|
Plagegeister aller Art und deren Bekämpfung: Gleiche Symptome trotz VirenbereinigungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.09.2011, 22:06 | #1 |
| Gleiche Symptome trotz Virenbereinigung Einen wunderschönen guten Abend, ich habe letztens von einem Freund ein Netbook geschenkt bekommen, weil er die Arbeit einer Virenbereinigung nicht in kauf nehmen wollte. Da ich mich schon einmal mit einem Virenbefall an euch gewandt habe und mehr als zufrieden war, würde ich mich freuen, wenn das nochmal so gut klappen könnte. Im Allgemeinen habe ich das Problem, dass es meistens direkt nach dem Start des Netbooks dazu kommt, dass der Bildschirm schwarz bleibt und in der oberen linken Ecke dieser "DOS mäßige kleine Eingabestrich" blinkt, es tut sich aber nichts. Dies kann ich mit einem Neustart und ins Bios gehen überbrücken. Die Malware habe ich mit "Malwarebytes Antimalware" entfernt. Hier die logfiles des Durchlaufs: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 7772 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 22.09.2011 19:23:13 mbam-log-2011-09-22 (19-23-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 219026 Laufzeit: 1 Stunde(n), 0 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 8 Infizierte Speicherprozesse: c:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> 1732 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Trojan.FakeAlert) -> Value: NtWqIVLZEWZU -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Bad: (C:\WINDOWS\system32\sdra64.exe) Good: () -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: c:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot. Infizierte Dateien: c:\system volume information\_restore{31977d89-4ce6-4c66-8d8e-4a9fa1dde700}\RP218\A0066658.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully. c:\system volume information\_restore{31977d89-4ce6-4c66-8d8e-4a9fa1dde700}\RP218\A0066724.dll (Trojan.Agent) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\armageddon\lokale einstellungen\Temp\plathidip.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully. c:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot. c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully. c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot. c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot. c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully. Außerdem öffnet sich ständig ein kleines Fenster, dass mich fragt (sofern ich nicht online bin) ob ich im offline Betrieb weiterarbeiten möchte. Bin ich Online, kommt diese Anfrage nicht, aber Malwarebytes blockiert eine IP Adresse die den Status "ausgehend" hat. Nun zur Standartprozedur: Die GMER logs befinden sich aus Platzgründen im Anhang... Defogger habe ich auch benutzt. Bei OTL gab es leider Probleme... Sobald ich auf Quick Scan klicke hängt sich das Programm auf. Neustart habe ich probiert... mehrfach... Zu guter letzt möchte ich betonen, dass ich das Netbook wie gesagt vor kurzem erst bekommen habe und ich keinerlei Wert auf die sich darauf befindenden Daten lege. Ganz im Gegenteil... mir wäre eine komplette Windows Neuinstallation inklusive Formatierung von den Partitionen C und D sogar viel lieber, da es sich aber um ein Netbook handelt, habe ich weder CD- noch Floppy-Laufwerk. Ich bin zwar im Besitz einer Windows XP Version (übrigens auch derzeitig auf dem Netbook installiert) aber mit der "Inhalt von der CD auf den USB Stick laden und im Bios als erstes Bootdevice einstellen" Methode hatte ich kein Glück. Ich bin auch wirklich nicht so der PC Kenner. Entschuldigung dass der Text so lang ist, kürzer wusste ich mich aber nicht auszudrücken. Ich hoffe ihr könnt mir wieder so kompetent helfen wie M-K-D-B beim letzten Mal. Vielen Dank schonmal im vorraus und einen schönen Abend. Gruß Ifron |
23.09.2011, 11:18 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Gleiche Symptome trotz VirenbereinigungZitat:
Für DICH relevante Daten dürften ja wohl kaum drauf sein.
__________________ |
25.09.2011, 11:22 | #3 |
| Gleiche Symptome trotz Virenbereinigung Genau das war ja das Problem.
__________________Er hatte daran nicht wirklich interesse (deshalb hat er ihn mir auch gegeben) und ich habe mittlerweile auch versucht einen USB Stick Bootbar zu machen, was soweit auch funktioniert hat. Ich habe dafür WinSetupFromUSB benutzt mit der anleitung von dieser Site: hxxp://myeee.wordpress.com/2008/11/14/winsetupfromusb-windows-installation-vom-usb-stick/ (Komischerweise Funktioniert das Einfügen eines Links nicht, deshalb die lange Version...) Leider kommt nach Schritt 7, also dem Anfang der eigentlichen Installation von Win XP nen Bluescreen. Habs mehrfach ausprobiert aber leider ohne Erfolg... Ich weiß wirklich nicht mehr weiter... Gruß Ifron |
26.09.2011, 10:30 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Gleiche Symptome trotz Virenbereinigung WindowsXP hat mit SATA so eine Schwierigkeiten. Deaktiviere im BIOS mal den AHCI-Modus, stell auf IDE bzw. Compatible um. Genauere Anleitungen kann man leider nicht geben, weil im Grunde jedes BIOS bei jedem Rechner etwas anders aufgebaut ist. Notfalls im Handbuch das Geräts nachsehen. Ohne AHCI lässt sich XP normalerweise problemlos installieren. Lässt sich das allerdings nicht ausschalten, musst du im Installationsmedium die SATA-Treiber für dein Gerät einbinden. Oder man nimmt ein neueres/anderes Betriebssystem, was ohne zusätzliche Treiber mit AHCI zurecht kommt.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2011, 08:13 | #5 |
| Gleiche Symptome trotz Virenbereinigung Ok danke das werde ich probieren. Wie genau is das mit den SATA Treiber einbinden gemeint??? Soll ich einfach auf den bootfähigen USB Stick die SATA Treiber raufziehen und der sucht die sich dann zurecht oder muss ich da auch wieder was beachten??? Gruß Ifron |
01.10.2011, 20:57 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Gleiche Symptome trotz VirenbereinigungZitat:
__________________ --> Gleiche Symptome trotz Virenbereinigung |
02.10.2011, 20:05 | #7 | |
| Gleiche Symptome trotz VirenbereinigungZitat:
Weil ich an sich mit dem bootfähigen Stick nichtmal wirklich an die Auswahl der Partitionen komme... Da liegt im Moment mein größtes problem... Sollte ich bei nLite noch was besonderes beachten??? Ich hab das Programm noch nie benutzt. |
04.10.2011, 14:55 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Gleiche Symptome trotz Virenbereinigung Ob nLite einen USB-Stick erstellen kann weiß ich nicht. Ich weiß nur, dass man mit nLite eine indivuelle XP-CD erstellen kann. Hast du es denn überhaupt mit deaktiviertem AHCI mal probiert?
__________________ Logfiles bitte immer in CODE-Tags posten |
07.10.2011, 18:23 | #9 |
| Gleiche Symptome trotz Virenbereinigung Ja. Ich hab jetzt die Methode mit der Deaktivierung porbiert und im Moment installiere ich XP vom USB Stick. Ich sag nochmal bescheid, wenn alles funktioniert hat. Bis jetzt bin ich auf jeden Fall weiter gekommen als vorher. Vielen Dank schonmal im vorraus. Ich meld mich nochmal. Gruß Ifron |
08.10.2011, 16:11 | #10 |
| Gleiche Symptome trotz Virenbereinigung Hey, also das mit dem Windows installieren hat super funktioniert. Ich hab deinen Tip mit dem AHCI genutzt und es hat alles geklappt. PC wieder top fit. Im Moment installiere ich grade ale Treiber. Vielen Dank für die schnelle und kompetente Hilfe!!! Gruß Ifron Geändert von Ifron (08.10.2011 um 16:49 Uhr) |
Themen zu Gleiche Symptome trotz Virenbereinigung |
.dll, bildschirm, blinkt, blockiert, desktop, einstellungen, explorer, frage, hijack.zones, hängt, kompetent, löschen, m-k-d-b, malware, microsoft, neustart, problem, programm, scan, security, software, stick, system, system volume information, temp, usb, windows xp, öffnet |