Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wiederbefall Antispyware, Windows XP stürzt beim Booten ab (https://www.trojaner-board.de/96915-wiederbefall-antispyware-windows-xp-stuerzt-beim-booten-ab.html)

Ziu 28.03.2011 03:29
Wiederbefall Antispyware, Windows XP stürzt beim Booten ab
 
hi,

ich habe folgendes problem mit meinem windows xp, sp3:
vor einiger zeit habe ich bereits einmal hier gepostet, ich hatte antispyware als maleware auf meinem system. ich hab es irgendwie geschafft mein system scheinbar sauber und wieder funktionstüchtig zu kriegen.
gestern hat ein studienkollege bei mir etwas zu installieren versucht und dabei leider den antivir guard deaktiviert. innerhalb kürzester zeit wurde ich geflutet von falschen virusmeldungen von antispyware 2010 oder 2011. ich hab den pc sofort abgeschalten und extern mit mbam gereinigt. es wurde nach 3 durchläufen nichts mehr gefunden. allerdings hängt sich mein system beim booten auf. einmal kam eine fehlermeldung der system datei in system32\config.
abgesicherter modus und letzte konfig funktionieren auch nicht.
ich habe eine alte vollständige kopie der installationspartions auf die partition geschrieben und die vorhergehende gelöscht. immer noch das gleiche problem.
windows istallations cd funktioniert auch nicht. beim reparieren passiert nach dem booten nichts mehr.
komplette neuinstallation ist möglich, wär aber ungünstig und ich würds noch nicht machen, wenn sich das problem auch anders lösen ließe.

hat jemand tipps und ratschläge?

cosinus 28.03.2011 11:48
Zitat:
hat jemand tipps und ratschläge?
Sieht bei diesem defekten System eher schlecht aus IMHO. Aber man könnte es mit OTLPE probieren. Zuerst würde ich aber gern alle Malwarebytes-Logs sehen.

Ziu 28.03.2011 14:18
hey,
hab die logs hochgeladen. lief wie gesagt über mein notebook, deshalb ist E: die infizierte windowspartition meines standPC.

und ich hab ja die dateien in der windows partition über linux gelöscht und eine kopie von vor 2 wochen kopiert. zumindest von windows, den systemdateien, die volume information und die dokumente und einstellungen. also wenn an windows etwas verändert wurde, müsste es jetzt ja eigentlich wieder laufen.
aber wenn sich keine andere lösung ergibt, werd ich die partition komplett formatieren und die älteren ordner 1:1 kopieren versuchen.
sonst hab ich keine idee, wo der fehler stecken könnte.

cosinus 28.03.2011 18:31
Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
    Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von den Rechner mit defektem Windows von der OTLPE CD. Die Platte hast du ja zurückverbaut.
Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Ziu 29.03.2011 01:38
hab die datei erstellt. aber nach "load remote registry" wurde ich nicht gefragt

cosinus 29.03.2011 13:28
Zitat:
[2011/03/28 19:55:31 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011/03/28 19:55:31 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011/03/28 19:55:31 | 000,088,064 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011/03/28 19:55:31 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
Och nö, wer hat dir gesagt du sollst Combofix laufen lassen! :balla:
Wann wurde es ausgeführt, am 28.3., kurz bevor Windows zerstört wurde? :pfeiff:

Ziu 29.03.2011 13:54
ich hab combofix drüber laufen lassen, aber das war höchstens vor über zwei monaten. das genaue datum weiß ich nicht mehr. da hatte mir das ein freund geraten und das war bevor ich hier im board das thema dazu gelesen hatte.
seit meinem letzten absturz vor über zwei monaten, wozu ich auch hier einen beitrag verfasst hab (und das mit combofix erwähnt hab), habe ich aber definitiv kein combofix benutzt. darauf geb ich brief und siegel. warum auch immer da 28.3. steht, aber combofix lief da nicht.

nur wie sieht die sachlage nun aus?

cosinus 29.03.2011 16:43
Mach einen OTL-Fix über die OTLPE-CD => kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL von OTLPE): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/10/25 20:06:53 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010/01/31 00:06:03 | 000,000,000 | ---D | M] - E:\AutoCAD_2006 -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O4 - HKU\Martin_ON_C..\Run: [AntiVirus AntiSpyware 2011] C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AntiVirus AntiSpyware 2011\AntiVirus AntiSpyware.exe (Tech Software Ltd.)
O4 - HKU\Martin_ON_C..\Run: [AntiVirus AntiSpyware 2011 Security] C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AntiVirus AntiSpyware 2011\securitymanager.exe ()
O4 - HKU\Martin_ON_C..\Run: [AutoStartNPSAgent]  File not found
O4 - HKU\Martin_ON_C..\Run: [ICQ]  File not found
O4 - HKU\Martin_ON_C..\Run: [Ohitalebinurif] C:\WINDOWS\cacapg.dll (FileZilla Project)
O4 - HKU\Martin_ON_C..\Run: [SandboxieControl]  File not found
O4 - HKU\Martin_ON_C..\Run: [Skype]  File not found
O4 - HKU\Martin_ON_C..\Run: [WkXDBaBYglla.exe]  File not found
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ziu 29.03.2011 19:12
ich hoffe, das ist die richtige txt
windows stuerzt allerdings noch ab

cosinus 29.03.2011 19:23
Dann ist dein Windows tot. So aus der Ferne hab ich keine Idee mehr, wie man es noch wiederbeleben könnte.

Ziu 29.03.2011 19:54
ok, dann mach ich mich mal ans neu aufsetzen. danke für deine hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131