|
Winlogon.exe, CHKDSK, Thunderbird weg, Malwarebytes deaktiviert, Virus? Hallo zusammen! Heute Morgen schalte ich meinen Computer an und es kommen beim Hochfahren unzählige Warnhinweise, dass mit winlogon.exe was nicht stimmt (genauer: "Windows\Fonts") und dass ich chkdsk laufen lassen soll. Hab ich via "Ausführen" gemacht, es passiert aber nichts. Das Dos-Fenster blitzt nur kurz auf und dann tut sich nichts. Via Start/Programme/Zubehör/Ausführen wird mir "Als Administrator ausführen" per Rechts-Klick gar nicht angeboten. Gleichzeitig führt die Verknüpfung zu meinem Thunderbird-Emailprogramm auf dem Desktop plötzlich ins Leere und der Thunderbird-Ordner unter C:\Users\BENUTZERNAME\AppData\Roaming lässt sich nicht mehr öffnen und zeigt unter "Eigenschaften" eine Größe von 0 Bytes an (war bis gestern ca. 5 GB und funktionierte einwandfrei). hxxp://i.imgur.com/mdVre.jpg Malwarebytes kann ich auch nicht ausführen, nicht einmal als Administrator, siehe hxxp://i.imgur.com/ccXT2.jpg Ich habe versucht, das Programm neu zu installieren, auch dabei gab es eine Fehlermeldung, siehe hxxp://i.imgur.com/MQkkO.jpg aber nach "Ignorieren" konnte ich Malwarebytes wenigstens starten. Ist Malwarebytes jetzt fehlerhaft installiert? Der Quickscan als Administrator hat keine "infizierten Objekte" gemeldet. Beim vollständigen Suchlauf wurde dann lediglich ein infiziertes Objekt gefunden, siehe unten. hxxp://i.imgur.com/Nb8KJ.jpg Seither habe ich neu gestartet. AntiVir hat nicht von selbst ausgeschlagen, aber ein System-Check hat 36 Warnungen hervorgebracht, siehe unten. Der verbliebene Speicherplatz auf C:\ hat sich im Vergleich zu vielleicht ner Woche nicht wirklich verändert, wenn ich mich richtig erinnere. Klingt nach nem Virus? Und sind meine Emails alle verloren oder ist der Thunderbird nur irgendwohin "versteckt" worden? Ich habe zum Glück einen Backup, wenn auch leider nur von Mitte Juli. Danke an alle. Gruß, SteGri AntiVir Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\$Recycle.Bin\S-1-5-21-2208915766-2941739076-3352613170-1001\$RH5B1DB.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynCOM.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynCtrl.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynMood.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTP.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPAPI.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPCOM.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPCpl.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPEnh.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPRes.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynZMetr.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files\Windows Media Player\setup_wm.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamcore.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamnet.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbampt.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Windows Media Player\setup_wm.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Users\Office-PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RLMJ3LLW\install_flashplayer11x32ax_gtba_chra_dy_aih[1].exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Office-PC\AppData\Local\Temp\install_flashplayer11x32ax_gtba_chra_dy_aih.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Office-PC\AppData\Local\Temp\AIH.286d535efec6250007fd8cdf0a71e4819ac3d110\downloader.bundle [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Office-PC\AppData\Local\Temp\AIH.286d535efec6250007fd8cdf0a71e4819ac3d110\launcher.bundle [WARNUNG] Die Datei ist kennwortgeschützt C:\Windows\assembly\GAC_MSIL\Microsoft.PowerShell.GPowerShell\1.0.0.0__31bf3856ad364e35\Microsoft.PowerShell.GPowerShell.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Data.OracleC#\35930a8bda01bcaa3f992622bc63e17a\System.Data.OracleClient.ni.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\finger.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\MRINFO.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\NETSTAT.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\ROUTE.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\UIRibbon.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\drivers\mbam.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\SysWOW64\ARP.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\SysWOW64\HOSTNAME.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Samstag, 1. September 2012 12:48 Benötigte Zeit: 59:43 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 12812 Verzeichnisse wurden überprüft 251266 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 32 Dateien konnten nicht durchsucht werden 251234 Dateien ohne Befall 3582 Archive wurden durchsucht 36 Warnungen 0 Hinweise Malwarebytes' Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.09.01.02 Windows Vista Service Pack 2 x64 NTFS Internet Explorer 9.0.8112.16421 Office-PC :: NAME [Administrator] 01.09.2012 12:29:13 mbam-log-2012-09-01 (12-29-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 251280 Laufzeit: 29 Minute(n), 6 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Office-PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UBSI5EGM\PDFCreator_Stub_5874[1].exe (PUP.Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Die winlogon.exe/CHKDSK Fehlermeldungen bleiben nach Neustarts. Thunderbird bleibt verschwunden. Alle Thunderbird-Ordner (ob in "Programme" oder "Benutzer") haben 0 Bytes. Sonst ist mir eigentlich nichts aufgefallen. Die winlogon.exe/CHKDSK Fehlermeldungen bleiben nach Neustarts. Thunderbird bleibt verschwunden. Alle Thunderbird-Ordner (ob in "Programme" oder "Benutzer") haben 0 Bytes. Sonst ist mir eigentlich nichts aufgefallen. |
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Hallo, danke für die Rückmeldung! Ich habe das ESET vor knapp drei Stunden gestartet. Nach zwei Stunden war der Virus Scan bei 52% und ich hatte den Eindruck es tut sich nichts mehr. Dann hab ich auf Stop gedrückt und das Ganze von vorne laufen lassen. Nach einer weiteren Stunde ist er jetzt (nach Neustart) bei 33% und die "Files scanned" Zahl steigt weiterhin. Soll ich das Ganze einfach mal in Ruhe fünf Stunden laufen lassen, oder ist das nicht normal? Ich hab eigentlich nicht so viel Krempel auf meiner Festplatte... Danke, SteGri Irgendwie wärs mir ja lieber gewesen, das Ding hätte was gefunden als Erklärung, warum mein Thunderbird verschwunden ist und winlogon.exe plötzlich Probleme macht... Was mach ich den jetzt? Code: ESETSmartInstaller@High as CAB hook log:Was mach' ich denn jetzt? CHKDSK kann ich ja auch nicht ausführen... "Office-PC" ist das Administrator-Konto: (Ist der Rechtschreibfehler schon Grund zur Besorgnis?) http://s8.postimage.org/q1fu7ngit/cmd.jpg OK, habe cmd.exe in der Suche rechtsgeklickt, um echter Administrator-Administrator zu sein. Das ist die ganze Zeit von "beschädigt" und "verwaist" die Rede und dass chkdsk im gesicherten Modus nicht ausgeführt werden kann. Ich habe mal das OTL laufen lassen: OTL Logfile: Code: OTL logfile created on: 02.09.2012 11:26:04 - Run 1[/code] OTL EXTRAS Logfile: Code: OTL Extras logfile created on: 02.09.2012 11:26:04 - Run 1[/code] :dummguck: Ich hab noch mal geschaut: es ist als ob jemand systematisch alle Thunderbird-Dateien gelöscht hätte. Da wo die Hauptordner liegen ("C:\Users\USERNAME\AppData\Roaming\Thunderbird" und "C:\Programme(x86)\Mozilla Thunderbird") liegen offenbar leere Ordner, auf die nicht zugegriffen werden kann und deren Änderungsdatum mit Mitte Juli angegeben ist, als ich das Betriebssystem neu aufgespielt hatte. Den Thunderbird habe ich bis gestern benutzt, das Änderungsdatum müsste also 1.9.2012 lauten. http://s11.postimage.org/6hipxdjmr/md_Vre.jpg http://s17.postimage.org/kqferfahb/Unbenannt.jpg |
Die Benutzerkontensteuerung ist schon seit Vista da! Das ist nichts neues, dass man für Sachen wie chkdsk die Eingabeaufforderung per Rechtsklick als Administrator ausführen muss und erst dann die Prüfung machen kann! Und einfach nur chkdsk fürht man nicht aus! Ohne die Option /f werden keine Fehler behoben! chkdsk der Systempartition unter Windows Vista 1. Klick mit rechts auf einen freien Bereich auf dem Desktop und sag "Neu, Verknüpfung erstellen" 2. Tipp als Ziel cmd.exe ein und bestätige mit OK, eine neue Verknüpfung zur Konsole auf dem Desktop müsste sich nun befinden 3. Falls dem so ist, diese neue Verknüpfung rechtsklicken => Als Administrator ausführen => Sicherheitsabfrage von Vista Benutzerkontensteuerung ggf. bestätigen => schwarze Eingabeaufforderung öffnet sich 4. Tipp dort ein: chkdsk c: /f /r /v und bestätige mit enter. 5. Die folgende Abfrage mit j bestätigen und enter drücken. 6. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!! 7. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu. |
Vielen Dank für die Rückmeldung! Ich hatte eigentlich Angst, dass mein Thread so weit nach hinten rutscht, dass sich keiner mehr dafür interessiert. Ich habe mich im Administrator-Konto angemeldet und die Schritte 1) bis 6) EXAKT wie beschrieben ausgeführt. C: ist auch das Laufwerk, auf dem das Betriebssystem und die Programme aufgespielt sind. http://s15.postimage.org/eupdosd5n/CMD_Unbenannt.jpg Nach dem Neustart kam sofort die folgende Antwort und ca. fünf Sekunden später ist der Computer im alten, beschädigten Zustand hochgefahren: http://s15.postimage.org/e3wnj0asb/20120903_235428.jpg "Volume kann für direkten Zugriff nicht geöffner werden." Ich hab das Ganze dreimal durchgespielt, immer mit dem gleichen Ergebnis. Hab ich was falsch gemacht? Danke, SteGri PS: Ich habe festgestellt, dass in OpenOffice Writer plötzlich DejaVu Serif als Standardschrift eingestellt ist. War bislang immer Times New Roman. Hat das was mit der Sache zu tun? Mein Online-Banking habe ich sicherheitshalber bislang nicht betrieben... Ich hätte nur gerne meinen Thunderbird-Ordner von 5GB wieder zurück, dann würde ich den Computer auch liebend gerne platt machen, falls Virus/Trojaner-Alarm besteht! |
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den möglicherweise infizierten bzw. defekten Rechner dann von dieser CD booten: Unter OTLPE kannst du auch über die EIngabeaufforderung die Systempartition prüfen. Da ist kein Neustart notwendig, denn die Systempartition C ist kein Systemlaufwerk für die Live-CD Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
|
:dankeschoen: Darf ich kurz fragen: Wenn ich das alles mache wie beschrieben, gibts dann überhaupt eine Chance, den Thunderbird zu retten, oder muss ich danach das System sowieso neu aufspielen, weil eh' alles verloren ist? Ich hab nämlich leider keine anderen Rechner hier rumstehen, das heißt ich müsste erst jedanden anhauen, der das mit dem OTLPENET für mich macht, wenn ich den "infizierten" Computer dafür nicht benutzen soll... :heulen: Danke, SteGri |
Ich bin kein Hellseher! :glaskugel: Man muss es versuchen und dann weitersehen! |
Hallo, guten Abend. So, hallo. Ich habe alles gemacht wie beschrieben: OTLP auf anderem Rechner heruntergeladen und auf bootfähige CD gebrannt, mit dieser CD meinen Rechner gestartet und das Programm laufen lassen. Allerdings hat mich das Programm nicht gefragt: "Do you wish to load the remote registry?" wies in der Anleitung steht...? Hier sind die Inhalte der beiden .txt-Dateien: OTL OTL Logfile: Code: OTL logfile created on: 02.09.2012 11:26:04 - Run 1[/code] Extras OTL Logfile: Code: OTL Extras logfile created on: 02.09.2012 11:26:04 - Run 1[/code] In dem Programm habe ich nichts verstellt: http://s7.postimage.org/ijo64m7qj/untitled.jpg Wenn man da rauslesen könnte, dass ich dies und das machen muss, und am Ende taucht der Thunderbird-Ordner wieder auf, wäre ich glücklich. :singsing: |
Das sind die falschen Logs - alte Logs siehe oben Du solltest die Logs die von OTLPE erstellt wurden posten |
Achje, sorry! Das kommt daher, dass ich das alles in einem Ordner gespeichert habe. Für den letzten Durchlauf habe ich keine "Extra" Datei, kann das sein? Muss ichs nochmal machen? Ich hatte so Schwierigkeiten, ins BIOS reinzukommen, obwohl ich beim Hochfahren immer sofort und unzählige Male F12 wie ein Irrer gedrückt habe. Nach ca. 80 Versuchen (neu starten und wieder warten) konnte ich dann endlich von CD booten. Ich kriege bald die Krise.... OTL Logfile: Code: OTL logfile created on: 9/8/2012 12:54:37 PM - Run |
Ist auch recht unauffällig Ich befürchte hier, dass deine Platte im Sterben liegen könnte Besorg dir mal das Disgnosetool vom Plattenhersteller. Welche Platte du hast siehst du am Anfang der Hardware- bzw. Laufwerkerkennung noch bevor Windows gebootet bzw. im BIOS. Auch im Windows-Gerätemanager sieht man welche Platte da drin ist. Dann lädst du dir mal die UBCD, brennst das Image UBCD auf CD und bootest davon. Wähle dann über die HDD Tools das Diagnosetool von deinem Plattenhersteller aus und mach einen Check. |
Ohje, das hört sich schlimm an. Dann ist wohl nicht nur alles verloren, sondern auch noch der ganze Computer im Arsch. Ich hab gerade einfach mal zehn Minuten geheult. :heulen: ST9320325AS ATA - klingt das nach Festplatte? Damit bin ich via Google auf "Seagate" gestoßen und "SeaTools": hxxp://www.seagate.com/de/de/support/downloads/seatools/ Soll ich das für Windows oder DOS runterladen? Erst SeaTools machen und dann UBCD? Ich bin total dankbar für die Hilfe, nur für mich ist das alles total kompliziert und schwierig, deshalb brauche ich immer so lange (und mache die Hälfte dann auch noch falsch...). Was ist nochmal der Grund, warum ich nicht mal das CHKDSK ausführen kann? Gerade weil die Festplatte hinüber sein könnte? |
Welche Seatools du nimmst ist eigentlich egal Die für Windows sind etwas komfortabler zu bedienen Zitat:
|
Hallo, ich war leider lange krank und konnte mich daher nicht um das Notebook kümmern. Ich habe mal den SeaTools für Windows Test direkt über SeaTool gemacht, sieht mit "Kurzer Festplatten-Test", "S.M.A.R.T." und "Einfacher Kurz-Test" folgendermaßen aus: http://s7.postimage.org/vp2hainuj/Seagate.png Jetzt werde ich mir das Image von der Ultimate Boot CD machen, davon booten und SeaTools darüber laufen lassen. Muss ich eine bestimmte Test-Art ausführen oder "Reparatur" anklicken? http://s7.postimage.org/9r60gq8u3/image.png Vielen Dank! PS: Beim Windows-Update kommt mittlerweile auch eine Fehlermeldung. Und wenn ich die Anweisung befolge, sagt DOS, dass ich das nicht ändern kann, weil das Verzeichnis beschädigt ist: http://s17.postimage.org/aphn6v5q7/Update.jpg |
Ich hoffe du hast dich gut erholt Nach so langer Zeit müssen wir schon wieder fast von vorn anfangen 1. aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!
Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. 2. TDSS-Killer Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png |
OK, hier ist mal das aswMBR. Während des Durchlaufs kamen unten im System Tray von Windows ein paar Fehlermeldungen, dass bestimmte gescannte Dateien beschädigt seien. Was kann man denn aus dem aswMBR Log rauslesen? http://s13.postimage.org/tecysgx13/aswmbr.jpg Ich mache jetzt mal das mit dem TDSS Killer. Code: aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software |
Das Log ist unauffällig. Die Meldung von Windows macht so keinen Sinn oder ich verstehe sie falsch. Vllt wollte aswMBR die Datei mbam.sys scannen und Windows meint da ist ein Dateisystemfehler :balla: Mach erstmal mit dem TDSS-Killer weiter |
Ogottogott... http://s7.postimage.org/e6kpnkju3/Kap.jpg Soll ich "copy all to quarantine" drücken? Bislang habe ich nichts gemacht. http://s17.postimage.org/igtb8do5b/Kaper.jpg Code: 10:45:21.0427 3592 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35 |
Bitte das Log vollständig posten, Screenshots davon bringen nichts |
Hab ich doch im vorherigen Post unter den Screenshots gemacht mit [code] [\code]. War das nicht richtig? Hier ist das komplette Log nochmal: Code: 10:45:21.0427 3592 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35 |
Log ist immer noch unvollständig die untere Zusammenmfassung fehlt |
Mehr habe ich leider nicht. Die TDSSKiller _log.txt.-Datei endet mit "10:48:21.0758 3696 Actual detected object count: 254" und so enden auch die beiden Logs, die ich unten gepostet habe. |
Dann hast du das Log falsch erstellt... |
Tja, außer den zwei Haken laut Anweisung habe ich eigentlich nichts gemacht, was ich hätte falsch machen können. http://s16.postimage.org/stdg48w6t/Kapers.jpg Ich habe das Programm jedenfalls nochmal laufen lassen (als Administrator und mit Virenscanner aus). Und hier ist das Log, das automatisch in C:\ erstellt wird - wie in der Anleitung beschrieben: Code: 22:44:35.0516 5900 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35Im Orginal steht auch unter der oben reinkopierten Textmenge nichts weiter, was ich hätte vergessen können. Was mache ich falsch? |
OK, hier ist nochmal was. Ist das besser, oder genau das Gleiche? Ich habe das direkt aus der TDSS-Maske in ein txt-Dokument reinkopiert. Oh, Mann. Jetzt darf ich das nicht einfügen, weil es zu lang ist. Ich bin so müde. Also hab ichs als Anhang drangemacht, siehe unten. War das richtig? |
Jetzt ist es vollständig. Und soweit unauffällig. Was genau ist an Problemen jetzt noch offen? |
Die 250 Warnhinweise von TDSSKiller kann ich also ignorieren? Die Symptome sind: 1) Das Original-Problem war, dass mein Thunderbird plötzlich verschwunden war. Einfach weg. "Auf C:\ ... Thundberbird kann nicht zugegriffen werden". "... beschädigt und nicht lesbar." Die Verknüpfung dazu auf dem Desktop führt ins Leere und fragt bei Anklicken, ob sie gelöscht werden kann. Ich habe zwar ein Thunderbird-Backup von drei Monaten vorher, hätte aber gerne den Thunderbird wieder zurückgeholt - oder gewusst warum/wohin er verschwunden ist. Post #1: http://www.trojaner-board.de/123240-...tml#post905279 2) Windows fordert mich ständig auf, schon beim Hochfahren, "CHKDSK" laufen zu lassen, weil diese oder jene Datei (bspw. winlogon.exe) beschädigt ist. Aber ich kann CHKDSK nicht laufen lassen, weil ich keinen Zugriff bekomme. "Volume kann für direkten Zugriff nicht geöffnet werden". Auch als Administrator wird CHKDSK nicht ausgeführt. Siehe erste Seite dieses Threads. Post #5: http://www.trojaner-board.de/123240-...tml#post907203 3) Windows Update schlägt fehl. Code 80070000B. Ich kann die Update-Dateien nicht installieren. Siehe hier. Post #15 (unterer Teil): http://www.trojaner-board.de/123240-...tml#post958819 4) Die CPU-Auslastung steigt bei Standard-Gebrauch zum Teil auf 90% und der Physikalische Speicher wird mit 42% angegeben. 5) Die Festplatte und/oder der Lüfter machen perodisch laute Summgeräusche. |
Danke für die aktuelle Zusammenfassung Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
OK, das ComboFix habe ich auch laufen lassen. Das Programm hat mich - außer zum Warten - zu gar nichts aufgefordert. Ich habe das Programm nicht mit Rechtsklick auf den .exe-Link "als Administrator" ausgeführt. Hätte ich das machen müssen? Ich habe aber AntiVir und die Windows-Firewall ausgeschaltet. http://s10.postimage.org/bk93rbamh/Combo.jpg Das ist der Inhalt der Log-Datei, die das Programm nach dem Durchlauf von selbst geöffnet hat: Combofix Logfile: Code: ComboFix 12-11-20.02 - Office-PC 20.11.2012 20:23:57.1.2 - x64Ich habe den Computer danach neugestartet und vorher das mit Windows Update versucht, geht weiterhin nicht. Beim Hochfahren kommt zunächst der DOS-Hinweis, dass das Volume für den direkten Zugriff nicht geöffnet werden kann. Und auf der Seite mit dem Windows-Begrüßungsbildchirm kommt dann eine Fehlermeldung, dass windows/fonts usw. defekt ist. Wenn man den Hinweis wegklickt, erscheint hinten dran der nächste, mit einem anderen Font-Fehler. Man kann aber auch drunter auf den Benutzernamen klicken, dann wird der Desktop geöffnet und alles scheint normal. . |
Downloade dir bitte Farbar's Service Scanner
|
Hm, das ist blitzschnell durchgelaufen: Code: Farbar Service Scanner Version: 09-11-2012 |
Auch unauffällig Entweder ist richtig was im System kaputt oder ich sehe es nicht. Mach mal einen Dateisystem-Check oder ist CHKDSK immer noch weg? :balla: chkdsk der Systempartition unter Windows Vista 1. Klick mit rechts auf einen freien Bereich auf dem Desktop und sag "Neu, Verknüpfung erstellen" 2. Tipp als Ziel cmd.exe ein und bestätige mit OK, eine neue Verknüpfung zur Konsole auf dem Desktop müsste sich nun befinden 3. Falls dem so ist, diese neue Verknüpfung rechtsklicken => Als Administrator ausführen => Sicherheitsabfrage von Vista Benutzerkontensteuerung ggf. bestätigen => schwarze Eingabeaufforderung öffnet sich 4. Tipp dort ein: chkdsk c: /f /r /v und bestätige mit enter. 5. Die folgende Abfrage mit j bestätigen und enter drücken. 6. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!! 7. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu. |
Alles wie gehabt, leider. Die "Datenträgerprüfung" dauert zwei Sekunden. http://s16.postimage.org/nncbc9hwl/1121_220025.jpg |
Dann versuch den chkdsk auf dieser Vista-Partition mal vom OTLPE aus zu starten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board