Hi Leute,
bin neu hier, hatte bisher noch nie Virenprobleme. (ACER Aspire/Vista/AviraAntivir aktuellste version, immer auf dem neusten stand)
Folgendes ist gestern passiert, ich war auf der Suche nach einem Wiederherstellungsprogramm meiner externen Festplatte als plötzlich das bekannte Fenster mit der aufforderung der zahlung aufging! Aus reflex hab ich den rechner sofort ausgeschaltet! Als ich ihn dann wieder hochfahren wollte hat sich nichts getan, windows fährt zwar hoch, allerdings hab ich dann nur noch einen schwarzen bildschirm.
Bin dann mit meinem netbook ins internet und habe sofort alle foren durchsucht, und bin natürlich auch auf anleitungen gestossen.
PROBLEM BEI MEINEM FALL: ist aber, dass ich überhaupt keinen einfluss mehr auf meinen rechner habe, wenn ich nach dem hochfahren STRG+ALT+ENTF drücke kann ich zwar den taskmanager anwählen, allerdings kommt dann die meldung, dass ich keine admin rechte habe...
wenn ich versuche im abgesicherten modus zu starten, kommt nur ein weisser bildschirm mit dem hinweis: Keine verbindung zum internet
auch sämtliche versuche den pc auf einen früheren funktionierenden prunkt zurück zu setzen werden mit einer fehlermeldung unterbunden!!!

Meine frage, gibt es ein empfehlenswertes "antiviren bootprogramm" speziell für diesen virus???
Oder irgendeine möglichkeit, dass ich wieder auf meinen Taskmanager komm??? dann könnte ich ja den anderen anleitungen folgen??!!

Hoffe mir kann hier geholfen werden, bin wirklich Ratlos....
Gruss und Danke

PS: OTL.exe kann natürlich auch nicht ausgeführt werden, da ich ja keinen zugriff mehr auf desktop oder windows
habe

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern?




Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Leider nicht! Funktioniert in keinem der drei möglichen Abgesicherten modis!

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hi,
erstmal vielen dank für die antworten!
Hab den letzten beitrag leider zu spät gelesen und heut mittag von der kaspersky resc. 10 cd gebootet
und siehe da er hat !6! Viren gefunden und konnte sie löschen o. quarantäne verschieben!
Komm jetzt immerhin wieder auf meinen desktop, sieht auch so aus als wäre der Virus gelöscht oder zumindest im moment nicht aktiv!
Jetzt hab ich aber gleich das nächste Problem:
Als windows wieder gestartet ist, kam eine fehlermeldung dass meine Festplatte beschädigt ist...
ich habe auch keine desktop icons mehr...
Wenn ich die Festplatte defragmentieren will kommt folgende fehlermeldung: "Exception EExternalException in module libecef.dll at 002ADD60 Externe Exception 80000003."
Auch wiederherstellen ist nicht möglich... genauso wie datenträgerprüfung!!! (Datenträgerprüfung kann nicht durchgeführt werden, da externer zugriff nicht möglich - so in der art)
Hat das jetzt noch was mit dem Virus zu tun???
Oder ist meine Festplatte vom vielen "einfach abschalten" beschädigt???
Was kann ich tun???
Gibts ein programm welches die platten wieder funktionstüchtig bekommt???

Vielen Dank

Wenn du nicht posten kannst was genau da entfernt wurde kann man nicht mehr wirklich weiterhelfen es sei denn ich hätte eine funktionierende
Oft genug werden von solchen Rettungs-CDs auch wichtige legitime Systemdateien gelöscht. War das bei dir auch der Fall ist dein System wohl hinüber.

Hast du das Log von der Rettungs-CD noch?

Zitat:

Wenn ich die Festplatte defragmentieren

Hast du keine anderen Sorgen als JETZT (!) die Platte zu defragmentieren! Dein System ist einem völlig undefinierten Zustand und wahrscheinlich noch voll mit Schädlingen, aber du willst erstmal die PLatte defragmentieren?

Ohne das Log der Rettungs-CD wird das hier wohl nichts...

ich dachte es wäre sinnvoll die platte JETZT (!) zu defragmentieren nachdem die ganze zeit fehlermeldungen aufgehen in denen gesagt dass meine festplatte fragmentiert und nicht lesbar ist!!!!!!!!!!
keine ahnung was eine log file ist, geschweige denn wo ich sie finde!

Wenn du das Log der Live-CD nicht gesichert hast wird es weg sein


Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

so hier mal der log von maleware!

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.10.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
****************** :: SUPERCOMPUTER [Administrator]

Schutz: Aktiviert

10.01.2012 11:33:43
mbam-log-2012-01-10 (11-33-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 367496
Laufzeit: 1 Stunde(n), 29 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Windows\Temp\pkgmal\setup.exe (Trojan.Ransom) -> 5900 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKLM\SYSTEM\CurrentControlSet\Services\AMService (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{TIXrGaSC-eWNX-NSWd-i9pl-PgdxpRdF4nbF} (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\MediaHoldings (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Daten: C:\Users\Kai Uwe Müller\AppData\Roaming\5suxrt589cxuftg.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Daten: C:\Users\Kai Uwe Müller\AppData\Roaming\5suxrt589cxuftg.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\Temp\pkgmal\setup.exe (Trojan.Ransom) -> Löschen bei Neustart.

(Ende)
         

nachdem maleware durch war, hab ich den rechner neu gestartet - und siehe da es sind immerhin alle desktop symbole wieder da!!! werd jetzt den ESET-Scan durchführen....
log folgt...
DANKE

so hier nun der eset log

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=7500d11321e8d94281c8ad8d3392faf4
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-10 03:58:02
# local_time=2012-01-10 04:58:02 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 94 703145 62732000 382557 0
# compatibility_mode=5892 16776574 66 100 0 163731507 0 0
# compatibility_mode=8192 67108863 100 0 3819 3819 0 0
# scanned=305798
# found=3
# cleaned=0
# scan_time=12302
C:\Users\Kai Uwe Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\58c10e3f-3e06ee00	Java/TrojanDownloader.OpenConnection.AP Trojaner (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\Windows\System32\drivers\Uim_IM.sys	Variante von Win32/Rootkit.Kryptik.HD Trojaner (Säubern nicht möglich)	00000000000000000000000000000000	I
${Memory}	Variante von Win32/Sirefef.DN Trojaner	00000000000000000000000000000000	I
         

anbei noch die viren, die gefunden wurden

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Kai Uwe Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\58c10e3f-3e06ee00	Java/TrojanDownloader.OpenConnection.AP Trojaner
C:\Windows\System32\drivers\Uim_IM.sys	Variante von Win32/Rootkit.Kryptik.HD Trojaner
Arbeitsspeicher	Variante von Win32/Sirefef.DN Trojaner
         

warum soll ich die Viren nicht mit ESET entfernen???
Gruss

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread