BundesTrojaner? PC startet nicht mehr im abgesicherten Modus
 

Hallo zusammen,

mein PC ist von einem Trojaner befallen. Bei dem Hochfahren des Selbigen erscheint die Aufforderung 100,- € zu bezahlen. Und sonst kann man nichts mehr machen, außer diese Aufforderung anzuschauen.
Auch der Start im abgesicherten Modus funktioniert nicht. Wenn er offline angeschaltet wird, erscheint zwar der Desktophintergrund aber keinerlei Verknüpfungen. Es erscheint auch keine Taskleiste oder so.

Bei dem Durchforsten des Boards bin ich auf verschiedene Tipps gestoßen aber auch auf den Hinweis nichts zu machen, bevor man von den Fachleuten aufgefordert wird.

Aus diesem Grund erstelle ich diesen Thread und hoffe auf Hilfe von euch. Habe mit dem Programm OTLPENet versucht die vorgeschriebenen Logs zu erstellen die Markusg auf der Seite

http://www.trojaner-board.de/112825-...ktioniert.html

empfiehlt.

Leider funktioniert dies irgendwie nicht. Habe Downloads durchgeführt und die CD so erstellt wie beschrieben. Bios im befallenen PC umgestellt. Er bootet von CD. Der Balken mit dem Hinweis " Starting Reatogo-X-PE" erscheint. Der Balken füllt sich bis zum Ende. PC startet auf einmal neu und das Windows XP Logo erscheint und dann passiert gar nicht mehr....

Vielen Dank schon mal im Voraus für die Hilfe von euch.

Bobbele89

Geh mal ins BIOS deines Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

Hallo Arne,

danke erst einmal, dass Du dich meiner Problematik annimmst. Aber leider hat sich an der Situation nicht verbessert.
Ich habe deinen Vorschlag folgendermaßen versucht umzusetzen indem ich an meinem ASRock 939a8x-m Mainboard mit Bios P1.90 folgende Einstellung gemacht habe:

ADVANCED->IDE CONFIGURATION->ONBOARD IDE CONTOLLER

auf "PRIMARY" gestellt. Auch habe ich einen Versuch gemacht indem ich den OnBoard Sata Controller auf "Desabled" stellte.
Leider kein Erfolg. Es läuft genau so ab, wie oben beschrieben.

Downloads Durchgeführt->CD so erstellt wie Beschrieben->BIOS im befallenen PC Umgestellt->bootet von CD->Balken mit dem Hinweis "Starting Reatogo-X-PE" erscheint->Balken füllt sich bis zum Ende->auf einmal erscheint das Windows XP Logo->danach schwarzer Bildschirm->vom Hersteller des Monitors erscheint "Bildschirmschoner".

Er arbeitet/rödelt zwar noch einige Zeit herum es passiert allerdings auf dem Bildschirm nichts mehr. Auch ein Versuch mit der Erstellung einer 2. CD ergab keinen Erfolg.

Ich wäre dir sehr dankbar, wenn du dich weiter meiner annimmst und zusammen mit mir eine Lösung finden würdest.

Danke!!
Michael

Hast du falsch umgesetzt, von SATA-Controller deaktivieren war nie die Rede.
Wenn du eine SATA-Platte hast, muss selbstverstädnlich der SATA-Controller aktiviert sein, sonst wird die Platte garnicht gefunden!
Bei OTLPE ist der AHCI-Modus problematisch, beim Booten gibt es einen Bluescreen! Stell daher falls es so ist von AHCI auf IDE bzw. compatible um!
Jedenfalls dieser Problematik die Hauptursache dafür dass OTLPE nicht bootet!

Hallo Arne,

leider komme ich nicht klar mit der Umstellung von AHCI auf IDE im BIOS. Habe mir für mein Mainboard ASROCK 939a8x-m das Handbuch besorgt.

hxxp://europe.asrock.com/downloadsite/manual/939A8X-M.pdf

Werde allerdings nicht ganz schlau dadurch. Dort finde ich keine Umstellungsmöglichkeit zwischen AHCI auf IDE.
Die HDD wird bei dem Booten des PC unter SATA 1 erkannt. Das DVD/CD Laufwerk wird im BIOS als PRIMARY IDE MASTER angeschlossen erkannt.

Die Einstellungen unter ADVANCED->IDE CONFIGURATION sehen folgendermaßen aus:

OnBoard IDE Controller „Both“
OnBoard SATA Controller „Enabled“
SATA Operation Mode „RAID“

Primary IDE Master „_NEC DVD-RW ND-355“
Primary IDE Slave „Not Detected“
Secundary IDE Master „Not Detected“
Secundary IDE Slave „Not Detected“
SATA 1 „Not Detected“
SATA 2 „Not Detected“

Etwas verunsichern tut mich das dort bei SATA 1 „Not Detected“ steht. Dies bedeutet doch das unter SATA 1 nicht gefunden wurde.

Die Einstellungen unter SATA 1 stehen auf:

LBA/Large Mode „Auto“
Block (Multi Sector Transfer) „Auto“
PIO Mode „Auto“
DMA Mode „Auto“
S.M.A.R.T. „Disabled“
32 Bit Date Transfer „Enabled“

Natürlich weis ich das Du zeitlich eingeschränkt bist und auch andere deine Hilfe benötigen. Aber vielleicht könntest du dir das Handbuch mal herunterladen und mir sagen, wo mein Fehler liegt, wenn ich versuche deinen Vorschlag umzusetzen.

Vielen Dank!!
Michael

SATA Operation Mode ist das. Keine Ahung was das soll dass der auf RAID steht :balla:
Auf kannst du den verstellen? Üblicherweise hat man drei Modi beim SATA Operation Mode: AHCI, RAID und IDE

Dort kann ich nur auf „non-RAID“ stellen. Dies habe ich so eben getan und neu von der CD gebootet. Allerdings hängt es sich jetzt auf bei dem Windows XP Logo. Der Balken darunter bleibt einfach stehen und bewegt sich nicht mehr. Nachdem vorher wie gehabt der Hinweis "Starting Reatogo-X-PE“ steht und sich der Balken darunter bis zum Ende füllte.

Im BIOS erscheint allerdings jetzt unter ADVANCED->IDE CONFIGURATION bei SATA 1 die Festplatte. Wenn ich dort aufklicke, erscheint folgende Auflistung mit den Eigenschaften der HDD:

Device: Hard Disk
Vendor:WDC WD800JD-55MVA1
Size: 80.0 GB
LBA Mode: Supported
Block Mode: 16 Sectors
PIO Mode: 4
Async DMA: Multi Word DMA-2
Ultra DMA: Ultra DMA 6
S.M.A.R.T.: Supported

Darunter sehen die Einstellungen folgendermaßen aus:

LBA/Large Mode „Auto“
Block (Multi Sector Transfer) „Auto“
PIO Mode „Auto“
DMA Mode „Auto“
S.M.A.R.T. „Disabled“
32 Bit Date Transfer „Enabled

Aber dort finde ich nicht die Möglichkeit AHCI, RAID und IDE einzustellen. Ich glaube die Lösung um OTLPE von der bootfähigen CD zu starten ist ganz nahe. Bitte sei so nett und melde dich diesbezüglich noch einmal bei mir.

Vielen Dank!!
Michael

Einige wenige Boards lassen sich nicht umstellen.
Bevor wir uns totsuchen würde ich lieber mal die genaue Modellbezeichnung und Hersteller deines Mainboards wissen

An dem befallenem PC ist das Mainboard ASRock 939a8x-m eingebaut mit BIOS Version 1.90

das Handbuch habe ich von hier heruntergeladen:

hxxp://europe.asrock.com/downloadsite/manual/939A8X-M.pdf

DANKE!!
Michael

:dummguck:

Also gefunden hätte ich sowas
http://forum.chip.de/festplatten-lau...t-1044363.html

Also non-RAID sollte richtig sein.
Wenn OTLPE immer noch nicht bootet weiß ich aus der Ferne so nciht weiter und müsste deinen Rechner mal selbst bei mir haben, das wird aber so nicht gehen :pfeiff:

Wenn alle Stricke reißen, Rechner von einem Live-Linux versuchen zu booten, alle Daten retten und System anschließend neu aufsetzen.

Hallo Arne,

Erst einmal danke, dass du mir helfen willst. Den Vorschlag mit der Datenrettung habe ich mit Knoppix schon durchgeführt. Trotzdem wäre es toll, wenn auch das System gerettet werden könnte.
Habe daher an das Board eine 2. Festplatte gehängt und von dort OTLPE gestartet den Text wie von markusG auf der Seite

http://www.trojaner-board.de/112825-...ktioniert.html

empfohlen unter benutzerdefinierte Scans/Fixes kopiert. Zur Sicherheit auch habe ich OTLOPE auch ohne dieses Fix laufen lassen und Logs angehängt. Ich weis nicht ob das was bringt hänge aber trotzdem die 2 Logdateien hier in meinem Thread mit an.

Ebenfalls habe ich einen vollscann unter Malwarebytes durchgeführt und Log ebenfalls angefügt. Allerdings noch nichts gelöscht oder entfernen lassen.
Schaue dir doch bitte alles an und sage mir, ob du damit weiterkommst oder welche Einstellungen ich machen müsste, um Log Dateien zu erstellen, die du bräuchtest.


Vielen dank im Voraus!!
Michael

Wie jetzt und warum startet OTLPE damit aber nicht mit der anderen Platte?
Sry irgendwie macht das keinen Sinn oder ich kapiers nicht

Hallo Arne,

freue mich von dir zu hören. Also ich habe von der 2. Platte aus OTLPE.EXE direkt im abgesicherten Modus gestartet und nicht OTLPENet.EXE
von einer Bootfähigen CD aus.
Den vollscann unter Malewarebytes habe ich natürlich nur auf der befallenen Platte durchgeführt. Hoffe das man so etwas herausbekommt....

MfG
Michael

Wieso von der zweiten Platte gestartet??
OTLPE wird von CD gebootet? :confused:

Habe die EXE von dieser Seite heruntergeladen.

hxxp://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

Darauf bin ich gestoßen, wie ich in meiner Verzweiflung wegen der nicht zu Bootenten CD gegoogelt hatte.
Muss die gleiche Anwendung sein wie die auf der bootbaren CD.

MfG
Michael

Sry irgendwie wird's jetzt chaotisch :balla:
- Du sprichst von OTLPE meinst aber in Wirkllichkeit das normale OTL
- Was genau ist jetzt die zweite Platte und was genau hast du da gebootet

Also habe eine andere unbefallene Platte besorgt, worauf ebenfalls Windows XP Professional installiert ist. Diese habe ich dann als eine weitere SATA Festplatte an das Board gehängt.
Bei dem Start des PC wird jetzt von dieser Platte gebootet. Dort im abgesicherten Modus OTL (das ist doch eigentlich genau das Programm das von markusg beschrieben wird) per USB Stick aufgespielt und gestartet. Selbe Verfahrensweise habe ich angewandt, um Malwarebytes zu installieren.

Die jeweiligen log Dateien die sich erstellten (siehe Post#11) wurden dann auf einen USB-Stick gezogen, gezippt und dann hier im Thread angehängt.
Vielleicht sind die Logs unbrauchbar. Wenn ja kannst du mir vielleicht erklären wie ich das befallene Laufwerk (hier bei mir als Laufwerk F angezeigt) von der gebooteten Platte (hier Laufwerk C) aus mit OTL scannen kann ?

Tut mir leid dich zu verwirren aber wenn noch Fragen sind oder etwas unklar sein sollte bin ich bemüht, sie dir korrekt zu beantworten.

MfG
Michael

Naja, dann hast du OTL von einem nicht infizierten System scannen lassen. OTL scannt dann die Bereicht vom sauberen Windows, das ist so nicht brauchbar

Wenn dann hilft ein Vollscan mit Malwarebytes, aber dann muss es ein Vollscan sein und die Platte des infizierten Windows muss mit untersucht werden.
Zudem wurden die Signaturen nicht aktualisiert

Hallo Arne,

habe offline die Signatur von Malewarebytes auf den aktuellen Stand gebracht und einen vollscann auf der infizierten Platte laufen lassen. Die Funde habe ich in Quarantäne verschoben. Die log dazu liegt im Anhang.

Anschließend wurde noch von mir im abgesicherten Modus auf der laufenden Platte (Erklärung siehe Post#17) Avira Antivir installiert und ebenfalls offline auf den aktuellen Vierenstand gebracht. Ebenfalls die Funde gelöscht und eine Kopie davon in Quarantäne verschoben. Log dazu im Anhang.

Das alles brachte keine Besserung auf dem befallenen System. Weiterhin kein start im abgesicherten Modus möglich. Der Task Manager kann nicht gestartet werden. Der Administrator hätte den Zugriff verweigert lautet die Meldung dazu. Auch ist nur das Desktop Hintergrundbild zu sehen sonst nichts. Keine Icons oder Taskleiste z.b.

Und dann habe ich mir mit der flachen Hand auf die Stirn geschlagen.:kloppen:
Habe einfach die infizierte Platte in einen anderen PC bei einem Freund angeschlossen. Im BIOS auf AHCI kompatibel gestellt. Und schon konnte ich OTPLENet von der bootfähigen CD starten.

WARUM BIN ICH NICHT FRÜHER DARAUF GEKOMMEN !!!
Man sieht halt manchmal den Wald vor lauter Bäumen nicht :crazy:

Also habe ich OTPLE gestartet und einen quick scann durchgeführt sowie einen weiteren scann gemacht so wie markusg unter http://www.trojaner-board.de/112825-...ktioniert.html es beschreibt. Auch diesen log habe ich mit in den Anhang gehängt.

Ich hoffe SEHR das Du mit denen etwas anfangen kannst und mir irgendwie weiterhelfen kannst. Wenn ich hier etwas unverständlich erklärt habe gib kurz bescheid, damit ich es anders erklären tue.

Weiterhin Vielen Dank für deine Mühen.

MfG
Michael

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Bei OTL musst du aufpassen und das Windowsverzeichnis deines infizierten Windows auswählen!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Morgen Arne,

habe alles so gemacht, wie du es mir beschrieben hattest. Im Anhang die log Datei, die sich nach dem Fixen öffnete. Auch habe ich wie gewünscht den Quarantäne Ordner von OTL in den Upload Channel bei euch gestellt.

Windows startet jetzt wieder inkl. Taskleiste und die Möglichkeit des Aufrufens des Task Manager geht auch wieder. Dafür vielen Dank erst einmal !!!

Was mich aber noch etwas verunsichert ist das die kompletten Icons, Verknüpfungen auf dem Desktop verschwunden sind. Wenn ich allerdings im Explorer auf Desktop gehe, sehe ich dort alle stehen. :wtf:

Wenn du dafür auch noch eine Erklärung oder Lösung hast, wäre ich unheimlich dankbar dir gegenüber.

Aber auch so muss ich dem Board und insbesondere dir meinen tiefsten Dank aussprechen für die Hilfe, die ich erhalten habe. :daumenhoc:daumenhoc

Eine Spende wird selbstredend von mir an euch überwiesen.

Würde mich Freuen, wenn ich noch einmal von dir hören würde bezüglich des Desktops...

MfG
Michael

Die Platte mit dem infizierten Windows ist wieder in den ursprungsrechner zurückgebaut und alles ist wieder so wie ursprünglich zurückgestellt worden? Und windows bootet normal? :)

Wenn ja dann: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Bevor ich deinen aktuellen Post gelesen hatte, habe ich schon einen scann mit Avira durchgeführt. Und siehe da er hatte auch 2 Funde gehabt. Gelöscht und Kopie in Quarantäne verschoben. Sieh Log:
Danach bin ich deinem Rat gefolgt und habe nach einer Aktualisierung der Datenbank einen weiteren scann mit Malwarebytes ausgeführt. Siehe log:
Hiermit stelle ich auch noch einmal die Logs ein die sich bei vorherigen Scans unter Avira und Malwarenbytes erstellten bevor du mir den Text für OTL zum Fixen hier gepostet hattest.


Mit dem ESET online Scanner wurde von mir ebenfalls alles so durchgeführt, wie du beschrieben hattest. Die log dazu hier:

Für die weitere Hilfe vielen Dank noch einmal!

MfG
Michael

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Morgen Arne,

Windows startet im normalen Modus ohne Probleme wieder. Auch sind im Startmenü alle Programme zu sehen und auch keine leeren Ordner sind vorhanden.
Das Problem mit den verschundenen Icons und Verknüpfungen auf dem Desktop hat sich auch erledigt. Es sind alle wieder da. Habe einfach durch Rechtskick auf dem Desktop und entfernen eines Hakens dort alles Wiederbekommen.
Meine Frage an dich ist jetzt kann ich davon ausgehen, dass alles virenfrei ist ?
Oder was sollte ich noch tun, um dies festzustellen?

Wenn du mir einen Rat diesbezüglich geben könntest, wäre das toll.

MfG
Michael

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Habe heute Morgen die schritte bei OTL so ausgeführt, wie du beschrieben hattest, und schreibe den Inhalt der OTL.txt hier mit rein.
OTL Logfile:
--- --- ---


Wenn du mir anhand des log mitteilen, könntest das jetzt alles virenfrei ist würde ich mich darüber unheimlich freuen.

MfG
Michael

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

hier poste ich dir den Inhalt des OTL Logfile nachdem ich den Fix durchgeführt hatte.

MfG
Michael

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Guten Morgen,

log von TDSSKiller:
DANKE!!

MfG
Michael

Log ist unvollständig, die untere Zusammenfassung fehlt

Muss wohl bei dem Kopieren verloren gegangen sein :heilig:
Aber hier noch einmal das vollständige log von TDSS-Killer
MfG
Michael

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Soooo. Auch das ist erledigt. Wie gehabt ist hier die dazugehörige log:
[CODE]
Combofix Logfile:
--- --- ---


MfG
Michael

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo Arne,

poste hier dir log Dateien die du mir als Aufgabe gestellt hattest.

[CODE]
GMER Logfile:
--- --- ---

--- --- ---


Nochmals vielen Dank für deine Ünterstützung :dankeschoen:

MfG
Michael

Da ist noch was! :eek:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Morsche!!

auch das habe ich so ausgeführt wie du es mir beschrieben hattest. Die dazugehörige log poste ich hier.

[CODE]
Combofix Logfile:
--- --- ---


Wie geht es weiter?
Glaubst du er ist jetzt Virenfrei?
Freue mich wieder von dir zu Hören.

MfG
Michael

Mach bitte ein neues Log mit GMER

Hier die log:

[CODE]
GMER Logfile:
--- --- ---


MfG
Michael

Diese Datei ist da immer noch :(
Boote den Rechner nochmal bitte von der OTLPE-CD
Navigiere dann nach \WINDOWS\system32, also dem system32-Ordner des auf Festplatte installierten Windows.
Benenne die Datei bitte um in hxjyv.dll.vir

Starte danach den Rechner neu und boote Windows normal. Mach danach ein neues GMER-Log und lad die umbenannte Datei also C:\WINDOWS\system32\hxjyv.dll.vir bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Morgen Arne,

wollte mich entschuldigen dafür, dass ich so spät antworte. Aber ich war die letzten 2 Tage nicht online.
Habe versucht die von dir beschriebene Datei unter dem angegebenen Pfad nachdem ich von CD gebootet hatte zu finden und umzubenennen. Aber leider ist diese nicht dort zu finden...:wtf:

Auch eine Suche über das komplette System ergab keinen Treffer.:balla:

Also was soll ich tun?
Bitte sei so nett und gib mir einen Rat oder erkläre mir was ich falsch gemacht habe.

DANKE!
MfG
Michael

Boote mal deinen Rechner von einer Xubuntu-CD, siehe Link in meiner Signatur
Da wird beschrieben wir du diese CD erstellst und wie du davon bootest
Navigiere dann mal mit Ubuntu zu diesem Pfad und versuch diese Datei ausfindig zu machen

Hallo,

auch hiermit ist unter diesem Pfad die Datei nicht auffindbar. Habe auch darauf geachtet, dass alle Dateien auch die versteckten mir angezeigt werden.

MfG
Michael

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!