Nach gefundenen Trojaner TR/Agent.59392.91 und der Entfernung mit Avira sind die Desktopsymbole, das Startmenü und Dateiordner im Explorer für den Benutzer nicht mehr sichtbar.
Ich habe die Logdatei die ich mit OTL erstellt habe beigefügt. Gibt es eine Möglichkeit die Daten wieder herzustellen?
Vielen Dank für eine kurze Rückinfo.

Hi,

Zitat:

Gibt es eine Möglichkeit die Daten wieder herzustellen?

Das kann man im Normalfall, ja.

Mach bitte auch noch ein Gmer-Log:


Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Bitte poste in deiner nächsten Antwort:

• Log von Gmer

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 2.1.19081 - hxxp://www.gmer.net
Rootkit scan 2013-02-26 08:24:02
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD75 rev.80.0 698,64GB
Running: 3hsy9jn8.exe; Driver: C:\Users\ADMINI~1\AppData\Local\Temp\pgddqpow.sys


---- System - GMER 2.1 ----

SSDT   9072814E                                  ZwCreateSection
SSDT   90728158                                  ZwRequestWaitReplyPort
SSDT   90728153                                  ZwSetContextThread
SSDT   9072815D                                  ZwSetSecurityObject
SSDT   90728162                                  ZwSystemDebugControl
SSDT   907280EF                                  ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

.text  ntkrnlpa.exe!ZwRollbackEnlistment + 140D  82E939E9 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2    82ECD1C2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text  ntkrnlpa.exe!KeRemoveQueueEx + 11F7       82ED430C 4 Bytes  [4E, 81, 72, 90]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1553       82ED4668 4 Bytes  [58, 81, 72, 90]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1597       82ED46AC 4 Bytes  [53, 81, 72, 90]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1613       82ED4728 4 Bytes  [5D, 81, 72, 90]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1667       82ED477C 4 Bytes  [62, 81, 72, 90]
.text  ...                                       

---- EOF - GMER 2.1 ----
         

--- --- ---

Hi,

Zitat:

sind die Desktopsymbole, das Startmenü und Dateiordner im Explorer für den Benutzer nicht mehr sichtbar.

Sind genannte Objekte nach folgendem Schritt alle wieder sichtbar oder fehlt noch was?
(Wir sind dann noch nicht fertig.)


Downloade bitte Grinler's unhide.exe auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Wenn es fertig ist, wird eine Nachricht mit "Done" erscheinen.
• Es wird auch ein Logfile Unhide.txt erstellt. Poste dieses bitte hier.

Hat leider keine unhide.txt erstellt. Kann es damit zu tun haben das ich nicht als Administrator angemeldet bin?
Ich habe den Inhalt des DOS-Fensters mal kopiert und unten angehängt.
Die Desktop-Symbole sind nun wieder da. Das Startmenü ist aber noch nicht da und das eingstellte Hintergrundbild (was nicht wichtig ist) wurden noch nicht wiederhergestellt.
Ich kann aber z.B. die Standardhintergründe wieder einstellen, was zuvor nicht möglich war.
Sollten noch weiter Maßnahmen ergreifen oder es dabei belassen?
Viele Grüße

Hallo,

Zitat:

Das Startmenü ist aber noch nicht da und das eingstellte Hintergrundbild (was nicht wichtig ist) wurden noch nicht wiederhergestellt.

Das Hintergrundbild musst du selber wieder einstellen.
Aber das verschobene Startmenü wird nach solchen Infektionen normalerweise durch unhide.exe gefunden und wiederhergestellt..
Bei dir sagt es, dass der entsprechende Ordner nicht existiert. Hast du in der Zwischenzeit mal deine temporären Dateien geleert?

Zitat:

Sollten noch weiter Maßnahmen ergreifen oder es dabei belassen?

Wir sollten danach sicher noch weitermachen!

Habe die temporären Dateien über den Explorer gelöscht und den Rechner neu gestartet. Danach habe ich auch nochmal unhide laufen lassen aber das Startmenü ist noch nicht wieder da (siehe Bild)
Viele Grüße

Das mit den temporären Dateien war eigentlich mehr eine Frage als eine Aufforderung...
Aber halb so wild, unhide konnte ja vorher schon nichts finden.

Wir können trotzdem einen Versuch starten, ob irgendwo diese Verknüpfungen noch liegen, auch wenn das nicht sehr wahrscheinlich ist:

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

%SYSTEMDRIVE%\*.lnk /s
         

• Schliesse bitte alle anderen Programme.
• Klicke nun auf None (deutsch "Nichts") und danach auf den Scan Button.
• Kopiere danach den Inhalt der OTL.txt hier in deinen Thread.
  Wenn das Logfile zu gross ist zum Posten, dann pack es in ein zip-Archiv (Rechtsklick -> Senden an -> zip-komprimierten Ordner) und hänge es an.

Anbei die Logdatei von OTL

Ich seh da schon noch Verknüpfungen im Startmenü..
Fehlt das Startmenü denn in allen Benutzerkonten oder ist es in manchen noch vorhanden?
Kannst du mal überprüfen und mir mitteilen, in welchen Konten (mit Kontoname) das Startmenü für dich noch intakt ist und in welchen nicht?

Das Startmenü fehlt nur bei dem Benutzer christ.de\hauck
Viele Grüße

Ok, dann sag mir bitte noch einen Kontonamen, von welchem du das Startmenü 1-zu-1 ins betroffene Konto hinüberkopieren möchtest.
Wir fahren in der Zwischenzeit schon mal fort:


Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 2

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Combofix
• Log von OTL

Bitte vom Konto Administrator kopieren.
Anbei dei beiden Log-Datein

Dann noch eine Kontrolle, ob dein ungebetener Gast noch einen Kollegen mit zur Party eingeladen hat, der sich gut versteckt. Das scheint er nämlich gerne zu tun.


Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
• Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.

Falls Funde angezeigt werden:

• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
• Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.

Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.



Bitte poste in deiner nächsten Antwort:

• Log von MBAR

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.