Systemsteuerung verschwunden / keine Berechtigung, obwohl als Admin angemeldet! iastor.sys infiziert
 

Servus und danke vorab für Eure arbeit hier!

Heute komme ich leider nicht mehr alleine weiter, ein Freund von mir hat sich was eingefangen, womit ich auch nicht weiter weis.
1. Seine Systemsteuerung ist im Startmenü weg, bzw. läßt sich auch nicht durch diverse Befehle oder Startmenü anpassen aufrufen. Meldung in etwa "Sie haben keine Berechtigung, wenden Sie sich an den Admin, welches er aber ist!
2. Windows schreit nach den updates, willst Du es ausführen, Meldung siehe oben, keine Berechtigung!
Meine Vermutung lag bei einem Trojaner/Rootkit, er hat mittlerweile eset als Internetsecurity-Programm laufen, welches auch einiges entfernt hat, aber nicht alles.
Habe heute mal (war nix anderes zur Hand), die Notfall-CD con CB gestartet und dort das Virenprogramm drüber laufen lassen, mit folgendem Ergebniss, das wohl ein Rootkit und div. andere Trojaner auf dem PC sind.
Leider keine LOG-Datei aber ein Bildschirmfoto gemacht und unten angehängt.

Nun habe ich vorher gegooglet etc. und sehe das ich die iastor.sys wohl nicht so einfach löschen darf, diese aber nunmal betroffen ist. Jetzt bin ich mit meinem Latein am Ende und hoffe es kann mir / meinem Freund hier jemand weiterhelfen. Vorab schonmal VIELEN DANK!

Und wie bitte soll man den text auf diesem Screenshot erkennen?
Warum kann man Text nicht einfach als Text transportieren via Copy&Paste?

Servus,
Sorry bei mir auf dem PC lies sich das Bild so vergrößern das man es lesen konnte. Habe leider nur den Screenshot gemacht und vergessen die Textpassage zu kopieren bevor ich neu gestartet habe. Mea Culpa!
Ich fahr gleich nochmal hin und mach die ersten Schritte wie hier beschrieben mit defogger etc. Und poste es dann hier OK?! Und bringe den Text vom Screenshot auch noch zum lesen!

Den Text kann man doch markieren und kopieren! Einfach hier dann in den Beitrag einfügen!

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo,

so habe eben defogger und OTL durchlaufen lassen. Hier die Log von OTL:
In der 7z Datei befindet sich der extra.txt von otl sowie die log von defogger und der Log von dem ursprünglichen Scan der Notfall-CD! Hierzu sei noch gesagt das /media/sdb1 die 2.Festplatte mit Windows XP ist welches als 2. System hier noch auf dem PC ist für Games die nicht unter Windows7 laufen! Falls ich diese Scans unter WinXP nochmal machen soll, sagt Bescheid! Danke vorab!

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo hier schon mal der Log von Malwarebytes:
eset läuft jetzt als nächstes!

Hier jetzt der Log von eset:
Hoffe jetzt alles da was Ihr braucht! Danke!

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

hier der OTL Log:
Bitte schön / Danke schön!

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

TDSS-Killer durchgelaufen bei Win7, aber ohne Befund?!

Zur Sicherheit hier der Log von Win7:haben den TDSS-Killer unter XP laufen lassen (andere Festplatte wie vor geschrieben) mit dem Ergeniss 4 files found:
Und nochmals Danke für die Mühe!

Also Logs von verschiedenen Betriebssystemen in einem Strang sind verwirrdend. Man muss sich hier schon auf ein System einigen was bereinigt werden soll.

OK, dann machen wir erstmal Windows 7 wieder fit?

Und wenn es nicht zuviel Mühe macht danach Windows XP von der anderen Festplatte? Ist halt ein PC, XP ist noch auf einer kleinen Extra Platte für den Flugsimulator.

Nur noch mal zu Info beide Platten ein PC über BIOS Boot-Menü wird entschieden welche Platte booten soll. Also wenn möglich erst Win7 danach XP?

THX zum xten mal!

Wir machen hier erstmal WIn7. Wenn wir fertig sind kümmern wir uns um das parallel installierte XP, da machst du dann einen neuen Strang zu auf.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.