Nach einem Viren-/Trojanerbefall habe ich einen Scan mit Malwarebytes abgeschlossen, die befallenen Dateien in Quarantäen verschieben lassen und kann mich seither nicht mehr anmelden. Der PC bootet nicht mehr vollständig hoch. Ich komme bis zur Anmeldeseite, kann noch das Kennwort für den Benutzer angeben, dann nimmt er nicht mal mehr die BEstätigung an. auch booten von CD (mit dementsprechender Einstellung im BIOS) ist nicht mehr möglich. auch der Start im sicheren Modus ist nicht möglich.
Inzwischen habe ich mit einer Linux-Live-CD (Knoppix) die Daten auf eine mobile Festplatte gezogen und diese auch schon mal mit einem online Scanner geprüft (ESET). Das scheint o.k. zu sein. Somit sind in erster Linie auf der C-Partition noch das Betriebssystem und verschiedene Programme vorhanden, der Mailordner und Arbeitsordner für ein bestimmtes Programm sind noch vorhanden.
Komplett neues Formatieren möchte ich erst als allerletzte Möglichkeit in Betracht ziehen, da auf dem Rechner ein Programm installiert ist, wofür ich nicht mehr an die INstallationsdateien heran komme. Das wäre verloren, aber ich bräuchte es weiterhin.
Ich habe jetzt Scans mit OTLPE durchlaufen lassen, die logfiles sind recht lang. Wenn ich sie direkt poste, muss ich sie in mehrere Antworten aufteilen, wenn ich sie zippe, kann ich sie in einer hochladen.
Wie soll ich sie am besten posten?

Besteht eine Chance, die in Quarantäne verschobenen Dateien wieder herzustellen, eine Bereinigung mit einem anderen Programm als mbam durch zu führen oder irgendwie so, dass der Rechner dann wieder/weiter betriebsfähig ist?

Danke und GRuss.

Hallo,
ich habe zu dem Thema bereits einen anderen Thread gepostet aber die Malware (die ich bislang kenne) nicht benannt und die logfiles nicht angehängt.
Daher starte ich hier nochmal neu und mache diesmal hoffentlich das meiste richtig.

Das Problem:
Nach einem Viren-/Trojanerbefall habe ich Scans mit Antivir und mit Malwarebytes abgeschlossen. Antivir ergab mehrere befallene Dateien mit TR/Crypt.ZPACK.Gen, TR/VB.Inject.94208.DG, TR/VB.Inject.53248.DG ... siehe logfile AVSCAN-100607. . Malwarebytes ergab Trojan.Dropper und Trojan.Fraudpack. Vielleicht ist das ja dasgleiche ..., ebenfalls als logfile

die befallenen Dateien in Quarantäen verschieben lassen und kann mich seither nicht mehr anmelden. Der PC bootet nicht mehr vollständig hoch. Ich komme bis zur Anmeldeseite, kann noch das Kennwort für den Benutzer angeben, dann nimmt er nicht mal mehr die BEstätigung an. auch booten von CD (mit dementsprechender Einstellung im BIOS) ist nicht mehr möglich. auch der Start im sicheren Modus ist nicht möglich.
Inzwischen habe ich mit einer Linux-Live-CD (Knoppix) die Daten auf eine mobile Festplatte gezogen und diese auch schon mal mit einem online Scanner geprüft (ESET). Das scheint o.k. zu sein. Somit sind in erster Linie auf der C-Partition noch das Betriebssystem und verschiedene Programme vorhanden, der Mailordner und Arbeitsordner für ein bestimmtes Programm sind noch vorhanden.
Komplett neues Formatieren möchte ich erst als allerletzte Möglichkeit in Betracht ziehen, da auf dem Rechner ein Programm installiert ist, wofür ich nicht mehr an die INstallationsdateien heran komme. Das wäre verloren, aber ich bräuchte es weiterhin.
Ich habe jetzt Scans mit OTLPE durchlaufen lassen, die logfiles sind recht lang. Wenn ich sie direkt poste, muss ich sie in mehrere Antworten aufteilen, wenn ich sie zippe, kann ich sie in einer hochladen.
Wie soll ich sie am besten posten?

Besteht eine Chance, die in Quarantäne verschobenen Dateien wieder herzustellen, eine Bereinigung mit einem anderen Programm als mbam durch zu führen oder irgendwie so, dass der Rechner dann wieder/weiter betriebsfähig ist?

..die Eingabetaste war "schneller" als ich ...
Die Dateien habe ich mit mbam in Quarantäne verschoben, seither habe ich das beschriebene Problem.
Im Anhang befinden sich die logfiles, es ging z.t. nur als zip wegen der Dateigrößen.

Poste die OTL-Logs gezippt in einer Datei.
Das Malwarebytes Logfiles wäre auch wichtig.

http://www.trojaner-board.de/92344-t...ootfaehig.html

Mehrfachpostings bitte in Zukunft sein lassen

Zitat:

Komplett neues Formatieren möchte ich erst als allerletzte Möglichkeit in Betracht ziehen, da auf dem Rechner ein Programm installiert ist, wofür ich nicht mehr an die INstallationsdateien heran komme. Das wäre verloren, aber ich bräuchte es weiterhin.

Hm, was für ein Programm wäre das denn? Sind die Installationsdateien schlicht nicht mehr da?

Zitat:

Erstellungsdatum der Reportdatei: Montag, 7. Juni 2010 16:26

Sind die Logs alles tatsächlich so alt oder ist das Datum Deines Rechners verstellt?

Mehrfachposting wird bestimmt nicht zur Regel, deswegen habe ich den anderen Thread auch erwähnt.
Ein paar Anmerkungen zu den Lofgiles (Antivir und mbam, aus den Ergebnissen von OTL werde ich nicht schlau):
Das Benutzerkonto HelpAssistant.ATHLON64.000 war mir bisher nicht bekannt, ich bin nicht sicher, ob es ggf. angelegt wurde mit der Verwendung eines Berechnungs-Programmes, quasi "automatisch". Inwiefern sind die SUN/Java-Dateien so stark ins Betriebssystem eingebunden, dass sie den Bootvorgang beeinflussen können? Auf der C:-Partition habe ich aus meiner bescheidenen Sicht folgende als "kritische" Dateien heraus gelesen, kann sie aber nciht beurteilen (oder die Fehlermeldung, also ob wirklich Trojaner oder nicht):
AVSCAN:
Modul ist infiziert -> 'C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe'
C:\WINDOWS\Temp\vbct.tmp\svchost.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen

mbam:
C:\WINDOWS\system32\drivers\abupjdbq.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.

und:
C:\WINDOWS\Temp\0.27736768507828147.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.

was für Auswirkungen haben die Infizierungen in den Registrierungsschlüsseln?
(mbam)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

Alle Partitionen höher als G: sind von einer mobilen FP und beinhalten "nur" Daten bzw. Backup-Dateien.
Der folgende Fund darauf irritiert mich, weil die Datei zu einem Installationsprogramm eines Programms gehört, das eigentlich sauber und regulär ist. Ist die Meldung ein "Fake"?

[0] Archivtyp: ZIP
--> AccessBridge_1.1_GA/JavaFerret.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

Die Autorun-Funktionen auf der mobilen FP habe ich inzwischen alle entfernt/deaktiviert.
Aus irgendwelchen Gründen ist mir ein ursprünglicher Satz mit Backup-Dateien für den infizierten Rechner abhanden gekommen, sodass mir gerade die relevanten Dateien für das Berechnungsprogramm fehlen .. :-(. Wenns dumm läuft, dann richtig ... Meine wiederholten Versuche vor dem Crash, nochmal Backups zu machen, sind jeweils fehl geschlagen. Da dachte ich mir schon, dass irgendwas ziemlich faul ist.

Hoffe, ich habe ein bisschen helfen können. Vielen Dank im Voraus.

Hallo,
ja, die Installationsdateien sind nicht mehr da und meine Versuche, nochmal daran zu kommen, haben nicht geglückt. Geänderte Konditionen und sozusagen Quelle versiegt. Eigentlich handelt es sich dabei sogar um zwei verschiedene Programme, aber das andere habe ich notfalls noch auf dem Notebook.
Die Log-Dateien sind tatsächlich so alt, irgendwo hatte ich schon was dazu geschrieben:
Ich war zwischenzeitlich weg und anders eingebunden, musste in dieser Zeit auf einen alten Interims-Rechner und Fremdrechner zurück greifen, was eben keine Dauerlösung sein kann.
Wie gesagt: Daten sind fast alle runter vom PC, alle sonst als infizierten Programme (DivX,, HP, ....)sind unwichtig und hab ich teils auch schon entfernt.
Die in Quarantäne verschobenen restore-Dateien dürften ja keine Probleme beim Booten machen?
Danke und

Was ich nicht ganz verstehe: Wenn die Logdateien tatsächlich so alt sind und der Rechner unmittelbar danach nicht mehr bootete, dann schleppst Du dieses Problem schon seit Anfang Juni, also fast 5 Monate jetzt so herum?

Was für exotisches Programm ist das, für das keine Installationsquelle mehr vorhanden ist?

naja, letzten Endes tut es nicht so viel zur Sache, dass ich das Problem in dem Moment nicht weiter verfolgen konnte. Ich war froh, dass ich vorübergehend auf andere Mittel ausweichen konnte.
Exotisch ist das Programm nicht wirklich, es ist eben ein Berechnungsprogramm, und wenn ich den Rechner neu aufsetzen würde, wäre es weg.
Ich habe nochmal wegen der Benutzerkonten geschaut, es gibt drei HelpAssistant - Konten, ich kann mich nicht mehr erinnern, wofür die gut sein sollen. Den Rechner habe ich grundlegend nicht selbst aufgesetzt, deswegen kann ich dazu nicht mehr sagen. Sie werden ihre Richtigkeit haben, denk ich.
Sind die dort infizierten Dateien kritisch für den Betrieb?
Ich habe jetzt nochmal versucht nach entfernen der Dateien den Rechner (auch über CD) zu starten. Mit Boot-CD komme ich zur Reparaturkonsole, aber kenne mich damit nicht gut aus. Beim Booten von Harddisk tritt das alte Phänomen auf: die Anmeldeseite wird angezeigt, Mauspfeil ist mittig, und weiter spricht der Rechner nicht an, auch die Maus reagiert nicht, keine Anmeldung möglich.
Wird das Problem irgendwie aus den logfiles deutlich?
Danke und

Zitat:

Exotisch ist das Programm nicht wirklich, es ist eben ein Berechnungsprogramm, und wenn ich den Rechner neu aufsetzen würde, wäre es weg.

Na, dann kommt man doch wieder leicht an die Installationsdateien heran. Der Name des Programms würde mich mal interessieren oder ist der Geheim?

Wie siehts aus, wenn Du mal den Profilordner des Benutzers, mit dem Du Dich anmelden willst, mal unter Knoppix umbenennst? Klappt die Anmeldung dann? Oder hast Du das schon probiert bzw. die Anmeldung mit einem anderen Benutzer?

Ich glaube nicht, dass die Umbenennung des Benutzers/Profilordners etwas bringen wird, aber ich werde es versuchen.
Vielleicht habe ich das ungenau beschrieben: ich komme ja nicht mal mehr so weit, einen Benutzer aufzurufen. Er zeigt mir zwar die beiden an, die ich benutzt habe (als user und als mein eigener ADmin) aber ich kann keinen von beiden "ansprechen".
Werde ich probieren und berichten.
ich werde auch versuchen, die in Quarantäne verschobenen Dateien wieder zu finden. Habt ihr da irgendeinen Tipp für mich, wo die zu finden sind?
Was ich wohl ausschliessen kann ist, dass das Berechnungsprogramm irgendwas mit dem Problem ursächlich zu tun hat.

Ich möchte darauf eigentlich nicht mehr viel eingehen und habs ja schon mehrmals geschrieben: ich komme nicht mehr an die Installationsdateien heran.
Ansonsten hätte ich längst "kurzen Prozess" mit dem Rechner gemacht und nicht viel Zeit anderweitig investiert, weil nämlich das Arbeiten mit dem Interims-Rechner alles andere als ein Vergnügen ist.
Larusso hatte mir die Tipps mit OTL gegeben und damals geschrieben, es sei mehr zu tun und mit viel Arbeit verbunden. Es scheint also irgendwie möglich zu sein, das Problem zu lösen. Vor der Arbeit scheue ich mich nicht.
Könnt ihr mir helfen?

Schau mal in den Profilordner des Benutzers, der Malwarebytes ausgeführt hat. Unter

Code: Alles auswählenAufklappen

ATTFilter

Anwendungsdaten/Malwarebytes/Malwarebytes' Anti-Malware/Quarantine
         

solltest Du die Dateien finden. Ob man die Dateien einfach so durch rüberkopieren wiederherstelleren kann, weiß ich nicht, wahrscheinlich musst Du also mal diesen Quarantäneordner auf einen anderen Windows-Rechner mit installiertem Malwarebytes übertragen und dann versuchen diese in Quarantäne befindlichen Dateien wiederherzustellen. Wenn das geklappt hat, die Dateien dann wieder per USB-Stick auf den nicht bootfähigen Rechner übertragen. Natürlich musst Du höllisch aufpassen bei dieser Aktion, denn Du stellst da virulente Dateien wieder her. Und ob das ganze tatsächlich zum gewünschte Erfolg führen wird, wirst Du erst danach sehen.

Zitat:

Ich möchte darauf eigentlich nicht mehr viel eingehen und habs ja schon mehrmals geschrieben: ich komme nicht mehr an die Installationsdateien heran.

Den Name des Programms hast Du immer noch nicht genannt. Wenn alle Stricke reißen, könnte ein Neukauf einfacher und günstiger (auch vom Zeitaufwand her betrachtet) sein.