Hallo,

es fing alles damit an, dass mein PC sich einen Virus eingefangen hatte, bei dem nach kuerzer Zeit ein Bluescreen erschien. Ich habe versucht Antivir zu installeieren, konnte aber nicht, weil die Setup Datei verändert wurde.
Danach kam der Bluescreen noch bevor ich in den Windows reinkam, so dass ich nur noch über den Abgesicherten Modus reinkam.
Gestern hatte ich die Idee Windows auf eine andere "Übergangsfestplatte" zu installieren. Habe ich dann auch gemacht, danach habe ich Antivir auf diese installiert und meine eigentliche Festplatte wurde dann zum Laufwerk E. Habe einen Scan auf das Laufwerk E gemacht, bei dem ca. 1200 Dateien gefunden wurden. Habe alles gelöscht und dachte, dass die Festplatte wieder fit wäre.

So, jetzt habe ich folgendes Problem: Wenn ich jetzt mein PC mit der Festplatte starte, die infiziert war, komme ich nicht mehr in den Windows, weder normal, noch im Abgesicherten Modus. Nachdem ich mein Benutzername und Password eingebe, werden die Benutzereinstellungen geladen, doch dann erfolgt sofort die Abmeldung und ich komme wieder auf die Stelle wo ich Benutzername und Password eingeben muss. Wenn ich den PC mit der Übergangsfestplatte starte, ist meine eigentliche Festplatte als Laufwerk E vorhanden, wenn ich aber drauf doppelklicke kommt die Meldung resycled\boot.com konnte nicht gefunden werden.


Kann mir jemand bitte helfen?

Danke im Voraus.

Hallo und

Stecke alles, das du jemals mit dem Computer verbunden hast, wie Kamera, Handy, Speicherkarten, Memorysticks, externe Laufwerke, ... vor dem nächsten Scan an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Danke für die Antwort. Hier ist der Bericht vom ComboFix Dingens. Mein Windows ist auf französich, falls Sie kein französisch verstehen und etwas übersetzt bekommen wollen, werde ich selbstverständlichen für Sie übersetzen. Also:

ComboFix 09-04-25.A1 - Mikael 25/04/2009 19:43.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.2047.1780 [GMT 2:00]
Lancé depuis: c:\documents and settings\Mikael\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Autorun.inf
E:\resycled

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-25 au 2009-4-25 ))))))))))))))))))))))))))))))))))))
.

2009-04-25 13:01 . 2009-04-25 13:01 -------- d-----w c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-04-25 13:00 . 2009-04-25 13:00 -------- d-----w c:\documents and settings\Mikael\Application Data\SUPERAntiSpyware.com
2009-04-25 12:38 . 2009-04-25 12:38 -------- d-----w c:\documents and settings\Mikael\Application Data\Malwarebytes
2009-04-25 12:38 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-25 12:38 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-25 12:38 . 2009-04-25 12:38 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-25 09:51 . 2009-04-25 09:51 -------- d-----w c:\documents and settings\Mikael\Local Settings\Application Data\Identities
2009-04-25 02:02 . 2009-04-25 00:18 237 ----a-w c:\windows\system32\$winnt$.inf

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-25 16:32 . 2009-04-25 16:32 -------- d-----w c:\program files\CCleaner
2009-04-25 13:00 . 2009-04-25 13:00 -------- d-----w c:\program files\SUPERAntiSpyware
2009-04-25 13:00 . 2009-04-25 13:00 -------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2009-04-25 12:38 . 2009-04-25 12:38 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-25 00:31 . 2009-04-25 00:31 -------- d-----w c:\program files\Avira
2009-04-25 00:31 . 2009-04-25 00:31 -------- d-----w c:\documents and settings\All Users\Application Data\Avira
2009-04-25 00:25 . 2002-08-30 12:00 48616 ----a-w c:\windows\system32\perfc00C.dat
2009-04-25 00:25 . 2002-08-30 12:00 367658 ----a-w c:\windows\system32\perfh00C.dat
2009-04-25 00:17 . 2009-04-25 00:17 -------- d-----w c:\program files\microsoft frontpage
2009-04-25 00:17 . 2009-04-25 00:17 558142 ----a-w c:\windows\java\Packages\01ZZVBLN.ZIP
2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\VL31NXZR.DAT
2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\KRVTB13Z.DAT
2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\4OC8TBTJ.DAT
2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\3X797N3V.DAT
2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\0CAZN177.DAT
2009-04-25 00:17 . 2009-04-25 00:17 155995 ----a-w c:\windows\java\Packages\CHN1RVF3.ZIP
2009-04-25 00:16 . 2009-04-25 00:16 70691 ----a-w c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-04-25 00:14 . 2009-04-25 00:14 21892 ----a-w c:\windows\system32\emptyregdb.dat
2009-04-25 00:13 . 2009-04-25 00:13 -------- d-----w c:\program files\Services en ligne
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-30 13312]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-30 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\program files\SUPERAntiSpyware\SASWINLO.dll

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\System32\drivers\mbamswissarmy.sys [2009-04-06 38496]
S0 avgntmgr;avgntmgr;c:\windows\SYSTEM32\DRIVERS\avgntmgr.sys [2009-02-13 22360]
S1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2009-02-13 45416]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]

.
.
------- Examen supplémentaire -------
.
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-25 19:44
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(504)
c:\windows\System32\ODBC32.dll
c:\program files\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(560)
c:\windows\system32\MSVCRT40.dll
c:\windows\system32\MSVCIRT.dll
c:\windows\System32\dssenh.dll
.
Heure de fin: 2009-04-25 19:45
ComboFix-quarantined-files.txt 2009-04-25 17:45

Avant-CF: 75*782*270*976 octets libres
Après-CF: 75*800*178*688 octets libres

100



Jetzt komm ich wieder mit einem Doppelklick auf die Festplatte, an der Stelle schon mal vielen Dank. Jetzt habe ich aber ein weiteres Problem, und zwar dass, wenn ich in den Ordner E:\Dokumente und Einstellungen\Administrator gehen will, kommt folgende Meldung: E:\Dokumente und Einstellungen\Administrator ist nicht verfügbar. Zugriff verweigert.

Zitat:

Zitat von stonecold285

Hallo,

So, jetzt habe ich folgendes Problem: Wenn ich jetzt mein PC mit der Festplatte starte, die infiziert war, komme ich nicht mehr in den Windows, weder normal, noch im Abgesicherten Modus. Nachdem ich mein Benutzername und Password eingebe, werden die Benutzereinstellungen geladen, doch dann erfolgt sofort die Abmeldung und ich komme wieder auf die Stelle wo ich Benutzername und Password eingeben muss. Wenn ich den PC mit der Übergangsfestplatte starte, ist meine eigentliche Festplatte als Laufwerk E vorhanden, wenn ich aber drauf doppelklicke kommt die Meldung resycled\boot.com konnte nicht gefunden werden.

Das ist ein ganz bekannter Virus und ich habe dazu auf meiner Website eine Anleitung erstellt.

Ich wünsche dir viel Erfolg!
mischaccc

P.S. Falls du weitere Fragen haben solltest, melde dich bitte. Gegebenfalls kann ich dir nur noch mit einem Eingriff helfen.

Das mit resycled... hat sich bereits erledigt, danke trotzdem. Ich komme jetzt ins laufwerk rein mit einem Doppelklick. Aber vieleicht könntest du mir bei diesem Problem helfen: wenn ich den Ordner E:\Dokumente und Einstellungen\Administrator öffnen will, bekomme ich folgende Meldung (aus dem französischen übersetzt): E:\Dokumente und Einstellungen\Administrator ist nicht verfügbar. Zugriff verweigert.
Ich bin hier Kein Zugriff auf "Dokumente und Einstellungen" - administrator mal nachschauen gegangen, aber bei mir funktioniert das nicht, weil bei mir nix von sicherheit steht...ich habe windows xp home edition und nicht professional, vieleicht liegt es daran...
Wäre schön wenn mir dabei geholfen werden könnte.

EDIT: "Auf E:\Dokumente und Einstellungen\Administrator kann nicht zugegriffen werden. Zugriff verweigert." heißt es in der deuteschen Version.

1.) Start => Ausführen => combofix /u => OK

2.) Deinstalliere SuperAntiSpyware

3.) Klick in meiner Signatur auf "Für alle Neuen" und arbeite die komplette Liste unter Punkt 2 ab.

Danach werde ich mich um die anderen Probleme kümmern.

ciao, andreas

Beim CCleaner soll mann bei Registry ja solange nach Fehlern suchen und diese beheben bis keine Fehler mehr gefunden werden. Am Schluss meldet das Dingen aber immer den selben Fehler: Ungenutzte Datei-Endungen. Soll ich trotzdem weitermachen oder schauen wie ich diesen Fehler loswerde?

Wenn du das ganze 5mal getan hast, dann weiter mit der Liste.

ciao, andreas

OK hab' ich gemacht. Jetzt ist Anti-Malware am scannen. Kann ich in der Zwischenzeit schon mal HijackThis runterladen und installieren oder soll ich warten bis der Scan abgeschlossen ist? Denn der Scan dauert noch ein ganzes Weilchen...

Kannst du parallel erledigen. Das gilt auch für Punkt 2d.

ciao, andreas

So, hier ist der logfile vom HijackThis.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:55, on 25/04/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2275 bytes
         

Jetzt weiß ich jedoch nicht welche ich fixen soll und welche nicht.

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Zitat:

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

1.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
         

=> Fix checked

2.) Installiere:

• Downloaddetails: Windows XP Service Pack 3
• Internet Explorer*7 - Übersicht

3.) Neues HJT-Log posten.

ciao, andreas

LOL

Wie gesagt, das ist nur ne Übergangslösung. Will nur an die Daten kommen die im Admin Ordner sind, deswegen habe ich nicht viel gemacht. Ich habe noch nicht mal Grafik- oder Sounddrivers installiert. Auf jeden Fall ist hier das Log.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:45:12, on 26/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2455 bytes
         

Und wie geht es nun weiter?

Ich warte noch auf das Log von MalwareBytes.

ciao, andreas