|
Log-Analyse und Auswertung: "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-FixWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.05.2011, 18:59 | #1 |
| "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Hallo, ich habe mir letzte Woche einen Trojaner auf meinem Windows XP-System eingefangen. Irgendwann hat sich das Programm "Windows Recovery" gemeldet und hat fleißig Dateien versteckt und Probleme mit der Festplatte gemeldet. Das hat mich stutzig gemacht und nach etwas googeln bin ich hier gelandet. Alles was in dem Trojaner-Board-TASK: (www.trojaner-board.de/97055-nach-windows-recovery-befall-und-entfernen-via-malware-schwarzer-hintergrund-und-alle-daten-weg-3.html) zu dem Thema gefunden habe, das ich ohne Hilfe ausführen konnte habe ich getan mit einem 2. Benutzer mit Administratorrechren ausgeführt: 1. OTL-scan 2. diverse durchläufe von Malwarebytes 3. Ausführen von "unhide.exe" 4. Ausführen des Kasparsky-Tools "tdsskiller.exe" Anschließend habe ich die ganze Prozedur nochmal mit dem vom Trojaner befallenen Benutzer durchgeführt durchgeführt. Das Ergebnis aller Aktionen war: Auf dem Konto des befallenen Benutzers wird das Tool "Windows Recovery" nicht mehr ausgeführt. Allerdings habe ich nun das Problem, dass der Desktop nun blau ist, das Maus-Menü nicht mehr funktioniert, keine Icons mehr zu sehen sind und die Schnellstartleiste fehlt. Sichtbar sind das Startmenü, die Uhr und die grade ausgeführten Programme. Die Dateien im Desktopverzeichnis sind sichtbar. Wenn man sich die Beschreibung in dem TASK anschaut muss ich noch einen OTL-fix machen und brauche dann eventuell noch weitere Hilfe. Kann mir jemand sagen was ich als nächstes machen muss, damit mein Benutzerkonto wieder funktioniert? Für eine Antwort wäre ich sehr dankbar! Angehängt habe ich die Logs von Malwarebytes und den OTL-Scan. Gruß 11 o'clock Geändert von 11 o'clock (04.05.2011 um 19:07 Uhr) |
05.05.2011, 14:21 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-FixZitat:
Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________ |
10.05.2011, 18:37 | #3 |
| "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix ich wusste gar nicht das die Datei noch irgendwo auf dem Rechner liegt. Aber das ist sicherlich keine Entschuldigung dafür.
__________________Natürlich habe ich inzwischen eine Lizenz von ACDSee (siehe Screenshot unten) Aber trotzdem danke für den Support! Grafik aufgrund der Lizenznummer entfernt Geändert von Larusso (10.05.2011 um 20:14 Uhr) |
10.05.2011, 18:57 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Oh, ich seh auch gerade, dass die Datei eigentlich "gelöscht" wurde, zumidnest im Papierkorb liegt. Da kann man eine Ausnahme wohl machen... Mach bitte ein frisches OTL-Log. CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
11.05.2011, 18:19 | #5 |
| "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Hallo, ich habe den OTL-Quickscan durchgeführt. Vorher habe ich laufende Programme geschlossen und Avira deaktiviert. Ich hatte auch begonnen Prozesse wie den Real-Scheduler zu deaktivieren, habe aber nur den einen Prozess geschlosssen, weil ich mir unsicher war. Die Ausgabe von OTL habe ich in einem .zip Archiv angehängt. Dann ist mir noch eingefallen dass ich vor einiger Zeit ein FilterPack installiert habe, weil ich Probleme mit meinem Sound hatte. Ich hoffe das war nicht der Grund für meine Probleme. Gruß und Vielen Dank André |
11.05.2011, 21:09 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll () O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll () O3 - HKLM\..\Toolbar: (ICQ Toolbar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll () O3 - HKCU\..\Toolbar\WebBrowser: (ICQ Toolbar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - File not found [2011.04.29 00:55:19 | 000,030,433 | ---- | M] () -- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\F5FA.64C [2011.04.27 21:31:20 | 000,000,184 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18079540 [2011.04.27 21:31:19 | 000,000,152 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18079540r [2011.04.27 21:28:51 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18079540 [2011.04.26 22:12:04 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19128116 [2011.02.08 21:06:59 | 000,444,283 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\WinPcapNmap.exe [2009.09.26 12:17:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} [2009.07.13 21:22:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ --> "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix |
11.05.2011, 22:12 | #7 |
| "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Hallo, ich habe den Fix durchgeführt. Das Ergebnis-Log nach dem Neustart habe ich angehängt. Gruß André |
11.05.2011, 22:14 | #8 |
| "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Hier jetzt das log |
11.05.2011, 22:23 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
11.05.2011, 22:31 | #10 |
| "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Hallo, TDS-Killer und unhide.exe hatte ich letzte Woche schonmal ausgeführt. Meine Dateien sind glaube ich alle wieder sichtbar. Ich habe jetzt nochmal ein update gemacht und es wurden keine Infektionen mehr gefunden. Das Log habe ich angehängt. Gruß André |
11.05.2011, 22:41 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
12.05.2011, 07:29 | #12 |
| "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Hallo, ich habe den CCleaner gestartet und er ist durchgelaufen. Anschließend habe ich Combofix gestartet und es gab keine Probleme mit irgendwelchen Installationen oder abstürzen. Beim Scan mit ComboFix habe ich die Maus abgezogen. Am Ende hat Combofix scheinbar meinen Rechner automatisch heruntergefahren. Ich bin leider während dem Scan eingeschlafen. Der Desktob ist nun wieder sichtbar und die Schnellstartleiste funktioniert scheinbar wieder, obwohlalle Einträge gelöscht wurden. Das ist aber nicht schlimm. Das Log von ComboFix habe ich angehängt. Gruß aund für die Erfolge und den support bis hierhin André |
12.05.2011, 09:51 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
12.05.2011, 19:54 | #14 |
| "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Hallo, angehängt habe ich den GMER-Log, den OSAM-Log und den MBR-Check. Ein MBR-Speicherabbild habe ich nicht erstellt. Den Online-Check habe ich leider durchlaufen lassen. Ich dachte das Programm fragt vorher nach :-) Gruß André |
13.05.2011, 15:40 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu "Windows Recovery" Befall - Widerherstellen des Desktops und OTL-Fix |
antwort, befall, benutzer, benutzerkonto, blau, brauche, dateien, dateien versteckt, desktop, diverse, durchgeführt, ergebnis, festplatte, funktioniert, googeln, icons, konto, nicht mehr, platte, probleme, programm, recovery, trojaner, windows, windows recovery entfernen, woche |