Hallo zusammen,

ich habe mir einen Virus eingefangen (Bundedpolizei...) und möchte diesen mithilfe einer Secure CD entfernen. Für eine Neuinstallation fehlt mir die Berechtigung.

Mein Gedanke war eine Secure CD zu erstellen und damit die Festplatte zu scannen... soweit so gut bis ich auf das nächste Problem gekommen bin:

Meine Festplatte ist mit SafeGuard geschützt und da diese erst nach dem booten freigeschaltet wird, findet der Virenscanner diese nicht.

Eine Berechtigung für das deaktivieren von SafeguardEasy habe ich nicht, ebenso kein Passwort für BIOS und den abgesicherten Modus.

Ich stecke ziemlich in der....

Wer hat denn die Verschlüsselung eingerichtet? Wär es nicht erstmal besser zu versuchen, die Verschlüsselung rückgängig zu machen?

Der Admin den ich erstmal nicht erreichen kann. Ich schaffe es zumindest nach dem Windows-Start für ein paar Sekunden in den Task-Manager zu kommen bevor die Bildschirmsperre eintritt. Kann ich da irgendwie was machen um den Rechner zu stoppen bzw. weiß jemand wie der Prozess heißt den der Virus startet?

Das Teil bekommt man eigentlich nur richtig per Rettungs-CD weg. Aber das bringt in deinem Fall nichts, weil die Platte komplett verschlüsselt ist.
Probier mal eine jashla.exe oder eine 0.434234....exe aus dem Taskmanager zu hauen. Letztere ist eine aus zufälligen Zahlen im Namen zusammengesetzt Datei. Evtl .schaffst du es auch aus dem Taskmanager heraus OTL zu starten.

Danke erstmal das du dir Zeit nimmst!

Ich hab jetzt ein paar mal willkürlich Prozesse beendet und das "Bundespolizei-Bild" wurde nicht geöffnet. Taskmanager ist noch geöffnet und aus dem heraus konnte ich den Explorer starten...

Ok, wenn das so klappt dann versuch mal Malwarebytes und OTL:


Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Als erstes der Malwarebytes-Report:

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7035

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.08.2011 16:38:31
mbam-log-2011-08-01 (16-38-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 488048
Laufzeit: 2 Stunde(n), 25 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\K-LITE\UNINSTALL.EXE (Trojan.Downloader) -> Value: UNINSTALL.EXE -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\3 (Security.Hijack) -> Value: 3 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel\HomePage (PUM.Hijack.HomePageControl) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\***\Application Data\jashla.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig (Windows.Tool.Disabled) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\common files\K-Lite\uninstall.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Zitat:

Datenbank Version: 7035

Konntest du Malwarebytes vorher nicht updaten?

Ging leider nicht da ich mich derzeit nicht in good old Germany befinde und ich seitdem so ne 1000er DSL-Leitung zu schätzen weiß... genau deshalb hab ich jetzt auch das Problem den OTL-Report zu posten, Zeitüberschreitung.

ABER: Als ich den OTL-Report kopiert habe und den Explorer über den Taskmanager öffnete, kam mein Desktop wieder?! Neustart habe ich noch nicht versucht. Diese "Jashla.exe" habe ich gestern gelöscht

Zitat:

Ging leider nicht da ich mich derzeit nicht in good old Germany befinde und ich seitdem so ne 1000er DSL-Leitung zu schätzen weiß... genau deshalb hab ich jetzt auch das Problem den OTL-Report zu posten, Zeitüberschreitung.

Äh was hat denn das eine mit dem anderen zu tun? Auch mit langsamer Verbindung kann man MBAM aktualisieren!
Und die Zeitüberschreitung passiert, wil das Log zu groß ist, wie wärs mal mit alle Logs in eine ZIP packen und die ZIP hochladen?