![]() |
Computer startet nicht nach Entfernung von Windows Recovery Virus hi, hier gibt es ja schon eine Menge zu dem Thema "Windows Recovery". Ich habe jetzt folgendes Problem und bisher noch nichts dazu bei meiner websuche gefunden. Ich habe/hatte auf meinem Rechner das Windows-Recovery-Problem, wie in diesem Thread beschieben: http://www.trojaner-board.de/96741-w...entfernen.html (der computer ließ sich noch starten) Ich habe dann mit einem anderen Rechner (von dem ich jetzt auch schreibe) rkill und malwarebytes downgeloadet, umbenannt, auf cd gebrannt, auf dem infizierten rechner wie im thread beschrieben ausgeführt. (mehrmals rkill, dann unsichtbare dateien sichtbar gemacht (war dann alles wieder da), dann malwarebytes installiert, rechner wieder ans i-net angeschlossen (hatte ich zur sicherheit getrennt), geupdatet, vollen scan gemacht und dann alle Bedrohungen entfernt. (im log stand überall, dass es erfolgreich war)) Nun sollte ich zum endgültigen entfernen neu starten, was ich bestätigt habe. Seitdem startet der computer nicht mehr. Er lädt bis zum Windows-Bildschirm mit dem Balken (windows xp englisch), und sartet dann neu. Dann kommt die auswahl, wo man die verschiedenen abgesicherten modi ... wählen kann. Egal, welchen ich auswähle, der rechner startet neu. bei safe mode, safe mod network und safe mode command prompt -> ohne windows bild bis ....\drivers\Mup.sys, dann restart bei last known good und normally bis Windows bild - 2 kleine balken, dann ganz kurzer bluescreen, dann restart. ich hoffe, ihr könnt mir helfen - schon mal danke für eure mühe grüße |
Kommst du an die Logs von Malwarebytes ran? Wenn ja bitte alle posten! |
hi, über das installierte windows nicht, da das ja in keinem der Modi startet. Ich hatte überlegt, ob ich die windows-reparatur-option von der windows cd drüber laufen lasse. Vorher werd ich aber erst mal versuchen, mit diesem ubuntu aus deiner signatur meine Daten zu sichern. Wenn ich damit Zugriff auf die Festplatte habe, werd ich gleich mal nach einer solchen logdati ausschau halten. Würden die Logs denn helfen, wenn das system ohnehin nicht von allein startet? Da muss ja dann eh was repariert werden. (aber ich frage zu viel :) ich werd erst mal nach den Logdateien sehen) Auf jeden Fall danke für deine schnelle Antwort. grüße |
Mit OTLPE kriegen wir es vllt noch hin. Einen Zweitrechner mit funktionstüchtigem Windows hast du ja. Von dort aus kommst du auch an die Log von Malwarebytes ran. XP => Dokumente und Einstellungen/NAME/Anwendungsdaten/Malwarebytes/Malwarebytes' Anti-Malware/Logs Vista und 7 => Users/NAME/AppData/Roaming/Malwarebytes/Malwarebytes' Anti-Malware/Logs ein anderer Ort ist auch möglich => /ProgramData/Malwarebytes/Malwarebytes' Anti-Malware/Logs Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
|
hi, kann ich die otl.txt auch mit der reatogo-platform auf nen usb-stick ziehen oder sollte ich dafür wieder ubuntu benutzen? die OTL.Txt hab ich unter c: Eine extras.txt gibt es aber nicht unter c: grüße |
hi, hab jetzt nochmal auf ubuntu gewechselt und die otl.txt rübergeholt. Beide dateien (malwarebytes-log und otl-log) poste ich hier im anhang. grüße |
Zitat:
Ich hab dir so eine volsnap mach hochgeladen, ist von meiner WinXP-Installation => File-Upload.net - volsnap.sys Übertrage sie über Ubuntu oder OTLPE in den Ordner c:\WINDOWS\system32\drivers Dann sollte dein Windows eigentlich normal wieder starten. |
hi, juhuuuu - vielen dank - windows startet wieder. Was sollte ich als nächstes tun? Meine Dateien und Ordner sind noch unsichtbar. Bei meiner Recherche am Anfang hab ich hier im Forum irgendwas mit unhide gelesen. Sollte ich das machen, oder erst noch was anderes? grüße |
Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif Erstell auch frische OTL-Logs aus dem laufenden Windows heraus und poste sie. |
hi, bevor ich jetzt nochmal irgendwas auf dem rechner ausführe hab ich erst mal noch ne frage: gestern hat ja Windows wieder gestartet, heute jedoch nicht mehr - wieder das gleiche problem - habe dann nochmal deine volsnap.sys per ubuntu kopiert (die fehlte tatsächlich - beim ersten mal war sie irgendwie noch da, aber nicht als sys-datei (unbekannte dateiendung, als ich die über ubuntu anklicken wollte)) und nun war der Start wieder erfolgreich. (hab ubuntu nicht wie empfohlen auf einfachklick eingestellt, weil ich doppelklick gewohnt bin - einfachklick wählt dann ja nur die datei aus) Gestern hatte ich nichts weiter mit dem rechner gemacht, bis auf malwarebytes-scans und update und noch nen scan - hat jedes mal nichts gefunden. Interessanterweise hat aber malwarebytes noch ne riesen liste unter dem tab quarantäne. Zudem gab es ab und zu ne Fehlermeldung. Momentan war ich mit dem Rechner per IE in diesem Thread und habe unhide.exe downgeloadet. Da hat sich nen neues Fenster mit webinhalt geöffnet, was auf meinem laptop nicht der fall war. Bisher hat AVG auch 2 Bedrohungen gemeldet (sieht zumindest so aus (Infektion: Exploit: Blackhole Exploit Kit (type 2002))). Bisher hab ich aber noch keinen AVG-Scan durchgeführt, da das ja vorher auch nicht geholfen hat. edit: mir ist noch was aufgefallen: auf dem Desktop ist ne (unsichtbare) Datei (wie ja alles andere auch) namens "windows recovery". Zudem hab ich im Taskmanager die Prozesse PnkBstrA.exe und PnkBstrB.exe entdeckt. Ich weiß zwar, dass Punkbuster bei diversen Spielen läuft, aber ich kann mich nicht erinnern, das mal außerhalb von Spielen im Taskmanager unter Prozesse gesehen zu haben - kann mich da aber auch irren. grüße |
Zitat:
Zitat:
Windows startet jetzt immer wieder normal oder nicht? Bitte im laufenden Windows dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html |
hi, hab den TDSSKiller-Log angehangen. Auch den zweiten log von malwarebytes (den ersten hatte ich ja schon - oder soll ich immer wieder alle posten?) Nach TDSS-Kill restart hat windows gestartet. Ich vermute, dass Malwarebytes die volsnap nochmal gelöscht hat, weil die noch in der quarantäne liste steht. vom AVG hab ich nichts sinnvolles gefunden, was ich posten könnte - ich hab ja auch seitdem keinen scan gemacht - es ist nur eine Bedrohung in nem Fenster gemeldet worden - aber ich such nochmal. Ich schreibe grad vom dem Rechner. Während vor TDSSKill der IE oft abgestürzt ist, läuft es momenten (zumindest) ohne Störung. grüße |
Zitat:
|
hi, hab ich gemacht - hat nix weiter gefunden. grüße |
Dann sollte das Problem mit der volsnap behoben sein. Poste bitte frische OTL-Logs, diese aus dem laufenden Windows heraus erstellen: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
hi, irgendwie hab ich das Bedürfnis, mich mal wieder zu bedanken - also danke vielmals für deine Hilfe. OTL-Scan ist fertig - Dateien hab ich angehangen. grüße |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
hi, zuvor hab ich noch 2 Fragen: soll ich die xxxxxx im code für den otl-fix ("C:\Documents and Settings\xxxxxxx\Desktop\Windows Recovery.lnk") wieder durch meinem Namen ersetzen? Ich bekomme AVG 9 irgendwie nicht deaktiviert (ich finde die Möglichkeit dazu einfach nicht). Rechtsklick auf das tray-icon hat eine solche option nicht. Ich könnte bei den erweiterten Einstellungen einzelne Teile wie z.B. den residenten schutz deaktivieren - reicht das? grüße |
Zitat:
Zitat:
|
hi, ich hatte zwischenzeitlich schon das mit dem xxxxxxx -austauschen als sinnvoll erachtet und gemacht. Auch habe ich gegoogelt, was man bei AVG deaktivieren sollte und dies getan. Dann habe ich den Fix ausgeführt. (log habe ich beigefügt (.log in .txt geändert und wieder xxxxxxx eingesetzt)) AVG werde ich gleich mal deinstallieren. Was würdest du denn als Alternative empfehlen? Ist z.B. Kaspersky Internet Security 2011 gut? Das wurde mir empfohlen. grüße |
Zitat:
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
hi, hab Ccleaner und cofi entsprechend der anleitung durchgeführt. Inzwischen ist auch nichts mehr unsichtbar, obwohl ich ja unhide noch nicht ausgeführt hatte. grüße Code: ComboFix 11-04-17.03 - xxxxxxx 18.04.2011 22:30:00.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
hi, hab alle drei logs angefügt. grüße |
Sieht unauffällig aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
hi, superantispyware hat was gefunden. Hab die beiden Logs angefügt. malwarebytes hat immer noch dateien in der quarantäne - soll ich die löschen? grüße |
Zitat:
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. |
hi, naja - hab ne grobe Vorstellung, was Quarantäne sein könnte - aber eine Liste mit infizierten Dateien macht mich eben nervös :) Die systemwiederherstellung hab ich deaktiviert. grüße |
Ok- Rechner soweit wieder ok oder noch Probleme offen? |
hi, hmm - moment fällt mir nix weiter ein. Hab die für scans installierten programme wieder entfernt und Microsoft Security Essentials installiert. Hab euch mal ne Kleinigkeit gespendet. Vielen vielen Dank nochmal. grüße |
Zitat:
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
hi, gestern abend hatte ich wieder das windows recovery fenster auf dem comuter. Microsoft Security Essentials hat nicht mal irgendwas gemeldet. Beim letzten Mal hatte ich ja AVG - das hatte einiges gemeldet, konnte es aber nicht entfernen. Könntest du mir bitte noch mal helfen? Während des Scans von Malwarebytes öffnet sich ab und zu ein Microsoft Security Essentials Fenster und möchte eine Bedrohung entfernen. Was soll ich denn tun, wenn so ein Fenster aufgeht, während Malwarebytes lauft? Bisher habe ich immer auf "Bereinigen" geklickt. Ab und zu startet der Internetexplorer ohne mein Zutun. grüße |
Zitat:
|
hi, ich hatte die liste eigentlich abgearbeitet. Aber wenn ich mir die Liste jetzt nochmal ansehe, kommt es mir so vor, als ob ich nicht alles gemacht habe. (hab z.B. IE und Firefox und kann mich nicht erinnern, für den firefox was geupdatet zu haben) Ich werd wohl alles neu aufsetzen. (hoffe das geht glatt) :) Spricht was dagegen, dbx-dateien von outlook express zu sichern oder können da viren enthalten sein? Wie kann ich denn sicher gehen, dass meine gesicherten Daten sauber sind? Reicht es, die mit ubuntu zu kopieren oder sollte man die nochmal mit irgendnem programm prüfen? grüße |
Zitat:
|
hi, werd ich probieren, wenn ich meine bisherigen mails dort importiert bekomme. edit: import ging - na dann nehm ich den :) grüße |
Windows-Recovery hast du jetzt aber wegformatiert? :D |
hi, jep - jetzt ja - den import hatte ich vorher auf dem laptop getestet, weil mir die mails am wichtigsten waren. Als das ging hab ich den befallenen computer neu aufgesetzt (formatiert). grüße |
Ok. Denk jetzt mal rechtzeitig an die Updates, siehst ja wie fies die Lücken ausgenutzt werden, selbst direkt nach der Bereinigung :pfeiff: |
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board