|
Log-Analyse und Auswertung: Trojaner verschwunden? Anmeldebildschirm erscheint nichtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.09.2011, 19:32 | #1 |
| Trojaner verschwunden? Anmeldebildschirm erscheint nicht Guten Abend, ich hatte vor einiger Zeit einen Trojaner auf meinen Rechner und konnte ihn so weit es ging entfernen. Nun wollte ich wissen, ob er noch vorhanden ist, da ich statt einen Anmeldebildschirm immer noch einen schwarzen Bildschirm angezeigt bekomme. Die Logs von Mbam und OTL sind im Anhang, ferner habe ich noch weitere Scans von anderen Herstellern machen lassen. Diese sind ebenfalls im Anhang. Vielen Dank im Voraus. |
14.09.2011, 15:17 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner verschwunden? Anmeldebildschirm erscheint nicht Ich seh in den Scanner-Logs erstmal nur Fehlalarm.
__________________Zitat:
__________________ |
14.09.2011, 20:49 | #3 |
| Trojaner verschwunden? Anmeldebildschirm erscheint nicht Hallo Arne,
__________________vielen Dank für deine Bereitschaft zu helfen. Aufgrund des genannten Problems kann ich bisher nur über Live-CDs mein System scannen Diese Datenbankversion war leider die Neueste, die ich kriegen konnte, da in dem dazugehörigen Forum die manuellen Updates immer etwas Zeit benötigen... Wenn du mir allerdings ein netzwerktaugliches Livesystem auf Windows- basis nennen könntest, könnte ich auch mit neueren Signaturen dienen |
14.09.2011, 21:23 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner verschwunden? Anmeldebildschirm erscheint nichtZitat:
Geht denn noch der abgesicherte Modus? Steht nichts dazu im Ursprungsposting.
__________________ Logfiles bitte immer in CODE-Tags posten |
14.09.2011, 23:16 | #5 |
| Trojaner verschwunden? Anmeldebildschirm erscheint nicht Ok, also vor einiger Zeit wurde mein System, OS: Vista, trotz aktueller Sicherheitsupdates von dem Trojaner TR\Crypt.Zpack.Xgen2 befallen. Durch mehrere Scans konnte ich die genannten Dateien entfernen. Der Trojaner hat jedoch ein paar Spuren hinterlassen, die dafür gesorgt haben, das mein System nicht mehr ordnungsgemäß laufen konnte. Dies ging soweit, das weder der Anmeldebildschirm, noch der Abgesicherte Modus laufen konnte. Genau deswegen sind die Live-CDs zum Einsatz gekommen Da ich nicht weiß, wie ausgetüftelt dieser Schädling war, kann ich auch nicht wissen, ob er zu 100% beseitigt wurde. Ich konnte einige Spuren jedoch erkennen: der Administratoraccount wurde in der Registry mit S-...-.bak angegeben, die ADs (im Sinne der Zugriffsrechte) sind etwas lückenhaft und einige Einträge in der Registry wurden entfernt Ich hoffe, dass das etwas besser beschrieben war |
15.09.2011, 09:44 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner verschwunden? Anmeldebildschirm erscheint nichtZitat:
__________________ --> Trojaner verschwunden? Anmeldebildschirm erscheint nicht |
16.09.2011, 11:55 | #7 |
| Trojaner verschwunden? Anmeldebildschirm erscheint nicht Ich konnte sie noch finden, sie sind im Anhang. Nach dem zweiten Log habe ich die genannten Dateien löschen können, allerdings konnte ich mich schon vorher nicht mehr anmelden. Alle Scans bis auf das mbam wurden über externe Systeme durchgeführt. Das Merkwürdige war, das nach dem Entfernen des Trojaners, ein weiterer Schädling gefunden wurde... |
16.09.2011, 13:35 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner verschwunden? Anmeldebildschirm erscheint nicht Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2011/04/08 21:18:51 | 000,000,000 | ---D | M] - C:\autochkexe -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{0c2f38d2-1d39-11de-b11f-002215295b85}\Shell\AutoRun\command - "" = E:\autorun\Launcher.exe O33 - MountPoints2\{34ca0c80-65c4-11df-a41a-002215295b85}\Shell\AutoRun\command - "" = E:\Get_Started_for_Win.exe O33 - MountPoints2\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\Shell\AutoRun\command - "" = D:\setup.exe @Alternate Data Stream - 151 bytes -> C:\ProgramData\Temp:D1B5B4F1 :Commands [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Schau mal ob Windows danach wieder normal startet. Wenn nicht ist eine Reparatur oder Neuinstallation wohl fällig.
__________________ Logfiles bitte immer in CODE-Tags posten |
16.09.2011, 15:11 | #9 |
| Trojaner verschwunden? Anmeldebildschirm erscheint nicht Ich habe den Code eingegeben und den Button Fix betätigt. Das Programm hat den Fix ausgeführt. Nun gibt es ein Problem: es kam sogleich die Meldung ob der Rechner neugestartet werden soll - eine Möglichkeit zum Kopieren des Status hatte ich nicht. Ich habe daraufhin mit Ja bestätigt, doch das Programm und das Livesystem haben den Neustartprozess nicht ausgeführt - allerdings ist der Fix durch, da die Meldung Processing complete ausgegeben wird. Soll ich nun vom Livesystem aus den Neustart vornehmen und werde ich im Hauptverzeichnis eine Textdatei zum Posten finden? |
16.09.2011, 21:34 | #10 |
| Trojaner verschwunden? Anmeldebildschirm erscheint nicht Update: Hier ist das Log: Code:
ATTFilter ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! File not found. File move failed. X:\AUTORUN.INF scheduled to be moved on reboot. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0c2f38d2-1d39-11de-b11f-002215295b85}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0c2f38d2-1d39-11de-b11f-002215295b85}\ not found. File E:\autorun\Launcher.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{34ca0c80-65c4-11df-a41a-002215295b85}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34ca0c80-65c4-11df-a41a-002215295b85}\ not found. File E:\Get_Started_for_Win.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\ not found. File D:\setup.exe not found. ADS C:\ProgramData\Temp:D1B5B4F1 deleted successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTLPE by OldTimer - Version 3.1.48.0 log created on 09162011_165811 Bestünde die Möglichkeit, dass es sich hierbei um ein Rootkit handelt? |
17.09.2011, 12:31 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner verschwunden? Anmeldebildschirm erscheint nicht Die Möglichkeit besteht immer, es gibt keine 100% Sicherheit. Probier eine Neu- oder Reparaturinstallation.
__________________ Logfiles bitte immer in CODE-Tags posten |
17.09.2011, 18:19 | #12 |
| Trojaner verschwunden? Anmeldebildschirm erscheint nicht Ich muss zur Analyse etwas ergänzen: 1. In der Registry steht der Auslagerungsdateipfad auf einem anderen Buchstaben. Ich habe ferner die Pagefiledatei mal auf einem Stick gesichert, vlt. kann man da etwas auslesen? 2. Es wurde ferner der gesamte Ordner für das Dateiwiederher- stellungsprogramm gelöscht. 3. Desweiteren ist auf der Partition kein BCD vorhanden, weder als Datei noch als Registryeintrag (lediglich ein BCD-Template im Registryordner) - wird das benötigt, selbst wenn Vista hier nur eine Startpartition ist? 4. Im catroot-Ordner befindet sich neben zwei {...}-Ordnern eine tmp-Datei, der {127D...}-Ordner hat die Endung .bak (dürfte von Kaspersky sein). Hoffe, dass das etwas ergänzt |
Themen zu Trojaner verschwunden? Anmeldebildschirm erscheint nicht |
abend, andere, anderen, angezeigt, anhang, anmeldebildschirm, ebenfalls, einiger, entferne, erschein, erscheint, guten, mbam, rechner, schwarze, troja, trojaner, verschwunden, vorhanden, wissen |