Hallo Zusammen,

ich habe nachfolgendes Problem und bedanke mich im Voraus für jede Hilfe bzw. jeden Hinweis.

Ein direkter Zugriff (öffnen) auf die Festplatten vom Arbeitsplatz ist nicht mehr möglich. Über den Explorer kann ich die Festplatte öffnen. Installation von Virensoftware (Spybot, Kaspersky oder auch Malwarebytes und HighJackthislog) ist möglich aber die Programme lassen sich allesamt nicht starten.
Nach Doppelklick, verändert sich der Mauszeiger für einen kurzen Moment, danach nichts mehr, als ob das Program nicht gestartet worden wäre.

Ein Auslesen, LogFile oder ähnliches geht leider nicht. Kann ich noch etwas anderes versuchen?


Danke und Grüße

Hallo smuggle und

benenne die Programme einfach um

Also die MBAM.exe in hups.exe etc und versuchs nochmal.....

Hi Redwulf,

warum in die Ferne schweifen...

Der Virenscanner läuft, werde berichten.

Danke so long

Hallo Redwulf,

der Scanner von Malwarebytes hat sich starten lassen und reichlich gefunden und behoben.

Unabhängig davon lässt sich "spybot" nach wie vor nicht starten. Auch nicht, nachdem ich das Programm umbenannt habe.

Auf die Festplatten ist ein direkter Zugriff nicht möglich. Ich erhalte nachfolgende Meldung:

"Recycler\S-6-5-91-1000009823-100013637-100010015-3736.com" konnte nicht gefunden werden. Stellen Sie sicher, das Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Kllicken Sie auf "Start" und anschließend auf "Suchen", um die Datai zu suchen."

Sag mir bitte, was ich posten soll um weitere Infos zu geben/bekommen!

Danke und Gruß

PS: Ich werde meinen Sohn lebenslang das Benutzungsrecht auf meinen PC entziehen!

Ich habe ja leider nicht den Plan wie viele andere Leute hier. Wenn ich aber einigermaßen folgen konnte, wurde hier mein Thema schon behandelt.

http://www.trojaner-board.de/71226-trojaner-bzw-dns-changer-rootkit.html

Vielleicht kann einer mit Plan kurz mal drüber schauen und mir sagen ob ich das "einfach" so nachmachen kann.

Danke

Hi smuggle

Ich hab Nachtdienst und kann dir hier jetzt zur Seite stehen. Ich denke auch das wir einen DNS Changer finden werden, den du wahrscheinlich noch nicht sehen kannst, da er sich hinter einem rootkit versteckt.

Für mich ist interessant was Malwarebytes alles so gefunden hat. Kannst du das noch nachvollziehen?

Mach bitte folgendes: Deaktiviere deine Systemwiederherstellung. Die Wiederherstellunmgspunkte sind durch den Befall wahrscheinlich sowieso unbrauchbar geworden.

Danach gehst du in die Ordneroptionen und machst alle versteckten und Systemdateien sichtbar.

Hiernach rufst du das Programm CCleaner auf und lässt es nach Anleitung laufen

Dann kommt Malwarebytes nochmal zum Einsatz mit einem vollen Scan. Lass alles Gefundene dann LÖSCHEN. Dann schaun wir mal weiter....

Die DNS Changer verbreiten sich manchmal echt wie kA was.

Die Verbreiten sich ziemlich - war ne Zeitlang ruhig nun ists wieder langsam am Kommen, nehme ich an ^^

Da kann ich nur zustimmen

Okay, wie mache ich das mit den LOGs. Im Moment läuft der GMEN. Dieser hat bereits zwei ***hidden*** gao....sys entdeckt.
Der Scann wird aber noch ewig brauchen. Ist noch nicht mal mit der C:\ fertig

Kommt gleich... hatte dein erstes Posting leider überlesen, sorry...

Manchmal ist so ne Nachtschicht echt klasse ;-)

Edit:
Kann ich statt CCleaner auch RegCure benutzen?

Ich kenne regcure nicht.... nutze bitte CCleaner, da weiss ich was passiert. falls das nicht läuft benenne es einfach um so wie dus mit Malwarebytes gemacht hast..

Wenn die Logs fertig sind musst du den text einfach kopieren und dann in solche Codetags einsetzen, damit ich sie vernünftig lesen kann....

Die ganze Sache geht so und sieht dann so aus, natürlich ohne das Sternchen (*)

Code: Alles auswählenAufklappen

ATTFilter

[*Code]  Deinen Text hier einsetzen [*/Code]
         

Sollte nicht so schwer sein....

Zu jedem der Links die ich dir hier poste steht auch explizit erklärt wie man die Programme hier einsetzen muss.

@ Angel, tue mir den Gefallen und poste mal bitte den Link von Avenger für smuggle, hab meine Textbausteine nicht hier....

Smuggle den Avenger musst du dann downloaden und installieren, aber noch nix machen.....

Okay mache ich, wird sofort gesucht

Öffne jetzt das Programm Avenger. Hier downloaden: http://filepony.de/download-the_avenger/

Du siehst jetzt ein weißen Scriptfeld.
Dort Steht INPUT SCRIPT HERE:



Kopiere jetzt den Inhalt der Codebox mit Strg +C

und füge das ganze mit Strg + V in dieses Scriptfeld ein.
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst.

Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich bootet Windows Vista in einen Bluescreen. Auch dann kein Grund zur Sorge.


Redwulf wird dir das nach dem GMER Rootkit Scan scrippten, erst machen, wenn Redwulf dir ein Script schickt.

Download schonmal machen.

Den Avenger habe ich schon heruntergeladen. Der CCleander läuft gerade. Soll ich den GMER abbrechen?

Nein, um Gottes willen, bloß nicht. Ich brauche die Daten aus dem Log..... Ich muss danach ein Script fertigen, damit wir die Bedrohung beseitigen können....

Smuggle wenn du nichts dagegen hast wird Angel dir das Script schreiben. Sie lernt von mir den DNS Changer zu killen, so wie ich von ihr einige Sachen lerne... Ich schau jedoch vorher auf das Script ob alles ok ist....Dann gehts los...

Frag mal einen blinden nach dem Weg

Klar ist es klar :

Edit:
Ich bin guter Dinge, dass das GMER noch 2 Std. läuft...