|
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Hallo, ich habe mir letzte Woche einen Trojaner auf meinem Windows XP-System eingefangen. Irgendwann hat sich das Programm "Windows Recovery" gemeldet und hat fleißig Dateien versteckt und Probleme mit der Festplatte gemeldet. Das hat mich stutzig gemacht und nach etwas googeln bin ich hier gelandet. Alles was in dem Trojaner-Board-TASK: (www.trojaner-board.de/97055-nach-windows-recovery-befall-und-entfernen-via-malware-schwarzer-hintergrund-und-alle-daten-weg-3.html) zu dem Thema gefunden habe, das ich ohne Hilfe ausführen konnte habe ich getan mit einem 2. Benutzer mit Administratorrechren ausgeführt: 1. OTL-scan 2. diverse durchläufe von Malwarebytes 3. Ausführen von "unhide.exe" 4. Ausführen des Kasparsky-Tools "tdsskiller.exe" Anschließend habe ich die ganze Prozedur nochmal mit dem vom Trojaner befallenen Benutzer durchgeführt durchgeführt. Das Ergebnis aller Aktionen war: Auf dem Konto des befallenen Benutzers wird das Tool "Windows Recovery" nicht mehr ausgeführt. Allerdings habe ich nun das Problem, dass der Desktop nun blau ist, das Maus-Menü nicht mehr funktioniert, keine Icons mehr zu sehen sind und die Schnellstartleiste fehlt. Sichtbar sind das Startmenü, die Uhr und die grade ausgeführten Programme. Die Dateien im Desktopverzeichnis sind sichtbar. Wenn man sich die Beschreibung in dem TASK anschaut muss ich noch einen OTL-fix machen und brauche dann eventuell noch weitere Hilfe. Kann mir jemand sagen was ich als nächstes machen muss, damit mein Benutzerkonto wieder funktioniert? Für eine Antwort wäre ich sehr dankbar! Angehängt habe ich die Logs von Malwarebytes und den OTL-Scan. Gruß 11 o'clock |
Zitat:
Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! |
ich wusste gar nicht das die Datei noch irgendwo auf dem Rechner liegt. Aber das ist sicherlich keine Entschuldigung dafür. Natürlich habe ich inzwischen eine Lizenz von ACDSee (siehe Screenshot unten) Aber trotzdem danke für den Support! Grafik aufgrund der Lizenznummer entfernt |
Oh, ich seh auch gerade, dass die Datei eigentlich "gelöscht" wurde, zumidnest im Papierkorb liegt. Da kann man eine Ausnahme wohl machen... :o Mach bitte ein frisches OTL-Log. CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Hallo, ich habe den OTL-Quickscan durchgeführt. Vorher habe ich laufende Programme geschlossen und Avira deaktiviert. Ich hatte auch begonnen Prozesse wie den Real-Scheduler zu deaktivieren, habe aber nur den einen Prozess geschlosssen, weil ich mir unsicher war. Die Ausgabe von OTL habe ich in einem .zip Archiv angehängt. Dann ist mir noch eingefallen dass ich vor einiger Zeit ein FilterPack installiert habe, weil ich Probleme mit meinem Sound hatte. Ich hoffe das war nicht der Grund für meine Probleme. Gruß und Vielen Dank André |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hallo, ich habe den Fix durchgeführt. Das Ergebnis-Log nach dem Neustart habe ich angehängt. Gruß André |
Hier jetzt das log |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Hallo, TDS-Killer und unhide.exe hatte ich letzte Woche schonmal ausgeführt. Meine Dateien sind glaube ich alle wieder sichtbar. Ich habe jetzt nochmal ein update gemacht und es wurden keine Infektionen mehr gefunden. Das Log habe ich angehängt. Gruß André |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo, ich habe den CCleaner gestartet und er ist durchgelaufen. Anschließend habe ich Combofix gestartet und es gab keine Probleme mit irgendwelchen Installationen oder abstürzen. Beim Scan mit ComboFix habe ich die Maus abgezogen. Am Ende hat Combofix scheinbar meinen Rechner automatisch heruntergefahren. Ich bin leider während dem Scan eingeschlafen. Der Desktob ist nun wieder sichtbar und die Schnellstartleiste funktioniert scheinbar wieder, obwohlalle Einträge gelöscht wurden. Das ist aber nicht schlimm. Das Log von ComboFix habe ich angehängt. Gruß aund :dankeschoen: für die Erfolge und den support bis hierhin André |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo, angehängt habe ich den GMER-Log, den OSAM-Log und den MBR-Check. Ein MBR-Speicherabbild habe ich nicht erstellt. Den Online-Check habe ich leider durchlaufen lassen. Ich dachte das Programm fragt vorher nach :-) Gruß André |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo nochmal und sorry für die späte Antwort, angehängt habe ich die beiden log-Dateien. Wäre schän wenn du nochmal drüber schauen würdest. soll ich auch nochmal den scan im abgesicherten Modus machen? Gruß André |
Zitat:
|
XCDSRC.AX sagt mir nichts. Das Tsunami Filterpack habe ich leider vor einiger Zeit installiert, weil ich Probleme mit meinem Sound hatte. Leider habe ich mich hier zu spät erkundigt und weiß nun nicht wie ich es wieder los werde. Ich habe das weiter oben schon mal geschrieben. Hilft es wenn ich das Installationspaket noch finde? Gruß André |
Keine Ahnung, entfern den Kram einfach komplett mit SASW und wir stempeln das als Überreste ab. Ansonsten noch Funde oder Probleme? |
Ansonsten scheint wieder alles zu funktionieren. OK, ich mache dann jetzt den Neustart, schaue nach ob die Dateien weg sind und melde mich dann nochmal. Dann starte ich nocjhmal im abgesicherten Modus und mache das gleiche nochmal. Das dauert aber vielleicht einige Zeit. Bis Gleich André |
Hallo nochmal, ich habe nun die Dateien gelöscht, anschließend nochmal beide tools durchlaufen lassen. Superantispyware hat nochmal zwei Dateien in den SystemVolume Informationen gefunden. Nach dem löschen habe ich das ganze nochmal im abgesicherten Modus und dann als normaler Benutzer gemacht und nichts mehr gefunden. Ich glaube das wars dann wohl oder soll ich nochwas machen? Ansonsten ist es nun Zeit Danke für die perfekte Arbeit und deine investierte Zeit zu sagen! So eine Forum mit so viel know how ist es Wert zu unterstützten! Vielen Dank also und Gruß André |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
ja werde ich auf jeden Fall machen, ich hatte meine Virenscanner und pdates etwas vernachlässigt. Das hat man dann davon. Vielen Dank nochmal für die Hilfe und hoffentlich nicht bis zum nächsten mal Gruß André |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board