Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 04.05.2011, 18:59   #1
11 o'clock
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Hallo,

ich habe mir letzte Woche einen Trojaner auf meinem Windows XP-System eingefangen. Irgendwann hat sich das Programm "Windows Recovery" gemeldet und hat fleißig Dateien versteckt und Probleme mit der Festplatte gemeldet. Das hat mich stutzig gemacht und nach etwas googeln bin ich hier gelandet.

Alles was in dem Trojaner-Board-TASK: (www.trojaner-board.de/97055-nach-windows-recovery-befall-und-entfernen-via-malware-schwarzer-hintergrund-und-alle-daten-weg-3.html) zu dem Thema gefunden habe, das ich ohne Hilfe ausführen konnte habe ich getan mit einem 2. Benutzer mit Administratorrechren ausgeführt:
1. OTL-scan
2. diverse durchläufe von Malwarebytes
3. Ausführen von "unhide.exe"
4. Ausführen des Kasparsky-Tools "tdsskiller.exe"

Anschließend habe ich die ganze Prozedur nochmal mit dem vom Trojaner befallenen Benutzer durchgeführt durchgeführt.

Das Ergebnis aller Aktionen war:
Auf dem Konto des befallenen Benutzers wird das Tool "Windows Recovery" nicht mehr ausgeführt. Allerdings habe ich nun das Problem, dass der Desktop nun blau ist, das Maus-Menü nicht mehr funktioniert, keine Icons mehr zu sehen sind und die Schnellstartleiste fehlt.
Sichtbar sind das Startmenü, die Uhr und die grade ausgeführten Programme. Die Dateien im Desktopverzeichnis sind sichtbar.

Wenn man sich die Beschreibung in dem TASK anschaut muss ich noch einen OTL-fix machen und brauche dann eventuell noch weitere Hilfe.

Kann mir jemand sagen was ich als nächstes machen muss, damit mein Benutzerkonto wieder funktioniert? Für eine Antwort wäre ich sehr dankbar!

Angehängt habe ich die Logs von Malwarebytes und den OTL-Scan.

Gruß
11 o'clock

Geändert von 11 o'clock (04.05.2011 um 19:07 Uhr)

Alt 05.05.2011, 14:21   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Zitat:
c:\RECYCLER\S-1-5-18\Dc1\Andre\Desktop\cracks\acd see 2.4\cr-acd24.exe

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte.
Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!


Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________

__________________

Alt 10.05.2011, 18:37   #3
11 o'clock
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



ich wusste gar nicht das die Datei noch irgendwo auf dem Rechner liegt. Aber das ist sicherlich keine Entschuldigung dafür.
Natürlich habe ich inzwischen eine Lizenz von ACDSee (siehe Screenshot unten) Aber trotzdem danke für den Support!

Grafik aufgrund der Lizenznummer entfernt
__________________

Geändert von Larusso (10.05.2011 um 20:14 Uhr)

Alt 10.05.2011, 18:57   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Oh, ich seh auch gerade, dass die Datei eigentlich "gelöscht" wurde, zumidnest im Papierkorb liegt. Da kann man eine Ausnahme wohl machen...

Mach bitte ein frisches OTL-Log.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.05.2011, 18:19   #5
11 o'clock
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Hallo,

ich habe den OTL-Quickscan durchgeführt. Vorher habe ich laufende Programme geschlossen und Avira deaktiviert. Ich hatte auch begonnen Prozesse wie den Real-Scheduler zu deaktivieren, habe aber nur den einen Prozess geschlosssen, weil ich mir unsicher war.

Die Ausgabe von OTL habe ich in einem .zip Archiv angehängt.

Dann ist mir noch eingefallen dass ich vor einiger Zeit ein FilterPack installiert habe, weil ich Probleme mit meinem Sound hatte. Ich hoffe das war nicht der Grund für meine Probleme.

Gruß und Vielen Dank
André


Alt 11.05.2011, 21:09   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (ICQ Toolbar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (ICQ Toolbar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} -  File not found
[2011.04.29 00:55:19 | 000,030,433 | ---- | M] () -- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\F5FA.64C
[2011.04.27 21:31:20 | 000,000,184 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18079540
[2011.04.27 21:31:19 | 000,000,152 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18079540r
[2011.04.27 21:28:51 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18079540
[2011.04.26 22:12:04 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19128116
[2011.02.08 21:06:59 | 000,444,283 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\WinPcapNmap.exe
[2009.09.26 12:17:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.07.13 21:22:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
--> "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix

Alt 11.05.2011, 22:12   #7
11 o'clock
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Hallo,
ich habe den Fix durchgeführt. Das Ergebnis-Log nach dem Neustart habe ich angehängt.

Gruß
André

Alt 11.05.2011, 22:14   #8
11 o'clock
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Hier jetzt das log

Alt 11.05.2011, 22:23   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.05.2011, 22:31   #10
11 o'clock
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Hallo,
TDS-Killer und unhide.exe hatte ich letzte Woche schonmal ausgeführt. Meine Dateien sind glaube ich alle wieder sichtbar.
Ich habe jetzt nochmal ein update gemacht und es wurden keine Infektionen mehr gefunden.
Das Log habe ich angehängt.

Gruß
André

Alt 11.05.2011, 22:41   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.05.2011, 07:29   #12
11 o'clock
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Hallo,

ich habe den CCleaner gestartet und er ist durchgelaufen. Anschließend habe ich Combofix gestartet und es gab keine Probleme mit irgendwelchen Installationen oder abstürzen. Beim Scan mit ComboFix habe ich die Maus abgezogen.

Am Ende hat Combofix scheinbar meinen Rechner automatisch heruntergefahren. Ich bin leider während dem Scan eingeschlafen.

Der Desktob ist nun wieder sichtbar und die Schnellstartleiste funktioniert scheinbar wieder, obwohlalle Einträge gelöscht wurden. Das ist aber nicht schlimm.

Das Log von ComboFix habe ich angehängt.

Gruß aund für die Erfolge und den support bis hierhin
André

Alt 12.05.2011, 09:51   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.05.2011, 19:54   #14
11 o'clock
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Hallo,
angehängt habe ich den GMER-Log, den OSAM-Log und den MBR-Check. Ein MBR-Speicherabbild habe ich nicht erstellt.

Den Online-Check habe ich leider durchlaufen lassen. Ich dachte das Programm fragt vorher nach :-)

Gruß
André

Alt 13.05.2011, 15:40   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Standard

"Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix
antwort, befall, benutzer, benutzerkonto, blau, brauche, dateien, dateien versteckt, desktop, diverse, durchgeführt, ergebnis, festplatte, funktioniert, googeln, icons, konto, nicht mehr, platte, probleme, programm, recovery, trojaner, windows, windows recovery entfernen, woche




Ähnliche Themen: "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "Fehler: Server nicht gefunden" immer noch nach "WAJAM.A.1"-Befall
    Plagegeister aller Art und deren Bekämpfung - 05.11.2014 (15)
  3. Windows 8, "Speed Check" Malware-Befall
    Log-Analyse und Auswertung - 28.10.2014 (7)
  4. Windows 7: Bit Coin Miner "Befall"
    Log-Analyse und Auswertung - 01.01.2014 (9)
  5. Alle Dateien versteckt - Befall mit "trojan.fasagent" und "PUM.Hijack.StartMenu"
    Log-Analyse und Auswertung - 09.07.2012 (29)
  6. "Alle Programme" leer in Windows 7 nach S.M.A.R.T Repair Trojaner Befall
    Plagegeister aller Art und deren Bekämpfung - 08.06.2012 (11)
  7. Trojaner-Befall: "Achtung - Ihr Windows wurde aus Sicherheitsgründen gesperrt.."
    Log-Analyse und Auswertung - 26.03.2012 (9)
  8. Überbleibsel des "Bundespolizei"/"Windows System Recovery" -Trojaners
    Log-Analyse und Auswertung - 25.11.2011 (47)
  9. "Windows Recovery" mit Malwarebytes entfernt -- Notebook evtl. noch nicht sauber?
    Log-Analyse und Auswertung - 25.06.2011 (18)
  10. PC clean? "Windows 7 Recovery " entfernt mit Trojaner-Board Anleitung
    Log-Analyse und Auswertung - 01.06.2011 (12)
  11. "Recovery"- und"Bundeskriminalamt"-Malware; Rkill und Malwarebytes öffnen sich nicht
    Plagegeister aller Art und deren Bekämpfung - 29.05.2011 (9)
  12. "Recovery"- und"Bundeskriminalamt"-Malware; Rkill und Malwarebytes öffnen sich nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 29.05.2011 (2)
  13. "Stutter.X,"Windows XP recovery"-Aufforderung, "Festplatte beschädigt"-Meldung, Bildschrim schwarz,
    Log-Analyse und Auswertung - 28.05.2011 (20)
  14. "Festplatte beschädigt/Systemneustart/Windows Vista Recovery" Meldungen
    Log-Analyse und Auswertung - 23.05.2011 (3)
  15. Rechner hängt sich bei GMER seit "Entfernung" von Windows Recovery auf
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (23)
  16. "Windows Recovery" + AVG führte zu Endlosschleife beim Booten
    Plagegeister aller Art und deren Bekämpfung - 25.04.2011 (11)
  17. Plötzlicher Trojaner-Befall "Windows Security alert"
    Plagegeister aller Art und deren Bekämpfung - 31.05.2010 (3)

Zum Thema "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix - Hallo, ich habe mir letzte Woche einen Trojaner auf meinem Windows XP-System eingefangen. Irgendwann hat sich das Programm "Windows Recovery" gemeldet und hat fleißig Dateien versteckt und Probleme mit der - "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix...
Archiv
Du betrachtest: "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.