|
Viren erscheint nach Neustart immer wieder (setup.....) Hallo zusammen, ich habe mir vermutlich durch einen USB-Stick mehrere Viren eingefangen. Nach erfolgreicher Anti-Malware suche zeigte mir das Programm mehr als 15 Viren an, wo die Viren-Datei immer mit Setup und anschließend verschiedene zahlen anfing. Das Programm zeigte mir an, das sie gelöscht wurden. Aber danach geht mein Windows Defender auf und zeigt mir einen gefährlichen Virus/Trojaner mit dieser Beschreibung an: Gefährlicher Virus der Programme aus dem Internet herunter lädt. Nach löschen dieser Datei von Windows Defender zeigte mir das Programm den angeblich gelöschten Virus einige Minuten später erneut an. Jedes mal wenn ich eine Leere Cd ins Laufwerk lege, kommt erneut die Viren anzeige. Meine SD Handy Karte wurde auch schon halb zerstört durch die Viren. Ich bräuchte nun Hilfe dabei, ob der Computer immer noch von Viren betroffen ist, weil immoment zeigt AntiVir und Malware nichts an. Genauso wie gestern, nach der Anzeige das nichts auf dem Computer sei, kamen erneut diese Viren Meldungen. Würde mich freuen wenn mir einer helfen würde, den Computer zu kontrollieren. Mit HighJack oder ähnlichen. Mein Laptop hat Windows 7 (64Bit) Und eine 640 GB Festplatte. |
hallo, poste die genaue defender meldung bitte. öffne malwarebytes, logdateien, poste scan logs mit funden. |
Liste der Anhänge anzeigen (Anzahl: 1) Hier ist die Logfile meines vorletztens durchlaufs.. Angeblich sind die jetzt alle weg. Meine Ordner in den Eigenen Dateien kann ich auch nicht mehr öffnen, und in den eigenen Dateien ist seit dem auch eine MPEG Datei, die einfach nur X heißt, nach löschen stellt die sich immer wieder her, ist beides auf den Bild zu erkennen. gerade ist mir noch aufgefallen, jedesmal wenn ich nen stick oder ne cd öffnen möchte steht da das selbe wie auf dem bild zusehen ist, das die verknüpfung nicht gefunden wurde. |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Combofix-Logdatei erstellt. |
öffne mal computer c: qoobox rechtsklick quarantain und packen. dann hier hochladen: http://www.trojaner-board.de/54791-a...ner-board.html |
Müsste die richtigen Datei hochgeladen haben. |
ist das dein privater usb stick gewesen oder ein ausgeliehener? upload ist angekommen. |
Mein privater. Allerdings hat mir ein bekannter kurz vorher Lieder drauf gemacht, schätze mal das der daher kam. Wie sieht denn die auswertung aus? |
deaktiviere mal autorun: Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de schließe den stick an. öffne malwarebytes, update das programm. dann einen vollständigen scan ausführen, log posten. |
Liste der Anhänge anzeigen (Anzahl: 1) Den USB Stick habe ich schon formatiert. Dort sind keine Viren mehr drauf. Viren zeigt Malware auch nicht an. Allerdings kann ich in Eigene Dateien keine Ordner mehr öffnen: Bild |
bitte schreib mir die meldung mal als text auf. gut wenn der stick formatiert ist passt das. |
Das steht da: Xaiabox.exe wird gesucht. Klicken Sie auf "Durchsuchen", um selbst nach der Datei zu suchen. Xaiabox hab ich zwar gefunden, aber öffnen kann ich die Ordner trotzdem nicht. |
Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt |
Reporte im Anhang |
ist nur eins, falls zu groß packe es mit winrar oder zip und lads hoch |
Habe sie in 2 Logs geteilt. |
edit, sorry |
Gibt es eine möglichkeit, die Ordner wieder nutzen zu können? Und was ist mit den Trojanern in der Malware Quaratäne? Soll ich die einfach drin lassen oder löschen etc.? |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL [2011/05/14 12:11:46 | 000,274,432 | RHS- | M] () -- C:\Users\Basti\xaiabox.exe :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne computer, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
Datei hochgeladen. Folgendes kam bei dem OTL heraus: All processes killed ========== OTL ========== C:\Users\Basti\xaiabox.exe moved successfully. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Basti ->Flash cache emptied: 5289 bytes User: Default User: Default User User: Public Total Flash Files Cleaned = 0.00 mb [EMPTYTEMP] User: All Users User: Basti ->Temp folder emptied: 1957 bytes ->Temporary Internet Files folder emptied: 478248 bytes ->Java cache emptied: 10304108 bytes ->FireFox cache emptied: 176875066 bytes ->Flash cache emptied: 0 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public ->Temp folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 88064 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50568 bytes %systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 749 bytes RecycleBin emptied: 8020066 bytes Total Files Cleaned = 187.00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05152011_210104 Files\Folders moved on Reboot... C:\Users\Basti\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... |
klappt es jetzt wieder? |
DIe Viren sind noch nicht Weg. Ich habe soeben versucht ein Ordner in Eigene Dateien zu öffnen (Documents), schon kamen wieder diese anzeigen mit dem Setup(ZAHL).exe. Fast 15 mal musste ich klicken. Ich verstehe das nicht. Malware zeigt aber nichts an. Als ich auf den Ordner geklickt habe, kamen 3 neue Dateien kurzzeitig in den Ordner, wo direkt hinauf diese Meldungen kamen. Eine dazu gekommene Datei hatte das Icon von Adobe. Adobe habe ich jedenfalls schon deinstalliert und neu installiert. Daran liegt es schonmal nicht. Also muss irgendwo noch etwas sitzen, das die Virenmeldungen anzeigen, wenn ich auf ein Ordner in Eigene Dateien klicke. |
lade cureit: http://www.trojaner-board.de/59299-a...eb-cureit.html anders als beschrieben im normalen modus laufen lassen, erst mal den schnell scan, zum scannen trenne die internet verbindung, schalte alle aktieven programme ab. log, falls zu groß, packen und hochladen: File-Upload.net - Ihr kostenloser File Hoster! link posten. |
2 Trojaner wurden gefunden. 1 gelöscht und einer verschoben. Die 2 gefundenen Tojaner im log zu sehen: hxxp://www.file-upload.net/download-3436110/DrWeb.csv.html |
jetzt update mal drweb und mache nen kompletten scan, wieder die csv datei hochladen bitte. scan kann ne weile dauern, 3 4 stunden, also wenn du ihn nicht laufen lassen willst, scanne morgen. aber wie gesagt nach update. |
Der Laptop lief die ganze Nacht. Dr Web hat 25 Viren/Trojaner gefunden. Das Programm ist noch offen. Ich kann vor beenden des Programms jetzt aussuchen zwischen, Umbenennen, verschieben oder löschen. DrWeb Report: hxxp://www.file-upload.net/download-3437797/DrWeb.csv.html |
kannst du alle löschen. neustarten berichten wie das system läuft. |
es haben sich nur knapp die hälfte löschen lassen. Die Ordner kann ich auch noch nicht öffnen, da die Datei Xaiabox.exe immer noch "gesucht" wird. |
Lade SystemLook von jpshortstuff herunter und speichere das Tool auf dem Desktop. http://jpshortstuff.247fixes.com/SystemLook.exe Doppelklick auf die SystemLook.exe, um das Tool zu starten. user von windows seven und vista rechtsklick und als admin ausführen. kopiere ein: :filefind Xaiabox.exe Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten. download regsearch RegSearch suche nach folgendem string Xaiabox log posten. |
folgendes kam raus: systemLook hxxp://www.file-upload.net/download-3438195/SystemLook.txt.html Reg hxxp://www.file-upload.net/download-3438198/RegSearch.rar.html |
start ausführen regedit enter datei speichern unter, registry exportieren, speichere sie dort, wo du sie leicht wieder findest. navigiere zu: [HKEY_USERS\S-1-5-21-1274343201-2229247911-782439098-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] lösche auf der rechten seite: "C:\\Users\\Basti\\Desktop\\xaiabox.exe"="xaiabox" navigiere zu: [HKEY_USERS\S-1-5-21-1274343201-2229247911-782439098-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] lösche auf der rechten seite: "C:\\Users\\Basti\\Desktop\\xaiabox.exe"="xaiabox" schließe den reg. editor und probiere noch mal ne datei zu öffnen. |
Zitat:
|
sorry, ich meinte datei, exportieren und dann speichern. |
Der 2. xaiabox eintrag ist nicht zu finden. Konnte nur den ersten löschen. Dateien öffnen sich nicht. |
dann hab ich auch langsam keine idee, dann eben daten sichern und neu aufsetzen. anleitung zum absichern gebe ich dir, falls erwünscht, ebenfalls zum formatieren. |
Würde mich freuen, wenn du mir eine Anleitung zum Daten sichern und zum neu aufsetzen/formatieren gibst. |
vorbereitung: deaktiviere autorun. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de dann schließe deine externe platte an und kopiere: dokumente bilder persönliches. nichts aus tausbörsen, keine keygens cracks etc. formatieren. nutzt du eine windows cd, recovery cd oder recovery partition? |
Ich benuze eine Original Windows 7 home edition Cd. OEM version |
ok, wie du daten sicherst steht ja oben, wenn fertig bescheid sagen. |
Hab alles neu installiert, auch windows 7. Autorun wieder aktivieren? |
autorun ist doch standard mäßig aktieviert? poste mir bitte erst mal ein neues otl log. autorun bleibt aber in zukunft aus, damit wir diesen infektionsweg nicht mehr haben. nach otl poste ich dir, wie du weiter absicherst. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board