Hallo, ich weiß echt nicht was ich machen soll.

Ich google mich hier grade schon kaputt und werde dabei ständig auf unerwünschte Seiten geleitet. Habe mir also definitiv was eingefangen.
Im Moment kriege ich den Pc nur im abgesichteren Modus zum laufen.
Ich habe leider eine exe ausgeführt, die sofort danach unsichtbar geworden ist und irgendwas mit dem pc angestellt hat.

Alle Reinigungsprogramme die ich bisher ausprobiert habe funktionieren nichtmehr.
Das ist immer nach dem selben Schema: Ich kann dir Programme installieren und auch einmal starten, aber sobald ich den Scan starte, bricht das Programm nach 1-2 Sekunden ohne Fehlermeldung ab und lässt sich ab dann nichtmehr starten. ("auf die geräte kann nicht zugegriffen werden")

Avira Antivir lässt sich gar nicht starten.
Bei Malwarebytes bekomme ich die genannte Fehlermeldung.
Otl kann glaube ich scannen, aber die Bereinigung hat zu nix geführt.
Und GMER lässt sich starten und den ersten initialscan macht das Programm auch. Da wird auch direkt ein prozess rot markiert.

Der heißt: 1064361887:1612746688.exe
Leider ist der auch mit GMER unkillbar. Natürlich ist das mein Hauptverdächtiger.

Sobald ich aber im Rootkitbereich nen Scan machen will, beendet sich das Programm ohne Fehlermeldung.

Was kann ich tun?

Ich denke der Knackpunkt muss sein, den Prozess zu unterbinden, damit ich einmal in Ruhe scannen und die Dateien entfernen lassen kann.


Könnt ihr mir helfen? Ich wäre euch da sehr dankbar

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

Ich habe zwei Vorschläge: :

1.
Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:

- Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt, oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte. Dies bietet Dir die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen.

Zitat:

-> Systemwiederherstellung
► Bitte wähle das älteste verfügbare Datum für die Wiederherstellung von Windows aus, wo dein Rechner noch einwandfrei funktioniert hat!

• Du musst dich als Administrator oder als Benutzer mit Administratorrechten anmelden.
• Die Systemwiederherstellung lässt sich unter Windows Vista/XP/7 wie folgt aufrufen:
• ► Start → Alle Programme → Zubehör → Systemprogramme → Systemwiederherstellung

->Eine Schritt-für-Schritt-Anleitung zum Einsatz der Systemwiederherstellung unter Windows XP
->Systemwiederherstellung unter Windows Vista
->Unter Win 7
► Falls nötig, kannst Du es im abgesicherten Modus auch tun - (Link bitte unbedingt anklicken & lesen!)

Die Systemwiederherstellung ist nur ein "Notlösung", das Problem wird damit nie 100%ig beseitigt, da dem Zeitpunkt des Eindringen des Trojaners nicht mehr feststellen kann. Aber man kann damit die Funktionsfähigkeit eines Computersystems erhöhen.
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)

► berichte mir auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?

2.

Zitat:

Sollte die Systemwiederherstellung nicht funktionieren (Malware kann es verhindern):
- Du kannst auch noch die folgenden Methoden ausprobieren, um das Problem zu beheben.:-> Verwenden der letzten als funktionierend bekannten Konfiguration

3.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Es gibt neue Informationen:

Ich habe es geschafft eine Systemwiederherstellung zu machen.
Anschließend habe ich im abgesicherten Modus GMER benutzen können und einnen Rootkitscan ohne diese EAT Dateien gemacht.

Hier das LOgfile:


[code]
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-10 14:20:53
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-8 SAMSUNG_HD200HJ rev.KF100-06
Running: 8kdf02io.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pwlcypow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                       C:\Programme\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x6C 0xE6 0xAB 0xBA ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0xF8 0x5E 0x18 0xD9 ...
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0x99 0xBF 0x19 0xB1 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                       C:\Programme\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x6C 0xE6 0xAB 0xBA ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0xF8 0x5E 0x18 0xD9 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0x99 0xBF 0x19 0xB1 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                   C:\Programme\Alcohol Soft\Alcohol 120\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                   0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x6C 0xE6 0xAB 0xBA ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                       0xF8 0x5E 0x18 0xD9 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0x99 0xBF 0x19 0xB1 ...

---- Files - GMER 1.0.15 ----

ADS             C:\RECYCLER\S-1-5-21-436374069-1425521274-839522115-1003\Dc82(2):1612746688.exe                                       816 bytes executable
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607                                                                             0 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\@                                                                           2048 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\L                                                                           0 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\L\xnsmvbin                                                                  451456 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\loader.tlb                                                                  2540 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\U                                                                           0 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\U\@00000001                                                                 45968 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\U\@000000c0                                                                 3584 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\U\@000000cb                                                                 3072 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\U\@000000cf                                                                 1536 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\U\@80000000                                                                 26112 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\U\@800000c0                                                                 35840 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\U\@800000cb                                                                 27648 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\2682220607\U\@800000cf                                                                 27648 bytes
File            C:\WINDOWS\$NtUninstallKB4127$\3862060208                                                                             0 bytes
ADS             C:\WINDOWS\1064361887:1612746688.exe                                                                                  816 bytes executable

---- EOF - GMER 1.0.15 ----
         

--- --- ---
[\code]


Interessant ist denke ich vorallem der letzte Prozess, weil das der Prozess ist, den ich bisher nicht löschen konnte.
Ich habe den also gelöscht und danach im abgesicherten Modus mit Netzwerktreibern neu gestartet, aber das Internetkabel rausgezogen gelassen.

Trotzdem lief der Prozess wieder, also gehe ich davon aus, dass die Entscheidenden Dateien irgendwo bei den netzwerktreibern drin hängen.

Ich vermute, dass ich auch den oberen Prozess "ADS C:\RECYCLER\S-1-5-21-436374069-1425521274-839522115-1003\Dc82(2):1612746688.exe 816 bytes executable" löschen muss, aber bevor ich wild rumlösche wärs schön, wenn sich Jemand das Log mal angucken könnte

Malwarebytes hat übrigens im abgesicherten Modus ohne Netzwerktreiber nichts gefunden. Ich versuchs aber gleich nochmal mit ner aktualisierten Virendatei.

Welche Prozesse kann ich also bedenkenlos löschen? oder soll ich lieber "kill" wählen?

1.
CD-Emulatoren mit DeFogger deaktivieren

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren. Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der Bereinigung rückgängig machen.

Lade DeFogger herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread.

Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.
dann die weitere Schritte erledigen - wie beschrieben, im normalen Modus!:-> http://www.trojaner-board.de/104011-...tml#post707957

2.
dann die Schritte 3. und 4. - noch abarbeiten:-> http://www.trojaner-board.de/104011-...tml#post707957