist.

So danke für die schnelle Hilfe! Hab die Sygate Firewall gerade runtergeschmissen. Gibt es irgendwelche alternativen da ich Windows nicht zu 100% über den Weg
.

Wieso benutzt du dann noch Windows? :confused:

50:50 Hab ein Dualbootsystem, allerdings kann ich nicht ganz vom Windows abschwören weil ich einfach noch nicht sattelfest im Punkto Linux bin.

Ähm hattest du sonst etwas an den Files entdeckt? Ich überlege mir grad ob ich mir den Rechner neu aufsetzten soll weil ich dem Frieden leider nicht ganz über den weg traue...? Sorry aber in diesem Punkt bin ich leider sehr ahnungslos!

Jedenfalls ist deine Besorgnis unbegründet. Die Windows-Firewall ist einer anderen Software-Firewall wie ZoneAlarm auf jeden Fall vorzuziehen. Hier lesen => Editorial | c't
In deinem Fall ist Sygate sogar noch ungünstiger. Sygate wird seit nicht weniger als 5 Jahren nicht mehr weiterentwickelt! Einem Produkt aus der Steinzeit die Sicherheit in die Hände zu legen ist an Absurdität nicht mehr zu übertreffen!!


Das OTL-Log ist unauffällig, GMER sieht auch rel. normal aus. Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

So hier noch das Kasperskyergebniss, danke für die Mühe!


2011/04/14 20:26:29.0703 2692 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/14 20:26:30.0187 2692 ================================================================================
2011/04/14 20:26:30.0187 2692 SystemInfo:
2011/04/14 20:26:30.0187 2692
2011/04/14 20:26:30.0187 2692 OS Version: 5.1.2600 ServicePack: 3.0
2011/04/14 20:26:30.0187 2692 Product type: Workstation
2011/04/14 20:26:30.0187 2692 ComputerName: ZAPHOD
2011/04/14 20:26:30.0187 2692 UserName: Bernhard
2011/04/14 20:26:30.0187 2692 Windows directory: C:\WINDOWS
2011/04/14 20:26:30.0187 2692 System windows directory: C:\WINDOWS
2011/04/14 20:26:30.0187 2692 Processor architecture: Intel x86
2011/04/14 20:26:30.0187 2692 Number of processors: 2
2011/04/14 20:26:30.0187 2692 Page size: 0x1000
2011/04/14 20:26:30.0187 2692 Boot type: Normal boot
2011/04/14 20:26:30.0187 2692 ================================================================================
2011/04/14 20:26:30.0500 2692 Initialize success
2011/04/14 20:26:32.0046 1124 ================================================================================
2011/04/14 20:26:32.0046 1124 Scan started
2011/04/14 20:26:32.0046 1124 Mode: Manual;
2011/04/14 20:26:32.0046 1124 ================================================================================
2011/04/14 20:26:35.0437 1124 ================================================================================
2011/04/14 20:26:35.0437 1124 Scan finished
2011/04/14 20:26:35.0437 1124 ================================================================================

Ist das Log so kurz? Hast du beide Haken gesetzt?

Ja, beide Haken sind gesetzt. Der Scan geht auch innerhalb von max 10 Sek. was mich überascht hat....!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.