Hallo,

ich habe folgendes Problem: Sophos hat folgendes nach dämlichstem Doppelklick gefunden und auch sofort die Dateien unter Quarantäne gestellt, desinfiziert oder gelöscht. Leider ohne Erfolg, denn nach dem Systemneustart läuft jetzt so ziemlich gar nichts mehr.

Mal/Generic-A in c:\\ator.exe c:\\burxdjhc.ex c:\\jriy.exe
Troj/Bdoor-AID in c:\\kqmhioib.exe
Mal/DownLdr-O in d:\\...Firefox\installer.exe
Mal/EncPK-Ax in d:\\...Firefox\patch.exe

Der Desktop wird sofort nach Systemstart deaktiviert (keine Taskleiste, kein Start), Sophos ist nicht ausführbar, es gibt nur eine entsprechende Fehlermeldung, ansonsten ist auch nur ein neuer Task über den Taskmanager ausführbar, der aber auch sofort nach Start beendet wird. So kann man eigentlich gar nichts machen.

Ich habe dann einen Systemstart im abgesicherten Modus durchgeführt. Seitdem startet der Rechner ausschließlich im abgesicherten Modus, egal was ich im Bootmenü einstelle. Zudem ändert sich am Problem auch im abgesicherten Modus nichts: Alle gestarteten Programme werden sofort beendet.

Dann habe ich es mit der Systemwiederherstellung probiert. Dort sind jedoch alle Wiederherstellungszeitpunkte gelöscht mit Ausnahme eines Zeitpunktes, der gestern direkt nach der Infizierung gesetzt wurde.

Ich probierte es mit dem Systemstart über CD und Reparatur-Installation von Windows. Die bricht leider ab, nachdem alle benötigten Dateien in die Windowsordner kopiert wurden und der Rechner neustartet ---> abgesicherter Modus ---> Fehlermeldung "Windows-Setup läuft nicht im abgesicherten Modus".

Seht ihr hier noch eine Chance, irgendwelche Daten zu retten?

Hi

Also zu retten gibts da meiner ansicht nach nicht mehr viel.
Da du den Backdoor hast MUSST du sowiso Neuaufsetzen.(Wie es scheint ist der auch schon voll aktiv)

Vlt. im abgesicherten Modus noch versuchen ein paar sachen zu retten aber sonst sehe ich nicht wirklich eine Lösung ausser Neuaufsetzen.

Hallo Schnitzel.

Zitat:

denn nach dem Systemneustart

Das du das System neugestartet hast war leider nicht sehr gut.
Da Sophos einige Dateien geblockt hat besteht evtl. noch eine kleine Chance.. Poste bitte ein HijackThis logFile.

Da hat mir das gute Sophos ein Schnippchen geschlagen, als es meldete, dass alles sauber ist... Ich kann jetzt keine Prozesse starten und bräuchte als erstes am besten einen Anhaltspunkt, wie ich dieses Manko abstellen könnte.

Momentan geht es mir primär darum, alle wichtigen Dateien sichern zu können, um das System dann neu aufsetzen zu können.

Zitat:

Momentan geht es mir primär darum, alle wichtigen Dateien sichern zu können, um das System dann neu aufsetzen zu können.

Das ist so ein Problem...

Sterte den Rechner im abgesicherten Modus und sichere die Daten. Diese dürfen aber unter keinen Umständen ausführbar sein!! Siehe entsprechende Listen im I-Net.
Desweitern solltest du die Dateien auf jeden Fall mit eScan checken bevor du sie wieder aufspielst; denn auch nicht ausführbare Dateien sind infizierbar.

Ändere nach dem Neuaufsetzten oder von einer anderen Maschine aus dringend alle Passwörter und Zugansdaten!!

So, habe das System neu aufgesetzt. Die Daten von D konnte ich retten, nachdem ich div. Sackgassen (Reparaturinstallation/Saveboot) überwunden hatte. Auf D war lediglich HijackThis infiziert, wie ich nach der sofortigen Installation von Sophos feststellte. Habe die Datei dann sofort entsorgt. Werde später mal testen, ob das System jetzt komplett sauber ist.