|
Windows komplett zerstört Hi, war das ein Tag. Der PC meiner Eltern wurde offenbar durch einen oder mehrere Viren verseucht, und das Windows zerstört. Mir ist etwas vergleichbares noch nie untergekommen. Und bitte fragt nicht nach irgendwelchen Scanberichten, der Pc muss eh komplett neu gemacht werden. Meine Mutter sagte der Pc hätte eine Fehlermeldung. Sie fuhr den PC runter und startete ihn neu. Windows fuzte nur noch bis zum Hintergrundbild: Microsoft Windows verhindert den Start von FrontPage Server Administration oder sowas inder Art. Die Meldung konnte man wegdrücken, dann war nur noch das Hintergrundbild sichtbar. Task-Manager funzte, aber Explorer.exe starten war nicht möglich: Tab neuer Task gesperrt. Ok soviel dazu. Abgesicherter Modus, wurde mit Neutstart beantwortet. Also kam ich auf die Idee, WinXP "drüberinstallieren", hat bei einem Laptop auch schonmal gefunzt. Quasi Reperaturinstallation. Ok Installation hatte funktioniert, beim ersten Start ging es dann aber so richtig los. Willkürlich wurden Programme gestartet, und dll`s vermisst. Danach rundll32 Fehler, der zum sofortigen Shutdown führte. Nach ein paar Neustarts konnte ich Malwarebytes starten. Hat auch drei Sachen gefunden. Alles Trojaner.... Ok nach einer Zeit kam nur noch die Meldung: Windows wird nach einem schwerwiegenden Fehler ausgeführt. Diese Meldung lies sich wegdrücken, kam aber immer wieder. Nach einem weiteren Neustart funktionierte dann wieder alles. Ich hab diverse Virenscanner, und Anti-Malware/Spyware Programme installiert, und alles besetigt was ich gefunden habe. Das Problem war die Systemwiederherstellung. Diese wurde deaktiviert. Diese blöden Trojaner, und oder Viren, hatten auch den Sound verstellt auf 8.1CH + Optisch, so kam aus meinen Boxen nur gegreische.... Lies sich alles beheben. Ok soweit so gut, der PC und auch Windows sahen so aus, als wären sie voll funktionsfähig. Der PC hatte schon immer Probleme mit Plug&Play. Aber jetzt funktioniert nichts mehr, nicht mal Hot Plug&Play!!! Keine Chance! Würde ja nix machen, aber aus irgendeinem Grund wurde die beiden (!) Onboard-Lan-Adapter bei der Win-Installation nicht mit installiert! Absolut keine Möglichkeit die nochmal zum Laufen zu bekommen. Wlan-Karte aus einem anderen PC, nix kein Pieps, garnix. Treiber meldet -> kein Wlan-Gerät gefunden. Soweit so schlecht, das nächste Windows wird sicherer installiert. Meine Eltern waren nur auf 3 harmlosen Seiten, schon seltsam. Bis hierhin liest das eh keiner, aber gibts es wirklich so mächtige Viren das sogar die Hardware betroffen ist? Der Sound umgestellt wird, und keine Hardware-Installation mehr möglich ist?... Daten zum PC: Athlon 64 3000+ Sockel 939 MSI K8N Neo 2 2x 512MB 400Mhz RAM 80Gb Platte WinXp Home Sp2 Und ja, wir sind uns einig -> komplett formatieren und von vorne. Sollte nur mal als abschreckendes Beispiel dienen. mfg Kai |
Mittlerweile gibt es Rootkits (getarnte Trojaner und Viren) die sich in den Master Boot Record reinfressen quasi. Lass doch mal mbr.exe drüberlaufen um zu schauen, ob alles in Ordnung ist, poste das Resultat hier. Die Site zum Download und Ausführen>> rootkit in master boot record |
Sorry hab gewaltig verpennt. Test laut Anweisung durchgeführt, kein Fund. Bevor ich den formatiere, wollte ich halt noch ein bisschen üben. Aber ohne Netzwerk, und damit auch Internet, kann ich keinen Scanner aktualisieren. Gibts es keine Möglichkeit einen Scanner manuell zu updaten, oder eine Hardwareerkennung zu erzwingen? Viel kaputtmachen kann man ja nicht mehr, bin auch offen für radikale Lösungen. mfg Kai Update: Ich konnte mich per USB verbinden. Wie merke ich ob noch etwas bedrohliches auf dem PC ist? Programme die ich benutzt habe: Avira Antivir 9 Malwarebytes Antimalware F-Secure Blacklight Hijack-This und Escan free Clean Prog um Temp zu löschen MBR.Exe Nach einigen Funden findet jetzt nur noch Escan was, aber das findet mir eh immer zuviel Schädlinge. Zuviel F/P. Wie gesagt ich übe nur, was könnte ich noch benutzen um noch was zu finden? Wir haben den Rechner mit OS gebraucht bekommen, vieles davon ist nicht von uns: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:01:41, on 25.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Programme\BOINC\boinc.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\BOINC\boinctray.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe c:\program files\avira\antivir desktop\avcenter.exe C:\Program Files\Avira\AntiVir Desktop\avscan.exe C:\Programme\SlimBrowser\sbrowser.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.wow-europe.com/de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [boinctray] "C:\Programme\BOINC\boinctray.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-861567501-776561741-839522115-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'boinc_master') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{341DBA35-7CE2-4338-9717-BB419EDA8382}: NameServer = 192.168.178.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BOINC - Space Sciences Laboratory - C:\Programme\BOINC\boinc.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe (file missing) O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe -- End of file - 6974 bytes |
Hi, der erste Ansatz wäre alle ungenutzen Programme deinstallieren. Dann unter Start->Systemsteuerung->Verwaltung->Eventmanager zu schauen was eigentlich diese Fehler beim Hochfahren verursacht. Dann haste mit Glück sogar schon einen Dateinamen mit dem du weitergooglen kannst. Ansonsten die Dateien, die gelöscht wurden googlen, da ergibt sich meist auch Information. Signaturen offline einspielen ist bei den allermeisten Programmen kein Problem. avira MBAM soweit ich weiß gmer würd ich noch mal drüberlaufen lassen und gucken was das so findet, vorher aber alle anderen Programme schließen. lg myrtille |
Ich teste das auch noch, mein Vater blockiert alles. Ich melde mich wieder. mfg Kai |
GMER 1.0.15.14944 - http://www.gmer.net Rootkit scan 2009-03-25 22:15:02 Windows 5.1.2600 Service Pack 2 ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- @myrtille Komm du bist doch der Pro, sach mal was dazu! |
Kommt schons chreibt noch irgendwas! Mein internetsüchtiger Vater benutzt den wieder als wäre nie was gewesen. Aber 100% sauber ist der PC noch nicht. Escan findet z.B. noch genug Zeugs. mfg Kai |
Ziehe ihm das Lan Kabel ;P Also das Gmer Log scheint gut auszuschauen. Wenn eScan noch was finden sollte, weg damit. vielleicht kannst du mal Malwarebytes drüber laufen lassen damit wir sehen, was so alles los ist. |
Zitat:
Escan findet zwar einiges, aber wie kann ich das bekämpfen? Das freie Programmm löscht ja nix mehr, und kaufen kann ich das nicht. Die anderen Scanner sind sauber. Spybot fand noch 2 Fehler.... keine Bedrohungen. mfg Kai |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board