Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner(?): Festplatte angeblich kaputt, Desktop ist schwarz, Startmenü leer (https://www.trojaner-board.de/120281-trojaner-festplatte-angeblich-kaputt-desktop-schwarz-startmenue-leer.html)

liftyrfists 24.07.2012 15:30
Trojaner(?): Festplatte angeblich kaputt, Desktop ist schwarz, Startmenü leer
 
Hallo liebe Community, ich habe mir vor ein paar Stunden einen ziemlich hartnäckigen Virus eingefangen der mich wohl noch zum verzweifeln bringt. Alles fing an nachdem sich Mozilla Firefox wie aus dem nichts beendete und geschätzte 30 Fehlermeldungen, wie kaputt doch meine Festplatte wäre, auf meinem Desktop kursierten. Da ich mir dachte dass Windows bei ihren Meldungen wenigstens auf Satzzeichen achten würde, wusste ich das es ein Virus war.

Nach gescheiterten Versuchen den Taskmanager zu öffnen und einer Systemwiederherstellung, die bei der Initialisierung hängen blieb, startete ich ihn neu und et voilá; mein Desktop ist Schwarz, Startmenü abgesehen von 2 Spielen und Paint.net leer und mein PC ist langsam wie sau.

Malware Anti-Bytes kann ich mir nicht runterladen da es geblockt wird und Microsoft Security Essentials findet zwar den Übeltäter "jdryrantwfayf.exe" kann ihn aber nicht löschen. Die Fehlermeldungen sind jetzt weg da ich kurz nachdem Neustart mit dem Taskmanager die oben genannte .exe beenden konnte aber trotzdem kann ich absolut nichts mehr machen.

//EDIT: Mozilla und Internet Explorer kann ich nicht öffnen deshalb muss ich mir im Moment mit Chrome aushelfen. Ein weiterer netter Nebeneffekt scheint zu sein dass der PC beim Eingeben von Begriffen in Google 10x langsamer wird und für jeden Buchstaben 5 Sekunden brauch. Zudem werde ich, wenn ich bestimmte Seiten (Trojaner Board -> bestimmte Themen die Ähnlichkeit zu meinem haben; Download von Malware Anti-Bytes) aufrufen will, erst auf "www.American-Market.com" und dann auf eine zufällig ausgewählte Werbeseite weitergeleitet.

Ich hoffe irgendjemand kann mir helfen, Danke im Voraus.

markusg 24.07.2012 16:19
hi
starte mal neu, drücke f8 wähle abgesicherter modus mit netzwerk, melde dich im betroffenen konto an.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

liftyrfists 24.07.2012 21:10
Alles wie beschrieben gemacht doch nach dem Klick auf 'Quick Scan' passiert garnichts mehr. Das Programm hängt sich auf.

Nach einigen Neustarts startete das "File Recovery" Programm, dass ja sicherlich einigen als Virus bekannt ist.

Deshalb wollte ich fragen ob das Tutorial für die Entfernung (http://www.trojaner-board.de/103458-...entfernen.html) auch bei mir zu empfehlen ist.

markusg 25.07.2012 16:41
hi
dann mal dieses:
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

liftyrfists 25.07.2012 17:44
Habe OTL auf meinem PC doch zum laufen gebracht, jedoch ist die txt scheinbar zu groß um in den Anhang zu passen. Deshalb habe ich sie hier hochgeladen:

hxxp://www.sendspace.com/file/b9rrcq

markusg 25.07.2012 22:12
packe sie bitte mit rar und hänge sie an

liftyrfists 25.07.2012 23:28
Okay, .rar ist als Anhang an diesem Post.

markusg 26.07.2012 17:43
lade unhide:
http://filepony.de/download-unhide/
doppelklicken, dateien werden sichtbar
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

liftyrfists 26.07.2012 21:40
Okay, hier die Combofix logs.

markusg 27.07.2012 21:42
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

liftyrfists 28.07.2012 00:48
Okay, hier die logs.

markusg 30.07.2012 22:01
hi
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

liftyrfists 03.08.2012 10:20
Das Programm wird blockiert und der Prozess sofort nach dem Start beendet.

Jedoch habe ich mich so langsam mit dem Gedanken angefreundet das System komplett neu draufzusetzen, was sicherlich die sicherste Variante ist. Jedoch mache ich dies zum ersten mal und wollte wissen ob es eigentlich sicher ist eine Externe Festplatte an den infizierten Computer anzuschließen um Daten wie Bilder, Musik, Videos oder jegliche andere Daten zu sichern.

markusg 03.08.2012 17:53
autorun aus:
http://www.trojaner-board.de/83238-a...sschalten.html
dann bilder, dokumente, musik, persönliche daten, sichern.
hast du ne windows, recovery cd, oder ne recovery partition, wie ist der name des pcs + hersteller?

liftyrfists 03.08.2012 18:18
Windows Recovery CD könnte ich auftreiben, der PC ist von 'Terra'. Wie er heißt weiß ich jedoch nicht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131