Erstmal ein fröhliches Hallo! an Alle hier im Board -
und auch noch ein Dankeschön - hab mit Hilfe dieses Boards schon vor ca. einem halben Jahr einen Virus mit Malwarebytes wegbekommen und gestern nochmal ein Virusproblem mit Eurer Hilfe halb gelöst

Vielleicht könnt Ihr mir helfen auch noch die andere Hälfte zu lösen:

Mein PC läuft mit Windows-xp-home. Es sind keine Benutzerkonten eingerichtet (gewesen) - nach dem Start war also der Desktop sichtbar und für mich und Freundin alles sichtbar und nutzbar.
Auf der Festplatte C: sind alle Programme und Dateien gespeichert. Partitionen haben wir keine eingerichtet.

Gestern nach Stöbern im Internet hatte ich einen Virus (oder ähnliches) auf meinem PC. Ein Fenster ging mehrfach auf und meldete das mein PC voller Viren sei und weiteres Schädliches gefunden sei. Es sah wie ein echtes Antivirenprogramm aus, war aber keins (war so ähnlich wie das vor einem halben Jahr) und hieß Restore oder so ähnlich. Es öffnete immer wieder neue Fenster und ließ sich nicht stoppen oder schließen. Der Aufruf des task-managers mit bekannter Tastenkombination erzeugte die Meldung: "Task-Manager durch Administrator deaktiviert".
Ich konnte keine Programme starten, also auch nicht Malwarebytes und auch nicht ins Internet.

PC ausschalten und neu starten brachte keine Änderung, aber plötzlich war ein Benutzer als Administrator angemeldet, nämlich der Benutzer "Besitzer".
Ich kam auf die Idee noch einen weiteren Benutzer anzumelden, (über Benutzerkonten anlegen), und konnte ihm auch die Administratorrechte geben.
Über diesen neuen Benutzer und über einen alten MS-Internetexplorer bin ich hier ins Forum rein und habe mir erneut Malwarebytes runtergeladen - damit dann auch den Virus auffinden und löschen können. Puuuuhh!

Über den neuen Benutzer kann ich zwar nun die Festplatte sehen, aber keine Dateien oder Programme mehr sehen oder aufrufen. Über den vom Virus angelegten Benutzer sowieso nicht.

Die Festplatte C: scheint leer zu sein, aber Malwarebytes findet alle Daten -
das kann ich sehen wenn ich "volles scannen" wähle - alle Daten, Programme und Fotos werden von Malwarebytes gescannt - sind also noch vorhanden.

Ich kann vom neuen Benutzer aus sogar neue Ordner auf Laufwerk C: anlegen und Daten speichern, habe also Zugriff darauf.

Das Profil des vom Virus angelegten Benutzers hat 2,3 Gb; das neue Benutzerprofil was ich angelegt habe nur ein paar Mb.

Zusammengefasst: Virus ist weg (habe Malwarebytes ein paarmal vollständig durchsuchen lassen), Malwarebytes zeigt beim Durchsuchen alle Dateien und Programme auf Laufwerk C: an, ich kann aber keine Daten oder Programme sehen oder darauf zugreifen, neue Daten kann ich auf C: ablegen.
Habe jetzt zwei Benutzerkonten, eins vom Virus angelegt, eins von mir danach.

Fragen:
1.) Wie komme ich an meine (gespeicherten) Daten / Programme ran ?

2.) Ist es klug den Benutzer, den das Virus angelegt hat, zu löschen ? Oder sind dann auch alle Dateien / Programme mit weg ?





Nachtrag:

Habe nicht gewusst was "log-files" sind, aber bin nun nach ausführlichem Stöbern hier im Forum wieder etwas schlauer

Ich kopiere also nun das log-file von Malwarebytes hier rein:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 7921

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11.10.2011 14:32:54
mbam-log-2011-10-11 (14-32-54).txt

Scan type: Full scan (C:\|)
Objects scanned: 263361
Time elapsed: 23 minute(s), 39 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\dokumente und einstellungen\all users\anwendungsdaten\6dss92c31apgjk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\deaygfjumxvqq.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Das log-file des nachfolgenden wiederholten Durchlaufes zeigt nur an, dass keine infizierten Objekte vorhanden sind.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo cosinus,

der nach dem Entfernen des Virus wiederholte, vollständige Suchlauf erzeugte folgendes Protokoll:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 7921

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11.10.2011 14:37:36
mbam-log-2011-10-11 (14-37-36).txt

Scan type: Quick scan
Objects scanned: 182756
Time elapsed: 1 minute(s), 38 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

----

Heute morgen nochmals vollständgen Scan durchgeführt und folgendes Protokoll erhalten:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7921

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

13.10.2011 09:07:22
mbam-log-2011-10-13 (09-07-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 280480
Laufzeit: 23 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

---

Nachtrag/Anmerkung:
Unter dem Windows-Menüpunkt Systemsteuerung / Software werden alle Programme aufgelistet -
anscheinend fehlt nichts -
nur komme ich halt nicht ran.

Mit "Versteckte Ordner anzeigen", konnte ich einige wenige wieder sichtbar machen.


Euch allen einen frohen Tag, trotz mancherlei Plagen .....

Zitat:

der nach dem Entfernen des Virus wiederholte

Ich hab nicht geschrieben, dass du einen neuen Suchlauf machen musst. Meine Frage war einfach, ob du noch weitere Logs von Malwarebytes aus Durchläufen in der Vergangenheit hast. Eben einfach ALLE Logs im Reiter Logdateien posten.

Hallo cosinus,

es sind keine weiteren log-files vorhanden -
habe ja auch wie beschrieben Malwarebytes unter einem neuen Nutzerkonto komplett neu heruntergeladen und installiert und damit den Virus beseitigt ....

LG

Zitat:

unter einem neuen Nutzerkonto komplett neu heruntergeladen und installiert und damit den Virus beseitigt ....

Und eben diese Logs vom anderen Benutzerkonto wollte ich sehen

Hallo cosinus,

Dir und allen Anderen eine frohe Woche !

Es besteht nach wie vor das Problem, dass ich an Prgramme und Daten des vom Virus erzeugten Benutzers mit dem Namen "Besitzer" nicht herankomme. Ich komme also auch an das alte Malwareprogramm und die alten Malware log-files nicht heran.
Der vom Virus erstellte Benutzer "Besitzer" zeigt nur einen dunkelgrauen Bildschirm; ein Aufruf des Task-Managers erzeugt nach wie vor die Meldung:
"Taskmanager wurde vom Systemadministrortor deaktiviert".

Die log-files vom neu installierten Malware unter dem neu angelegten Benutzer habe ich bereits hier ins Forum kopiert (siehe vor). Weitere log-files gibt es also nicht (zumindest komme ich nicht ran !).

Vor dem Virus waren auf dem PC überhaupt keine Benutzerkonten eingerichtet.

Ich kann mich mittlerweile unter einem neuem Konto anmelden und auch am PC arbeiten (Problem ist zwar nicht gelöst, "brennt" aber nicht mehr!).

LG
Wupfel

Zitat:

Es besteht nach wie vor das Problem, dass ich an Prgramme und Daten des vom Virus erzeugten Benutzers mit dem Namen "Besitzer" nicht herankomme.

Du solltest aber vom einem anderen Benutzer mit Adminrechten an die Logs kommen. Sieh hier mal nach

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Besitzer\Anweungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Logs
         

Wenn du einen Ordner nicht findest, musst du sicherstellen, dass Windows dir auch alle Dateien anzeigt => http://www.trojaner-board.de/59624-a...-sichtbar.html

Hallo Arne,

erstmal Danke!

Ich werde mich darum kümmern und Rückmeldung geben ......

LG Wupfel

Hallo lieber Arne,

dank Deiner Pfad-Angabe habe ich es geschafft den Ordner zu finden,
aber leider war er leer ! Keine log-files vorhanden .... .

Ich (wir) haben dann auch noch die anderen Ordner und Dateien wieder mühsam Stück für Stück sichtbar gemacht und konnten alle wichtigen Daten extern sichern - die meisten Daten werden bei uns sowieso regelmäßig gesichert.

Die Programme waren aber unauffindbar.

Danach haben wir uns entschieden (weil es doch nicht mehr so lief wie vor dem Virus) die Festplatte komplett neu zu formatieren und Windows neu zu installieren . Nun sind wir dabei die anderen Programme neu zu installieren usw. ... .

Ich schreibe jetzt also von einem nahezu jungfräulichen PC.

Ich finde es gut, dass Du (Ihr) auch eine Bankverbindung für Spenden angegeben habt.

Ich wünsche heute einen frooohen Tag !

Wupfel

Ok, also Neuinstallation, danke für die Rückmeldung.