Trojaner-Board - Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg (https://www.trojaner-board.de/131519-desktop-startmenue-trojaner-tr-agent-59392-91-weg.html)

Desktop und Startmenü nach Trojaner TR/Agent.59392.91 weg

Nach gefundenen Trojaner TR/Agent.59392.91 und der Entfernung mit Avira sind die Desktopsymbole, das Startmenü und Dateiordner im Explorer für den Benutzer nicht mehr sichtbar.
Ich habe die Logdatei die ich mit OTL erstellt habe beigefügt. Gibt es eine Möglichkeit die Daten wieder herzustellen?
Vielen Dank für eine kurze Rückinfo.

Hi,

Zitat:

Gibt es eine Möglichkeit die Daten wieder herzustellen?

Das kann man im Normalfall, ja.

Mach bitte auch noch ein Gmer-Log:

Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
Schliesse bitte alle anderen Programme.
Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Sollte sich ein Fenster mit folgender Warnung öffnen
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
dann klicke unbedingt auf No.
Entferne rechts den Haken bei:
- IAT/EAT
- Show all
Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
Starte den Scan mit einem Klick auf Scan.
Mache gar nichts am Computer, während der Scan läuft!
Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.

Bitte poste in deiner nächsten Antwort:

Log von Gmer

GMER Logfile:

Code:

GMER 2.1.19081 - hxxp://www.gmer.net

Rootkit scan 2013-02-26 08:24:02

Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD75 rev.80.0 698,64GB

Running: 3hsy9jn8.exe; Driver: C:\Users\ADMINI~1\AppData\Local\Temp\pgddqpow.sys
 
 

---- System - GMER 2.1 ----
 

SSDT   9072814E                                  ZwCreateSection

SSDT   90728158                                  ZwRequestWaitReplyPort

SSDT   90728153                                  ZwSetContextThread

SSDT   9072815D                                  ZwSetSecurityObject

SSDT   90728162                                  ZwSystemDebugControl

SSDT   907280EF                                  ZwTerminateProcess
 

---- Kernel code sections - GMER 2.1 ----
 

.text  ntkrnlpa.exe!ZwRollbackEnlistment + 140D  82E939E9 1 Byte  [06]

.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2    82ECD1C2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text  ntkrnlpa.exe!KeRemoveQueueEx + 11F7       82ED430C 4 Bytes  [4E, 81, 72, 90]

.text  ntkrnlpa.exe!KeRemoveQueueEx + 1553       82ED4668 4 Bytes  [58, 81, 72, 90]

.text  ntkrnlpa.exe!KeRemoveQueueEx + 1597       82ED46AC 4 Bytes  [53, 81, 72, 90]

.text  ntkrnlpa.exe!KeRemoveQueueEx + 1613       82ED4728 4 Bytes  [5D, 81, 72, 90]

.text  ntkrnlpa.exe!KeRemoveQueueEx + 1667       82ED477C 4 Bytes  [62, 81, 72, 90]

.text  ...                                       
 

---- EOF - GMER 2.1 ----

--- --- ---

Hi,

Zitat:

sind die Desktopsymbole, das Startmenü und Dateiordner im Explorer für den Benutzer nicht mehr sichtbar.

Sind genannte Objekte nach folgendem Schritt alle wieder sichtbar oder fehlt noch was?
(Wir sind dann noch nicht fertig.)

Downloade bitte Grinler's unhide.exe auf deinen Desktop.

Starte das Tool mit Doppelklick.
Wenn es fertig ist, wird eine Nachricht mit "Done" erscheinen.
Es wird auch ein Logfile Unhide.txt erstellt. Poste dieses bitte hier.

Hat leider keine unhide.txt erstellt. Kann es damit zu tun haben das ich nicht als Administrator angemeldet bin?
Ich habe den Inhalt des DOS-Fensters mal kopiert und unten angehängt.
Die Desktop-Symbole sind nun wieder da. Das Startmenü ist aber noch nicht da und das eingstellte Hintergrundbild (was nicht wichtig ist) wurden noch nicht wiederhergestellt.
Ich kann aber z.B. die Standardhintergründe wieder einstellen, was zuvor nicht möglich war.
Sollten noch weiter Maßnahmen ergreifen oder es dabei belassen?
Viele Grüße

Hallo,

Zitat:

Das Startmenü ist aber noch nicht da und das eingstellte Hintergrundbild (was nicht wichtig ist) wurden noch nicht wiederhergestellt.

Das Hintergrundbild musst du selber wieder einstellen.
Aber das verschobene Startmenü wird nach solchen Infektionen normalerweise durch unhide.exe gefunden und wiederhergestellt..
Bei dir sagt es, dass der entsprechende Ordner nicht existiert. Hast du in der Zwischenzeit mal deine temporären Dateien geleert?

Zitat:

Sollten noch weiter Maßnahmen ergreifen oder es dabei belassen?

Wir sollten danach sicher noch weitermachen!

Habe die temporären Dateien über den Explorer gelöscht und den Rechner neu gestartet. Danach habe ich auch nochmal unhide laufen lassen aber das Startmenü ist noch nicht wieder da (siehe Bild)
Viele Grüße

Das mit den temporären Dateien war eigentlich mehr eine Frage als eine Aufforderung... :)
Aber halb so wild, unhide konnte ja vorher schon nichts finden.

Wir können trotzdem einen Versuch starten, ob irgendwo diese Verknüpfungen noch liegen, auch wenn das nicht sehr wahrscheinlich ist:

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

%SYSTEMDRIVE%\*.lnk /s

Schliesse bitte alle anderen Programme.
Klicke nun auf None (deutsch "Nichts") und danach auf den Scan Button.
Kopiere danach den Inhalt der OTL.txt hier in deinen Thread.
Wenn das Logfile zu gross ist zum Posten, dann pack es in ein zip-Archiv (Rechtsklick -> Senden an -> zip-komprimierten Ordner) und hänge es an.

Anbei die Logdatei von OTL

Ich seh da schon noch Verknüpfungen im Startmenü..
Fehlt das Startmenü denn in allen Benutzerkonten oder ist es in manchen noch vorhanden?
Kannst du mal überprüfen und mir mitteilen, in welchen Konten (mit Kontoname) das Startmenü für dich noch intakt ist und in welchen nicht?

Das Startmenü fehlt nur bei dem Benutzer christ.de\hauck
Viele Grüße

Ok, dann sag mir bitte noch einen Kontonamen, von welchem du das Startmenü 1-zu-1 ins betroffene Konto hinüberkopieren möchtest.
Wir fahren in der Zwischenzeit schon mal fort:

Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

WICHTIG: Speichere Combofix auf deinen Desktop.
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Combofix
Log von OTL

Bitte vom Konto Administrator kopieren.
Anbei dei beiden Log-Datein

Dann noch eine Kontrolle, ob dein ungebetener Gast noch einen Kollegen mit zur Party eingeladen hat, der sich gut versteckt. Das scheint er nämlich gerne zu tun.

Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.

Falls Funde angezeigt werden:

Klicke auf den CleanUp Button und erlaube den Neustart.
Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.

Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.

Bitte poste in deiner nächsten Antwort:

Log von MBAR

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Hallo, anbei Log von MBAR

Hallo,

mach bitte noch diese Schritte und kontrolliere danach, wie der Rechner läuft und ob und was immer noch fehlt im betroffenen Konto.

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\ADMINI~1\AppData\Local\Temp\cpuz135\cpuz135_x32.sys -- (cpuz135)
 

:files

xcopy /y /e /h "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\" "C:\Users\hauck\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\" /c

xcopy /y /e /h "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar" "C:\Users\hauck\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar" /c
 

:commands

[emptytemp]

Schliesse nun bitte alle anderen Programme.
Klicke jetzt auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware.

Installiere das Programm in den vorgegebenen Pfad.
Starte nun Malwarebytes Anti-Malware.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke auf Aktualisierung --> Suche nach Aktualisierung.
Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
(Danach nicht vergessen, sie wieder einzuschalten.)
Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
Warte bis die Komponenten heruntergeladen sind.
Setze den Haken bei Scan archives.
Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
Drücke dann auf Start.
Die Signaturen werden heruntergeladen und der Scan startet automatisch.
Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
Falls nach Beendigung des Scans Funde angezeigt werden, dann:
- Drücke auf List of found threats.
- Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
- Drücke danach auf << Back.
Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.

Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von MBAM
Log von ESET
Log von SecurityCheck

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.