|
nach secure alert meldungen vermutlich weitere probleme! guten tag an alle! ich hatte vor 2 tagen ca. das gleiche problem wie schon öfter in diesem forum beschrieben wurde. (es wurden andauernd system alert und windows security alert meldungen angezeigt. auch ein fenster in dem stand ich hätte irgendeinen wurm.) durch dieses forum habe ich es geschafft die meldungen und bösartigen dateien zu entfernen. allerdings bezweifel ich stark das das alles war, denn seit dem kann ich mein kaspersky nicht mehr öffnen und es wird auch nicht in der leiste unten rechts angezeigt wie sonst immer. habe dann kaspersky deinstalliert und eine aktuellere version aufgespielt (kav10). auch die lässt sich nicht öffnen. dann habe ich antivir installiert...auch antivir lässt sich nicht öffnen! (aber immerhin kann ich c: über rechtsklick mit antivir überprüfen lassen...antivir findet aber nichts ungewöhnliches)...auch das programm Malwarebytes' Anti-Malware lässt sich zwar installieren aber nicht öffnen. habe dann noch versucht auf einen früheren wiederherstellungspunkt zu setzen, aber auch da passiert gar nichts...solangsam verzweifel ich und glaube das sich da was fettes auf meinem laptop breit gemacht hat..habe übrigens win xp; sp3 und nicht viel erfahrung mit viren, trojanern und co. ich hoffe wirklich sehr das mir jemand helfen kann! für die mühe sage ich schonmal vielen dank im vorraus! |
Hallo und :hallo: Ohne Logs läuft nichts! :D Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
danke für deine antwort schonmal...also hier ist die log h**p://www.file-upload.net/download-2123259/hijackthis.log.html hoffe das sie dir was bringt... |
Das ist das falsche Logfile, das ist nur von hijackthis. Ich brauchte die von RSIT und Malwarebytes! |
sorry, das wusste ich nicht! also hier ist die log von rsit h**p://www.file-upload.net/download-2123297/rsit.rar.html malwarebytes kann ich wie beschrieben leider nicht öffnen... |
Malwarebytes geht nicht? Dann lade dir mal Lop S&D herunter. Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus. Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!! Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen). |
ne malwarebytes hat sich zwar installieren lassen, aber kann nicht geöffnet werden...habs mehrmals versucht, aber hier nun die log von lop s&d h**p://www.file-upload.net/download-2123383/lopR.txt.html |
Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Ich habe jetzt den avenger ausgeführt, aber ist das normal das mein Rechner schon zum 12 mal jetzt versucht neuzustarten allerdings immer nur zum ladebildschirm kommt und dann wieder Neustadter? Bin jetzt mit meinem Handy online... |
Kommst Du noch in den abgesicherten Modus? |
ich konnte jetzt die zuletzt funktionierende konfiguration starten oder wie das heißt...jedenfalls läuft der laptop jetzt wieder, aber der avenger hat sich nicht mehr gemeldet....wie gesagt, ich hab alles so ausgeführt wie du beschrieben hattest und dann hat der sich zu tode geladen ne halbe std ca bis es mir komisch vor kam... |
kaspersky und antivir funktionieren ja bei mir warum auch immer nicht, aber laut tune up utilities werden beide programme mitgestartet beim hochfahren. soll ich den programmstart der beiden verhindern also den haken raus nehmen und dann den avenger nochmal ausprobieren oder meinst du das hat damit nichts zu tun? |
Findest Du einen Ordner c:\avenger und eine Datei c:\avenger.txt vor? |
hmmm negativ, es existiert kein avenger ordner :heulen: |
Startet Malwarebytes immer noch nicht? :confused: Wenn nicht wagen wir mal einen Durchlauf mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
So, bin mal wieder mit'm Handy online. Combofix habe ich ausgeführt, dann wollte das prog einen Neustart machen, aber seit ca. 30 min hängt der Rechner am ladebildschirm von windows... Oder ist das normal weil das prog irgendwas macht? |
Also diesmal geht nichts mehr außer der abgesicherte Modus. Wenn ich normal hochfahren will dann bleibt der Computer beim ladebildschirm und weiter geht's nicht. Was kann ich machen damit mein Rechner wieder hochfährt? Hilfe ;) |
Ich bräuchte mal bitte hilfe! Mein Rechner fährt nicht mehr hoch wegen combofix... :( |
Oje, das kommt äußerst selten vor, dass CF den normalen Start kaputtmacht :( Schau mal im abgesicherten Modus nach dem Combofix-Logfile, das brauch ich. |
Es gibt zwar einen combofix Ordner, aber ich finde keine logfile...wie könnte die denn heißen? |
C:\ComboFix.txt. - oder isses nicht vorhanden? :eek: |
Unter c: in dem cofi Ordner sind recht viele dateien vorhanden...298 um genau zu sein aber keine mit .txt... Was soll ich machen, den ganzen cofi Ordner mal löschen? |
Ergänze: es gibt eine pend.txt im cofi Ordner und ich kann malwarebytes ausführen |
Normalerweise landen von CF gelöschte Dateien in den Ordner c:\Qoobox und bekommen eine entschräfte Endung *.vir verpasst... :o Ich nehm mal an, dass im cofi-Ordner die Dateien von CF selbst drin sind. Hast Du eine Windows-Installations-CD da? |
Nein hab keine installations cd da leider. Allerdings habe ich den Ordner gefunden den du meinst und in dem quarantine Ordner sind auch ein paar Dateien unter c-Windows-System32...da sind 4 Dateien mit der Endung .vir |
Also ohne Windows-CD wirds ganz schwierig Windows zu reparieren - Du kannst Dir auch keine leihen? :balla: |
Hmm ich kenne jetzt so spontan niemanden hier der Windows xp Home auf cd hat...kannst du mir vllt per pn deine Nummer Sensen das ich dich anrufen kann? Das würde vieles erleichtern... |
Sry, per Telefon mach ich das nicht :D Das würde eine XP-CD eh nicht ersetzen. Wir nutzen das Forum! Wie wurde der Rechner installiert ohne CD? Oder hast Du sie verloren? |
Ok...also Windows xp war bei mir schon drauf soweit ich mich erinnere! Habe eben mal im abgesicherten Modus eine systemwiederherstellung probiert aber der systempunkt konnte nicht genutzt werde oder so. Jetzt lasse ich malwarebytes gerade scannen und das prog hat 88 Sachen gefunden. Naja, beheben kann ich es glaube ich eh nicht weil ich es dazu kaufen müsste oder? Ich weiß echt nicht mehr weiter :( |
In den normalen Modus kommst Du trotzdem nicht rein oder? Poste bitte das letzte Logfile von Malwarebytes mit den 88 Funden. |
Nein ich komme nur in den abgesicherten Modus leider. Ich weiß nicht wie ich das logfile Posten soll, bin ja die ganze Zeit mit meinem Handy online. Im abgesicherten Modus komm ich nicht ins internet... |
Probier den abgesicherten Modus mit Netzwerktreibern. |
Also in dem abgesicherten Modus mit netzwerktreibern bekomme ich auch keine internetverbindung hin. Muss jetzt versuchen die txt Datei anders hochzuladen oder gucken das heut Abend jemand mit Laptop vorbeikommt... |
Hast Du keinen USB-Stick :balla: Sry, Denkfehler, mit nem Stick kannst Du ja nichts auf Dein Handy übertragen :D Aber auf einem anderen Rechner. |
so, bin jetzt an nem anderen rechner endlich---hier die datei http://www.file-upload.net/download-2128787/mbam-log-2010-01-04--13-16-24-.txt.html hoffe sehr das das hilft :(:(:( |
Kannst Du mal im Ereignisprotokoll nachsehen, ob man sachdienliche Hinweise zum fehlgeschlagenen Boot des normalen Modus findet? :o Probier bitte nochmal im abgesicherten Modus einen Durchlauf mit RSIT und poste beide Logs. |
wo finde ich denn das ereignisprotokoll?:rolleyes: ok poste das von rsit gleich...wenns klappt |
Ereignisprotokoll => Start, Ausführen => eventvwr.msc eintippen und ausführen |
so, hier sind erstmal die 2 txt dateien ---> http://www.file-upload.net/download-2128935/Archive.rar.html und bei dem ereignisprotokoll lässt sich bei der ereignisanzeige-->system ziemlich viel sehen was fehler angeht (rote x´e) ...meistens von DCOM oder service control manager...aber ich hab da ja absolut keine ahnung von :rolleyes: |
Da ist noch was vom H8SRT-Rootkit :( Bitte mal den Avenger anwenden - ich hoffe das klappt auch so im abgesicherten Modus :o Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: drivers to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Das mit dem copyboard beim avenger musste ich allerdings manuell machen! Geht ja nicht anders. Aber jetzt versucht der Rechner die ganze Zeit neuzustarten, aber er kommt nicht weiter als bis zum ladebildschirm von windows und dann versucht er es immer wieder neu... |
Geht jetzt nicht mal der abgesicherte Modus? :eek: |
Der geht noch ja |
Avenger txt habe ich auch gefunden unter c und da steht: nö rootkits Found! Driver h8srtd.sys deleted successfully... |
Mach ich ja nur ungern, aber wir sollten CF abwürgen :( Im abgesicherten Modus diese Einträge fixen, falls noch vorhanden: Zitat:
|
Wie fixe ich die denn? Mit hijackthis? Hab das noch nicht gemacht glaube ich |
Oh, sry sollte ich erklären :D HJT starten => Do a system scan only => entsprechende Einträge markieren (haken davor setzen) => unten auf Button "fix checked" klicken, Abfrage bestätigen Hier ein Beispiel: http://img138.imageshack.us/img138/363/hjt6wx4.jpg |
Ok hab ich gemacht! Und jetzt nen Neustart wagen? |
Kommt nur bis zum ladebildschirm wieder :( |
Tja :( Da weiß ich leider so aus der Ferne auch nicht mehr weiter, wie ich den Rechner überreden kann, wieder in den normalen Modus zu fahren. :o Möchtest Du noch weiter "rumdoktorn" oder lieber Daten sichern und neu aufsetzen bzw. eine Reparaturinstallation probieren? |
Hmm...ich weiß auch nicht mehr weiter! Wie würde das mit der reperaturinstallation funktionieren? Die Daten gehen dann wahrscheinlich alle verloren und deswegen sollte ich mir die wichtigen Dinge auf meine externe ziehen oder? |
Ja, vor solchen Eingriffen immer Daten sichern. Daten sollten eh immer gesichert unabhängig davon ob man solche Eingriffe macht oder nicht. Wer kein backup macht hat selber schuld :balla: |
Das stimmt wohl und gleich sichere ich auch die wichtigsten Daten. Und wie gehe ich dann weiter vor? |
Von der Windows-XP-CD booten, EINGABETASTE für Installation, wenn eine Windows-Installation gefunden wird, Reparatur auswählen. ESC für Neuinstallation wenn Du komplett neu anfangen willst, es kann sein, dass Du mit der Reaparaturinstallation immer die gleichen Probleme vor Dir herschiebst, darum kann ein komplett neuer Anfang sinnvoller sein. |
Wo wir wieder beim Thema xp-cd wären... Die habe ich ja leider nicht weil das System schon drauf war beim Kauf des Laptops... |
Dann siehts nicht so gut aus. Waren auch keine Recovery-Medien dabei? Bei vielen Rechner "von der Stange" mit vorinstalliertem Windows muss man sich Recovery-Medien brennen. Wenn das nicht mehr geht, musst Du Dir andersweitig welche besorgen, beim Support des Herstellers anfragen (kann was kosten) oder ganz einfach eine CD von einem Bekannten leihen. |
Doch ich erinnere mich an so eine Recovery cd von Toshiba, ich such die auch schon wie verrückt. Das muss ja auch die für meinen Laptop sein...ne andere von einem anderen Modell bringt mir glaube ich nichts... |
Ne stinknormale XP-CD müsste auch gehen. Nur musst Du nach der Installation viele Treiber manuell herunterladen + installieren :balla: |
auch mit einer recovery cd wars erfolglos...blue screen! jetzt hab ich mir nen neuen laptop gekauft. war sowieso an der zeit ;) ...trotzallem vielen dank für deine hilfe und mühe und ich hoffe das die anderen die das gleiche problem haben besser damit klar kommen und diese malware entfernen können! |
Hm also da muss man schon von einem Hardware-Defekt ausgehen, wenn die passende Recovery-CD nichtmal mehr will :( Hätten wir das alles vorher gewusst hääte Dir ganz am Anfang gesagt "Kauf Dir nen neuen Rechner" aber dann hättest Du mir wahrscheinlich den hier :lmaa: gezeigt :D :lach: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board