hi,

hier gibt es ja schon eine Menge zu dem Thema "Windows Recovery".

Ich habe jetzt folgendes Problem und bisher noch nichts dazu bei meiner websuche gefunden.

Ich habe/hatte auf meinem Rechner das Windows-Recovery-Problem, wie in diesem Thread beschieben: http://www.trojaner-board.de/96741-w...entfernen.html
(der computer ließ sich noch starten)

Ich habe dann mit einem anderen Rechner (von dem ich jetzt auch schreibe) rkill und Malwarebytes downgeloadet, umbenannt, auf cd gebrannt, auf dem infizierten rechner wie im thread beschrieben ausgeführt.
(mehrmals rkill, dann unsichtbare dateien sichtbar gemacht (war dann alles wieder da), dann Malwarebytes installiert, rechner wieder ans i-net angeschlossen (hatte ich zur sicherheit getrennt), geupdatet, vollen scan gemacht und dann alle Bedrohungen entfernt. (im log stand überall, dass es erfolgreich war))
Nun sollte ich zum endgültigen entfernen neu starten, was ich bestätigt habe. Seitdem startet der computer nicht mehr. Er lädt bis zum Windows-Bildschirm mit dem Balken (windows xp englisch), und sartet dann neu. Dann kommt die auswahl, wo man die verschiedenen abgesicherten modi ... wählen kann. Egal, welchen ich auswähle, der rechner startet neu.
bei safe mode, safe mod network und safe mode command prompt -> ohne windows bild bis ....\drivers\Mup.sys, dann restart
bei last known good und normally bis Windows bild - 2 kleine balken, dann ganz kurzer bluescreen, dann restart.

ich hoffe, ihr könnt mir helfen - schon mal danke für eure mühe

grüße

Kommst du an die Logs von Malwarebytes ran? Wenn ja bitte alle posten!

hi,

über das installierte windows nicht, da das ja in keinem der Modi startet.

Ich hatte überlegt, ob ich die windows-reparatur-option von der windows cd drüber laufen lasse.

Vorher werd ich aber erst mal versuchen, mit diesem ubuntu aus deiner signatur meine Daten zu sichern. Wenn ich damit Zugriff auf die Festplatte habe, werd ich gleich mal nach einer solchen logdati ausschau halten.

Würden die Logs denn helfen, wenn das system ohnehin nicht von allein startet? Da muss ja dann eh was repariert werden. (aber ich frage zu viel ich werd erst mal nach den Logdateien sehen)

Auf jeden Fall danke für deine schnelle Antwort.

grüße

Mit OTLPE kriegen wir es vllt noch hin. Einen Zweitrechner mit funktionstüchtigem Windows hast du ja. Von dort aus kommst du auch an die Log von Malwarebytes ran.

XP => Dokumente und Einstellungen/NAME/Anwendungsdaten/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Vista und 7 => Users/NAME/AppData/Roaming/Malwarebytes/Malwarebytes' Anti-Malware/Logs
ein anderer Ort ist auch möglich => /ProgramData/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote den Rechner mit defektem Windows von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

hi,

kann ich die otl.txt auch mit der reatogo-platform auf nen usb-stick ziehen oder sollte ich dafür wieder ubuntu benutzen?

die OTL.Txt hab ich unter c:
Eine extras.txt gibt es aber nicht unter c:

grüße

hi,

hab jetzt nochmal auf ubuntu gewechselt und die otl.txt rübergeholt.

Beide dateien (malwarebytes-log und otl-log) poste ich hier im anhang.

grüße

Zitat:

c:\WINDOWS\system32\drivers\volsnap.sys

Die Datei hat Malwarebytes gelöscht weil sie manipuliert wurde. Dummerweise kann Windows ohne sie nicht starten.
Ich hab dir so eine volsnap mach hochgeladen, ist von meiner WinXP-Installation => File-Upload.net - volsnap.sys
Übertrage sie über Ubuntu oder OTLPE in den Ordner c:\WINDOWS\system32\drivers

Dann sollte dein Windows eigentlich normal wieder starten.

hi,

juhuuuu - vielen dank - windows startet wieder.

Was sollte ich als nächstes tun?

Meine Dateien und Ordner sind noch unsichtbar. Bei meiner Recherche am Anfang hab ich hier im Forum irgendwas mit unhide gelesen. Sollte ich das machen, oder erst noch was anderes?

grüße

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Erstell auch frische OTL-Logs aus dem laufenden Windows heraus und poste sie.

hi,

bevor ich jetzt nochmal irgendwas auf dem rechner ausführe hab ich erst mal noch ne frage:

gestern hat ja Windows wieder gestartet, heute jedoch nicht mehr - wieder das gleiche problem - habe dann nochmal deine volsnap.sys per ubuntu kopiert (die fehlte tatsächlich - beim ersten mal war sie irgendwie noch da, aber nicht als sys-datei (unbekannte dateiendung, als ich die über ubuntu anklicken wollte)) und nun war der Start wieder erfolgreich. (hab ubuntu nicht wie empfohlen auf einfachklick eingestellt, weil ich doppelklick gewohnt bin - einfachklick wählt dann ja nur die datei aus)

Gestern hatte ich nichts weiter mit dem rechner gemacht, bis auf malwarebytes-scans und update und noch nen scan - hat jedes mal nichts gefunden. Interessanterweise hat aber Malwarebytes noch ne riesen liste unter dem tab quarantäne.
Zudem gab es ab und zu ne Fehlermeldung. Momentan war ich mit dem Rechner per IE in diesem Thread und habe unhide.exe downgeloadet. Da hat sich nen neues Fenster mit webinhalt geöffnet, was auf meinem laptop nicht der fall war.
Bisher hat AVG auch 2 Bedrohungen gemeldet (sieht zumindest so aus (Infektion: Exploit: Blackhole Exploit Kit (type 2002))). Bisher hab ich aber noch keinen AVG-Scan durchgeführt, da das ja vorher auch nicht geholfen hat.

edit: mir ist noch was aufgefallen: auf dem Desktop ist ne (unsichtbare) Datei (wie ja alles andere auch) namens "windows recovery". Zudem hab ich im Taskmanager die Prozesse PnkBstrA.exe und PnkBstrB.exe entdeckt. Ich weiß zwar, dass Punkbuster bei diversen Spielen läuft, aber ich kann mich nicht erinnern, das mal außerhalb von Spielen im Taskmanager unter Prozesse gesehen zu haben - kann mich da aber auch irren.

grüße

Zitat:

Interessanterweise hat aber Malwarebytes noch ne riesen liste unter dem tab quarantäne.

Das Log dazu posten. Alle Logs posten, die im Reiter Logdateien zu sehen sind.

Zitat:

Bisher hat AVG auch 2 Bedrohungen gemeldet (sieht zumindest so aus (Infektion: Exploit: Blackhole Exploit Kit (type 2002))).

Auch das Log posten.

Windows startet jetzt immer wieder normal oder nicht?
Bitte im laufenden Windows dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

hi,

hab den TDSSKiller-Log angehangen.
Auch den zweiten log von malwarebytes (den ersten hatte ich ja schon - oder soll ich immer wieder alle posten?)

Nach TDSS-Kill restart hat windows gestartet.

Ich vermute, dass Malwarebytes die volsnap nochmal gelöscht hat, weil die noch in der quarantäne liste steht.

vom AVG hab ich nichts sinnvolles gefunden, was ich posten könnte - ich hab ja auch seitdem keinen scan gemacht - es ist nur eine Bedrohung in nem Fenster gemeldet worden - aber ich such nochmal.

Ich schreibe grad vom dem Rechner. Während vor TDSSKill der IE oft abgestürzt ist, läuft es momenten (zumindest) ohne Störung.

grüße

Zitat:

2011/04/18 19:23:36.0921 3880 \HardDisk0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot

2011/04/18 19:23:36.0921 3880 \HardDisk0 - ok

2011/04/18 19:23:36.0921 3880 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure

2011/04/18 19:23:42.0968 3896 Deinitialize success

TDL4 wurde erkannt und entfernt. Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen.

hi,

hab ich gemacht - hat nix weiter gefunden.

grüße

Dann sollte das Problem mit der volsnap behoben sein.
Poste bitte frische OTL-Logs, diese aus dem laufenden Windows heraus erstellen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.