Windows Recovery entfernt,Ordner leer

cosinus · 06.06.2011, 20:41

Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Fehmarn · 06.06.2011, 21:03

Datei: Qoobox.zip empfangen

Vorgang erfolgreich abgeschlossen.

cosinus · 07.06.2011, 08:55

Hm schade. Da ist auch kein smtmp zu finden. Die Verknüpfungen sind damit alle wohl gelöscht worden.

Dann wären wir jetzt auch durch.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Fehmarn · 07.06.2011, 23:03

Moin Arne

Ich habe Deinen Leitfaden abgearbeitet.

Ich Danke Dir für Deine Mühe und Deine Geduld!

Vielleicht kann ich Dir ein We an der Ostsee anbieten für Deine Hilfe.

Gruß Fehmarn

Fehmarn · 09.06.2011, 07:54

Hallo Arne

Antivir zeigt mir jetzt irgendwas an:

Die Datei 'C:\Users\festus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\R2C4OI87\banner[2].htm'
enthielt einen Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic].
Durchgeführte Aktion(en):
Der Fund wurde als verdächtig eingestuft.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5230e85c.qua' verschoben!

Das kann nicht gut sein. Gruß Fehmarn

cosinus · 09.06.2011, 09:53

Surfst du auch mit dem IE oder mit einem anderen Browser?

Fehmarn · 09.06.2011, 19:19

Salve Arne

Ich Surfe jetzt wieder mit IE bis vor Zwei Monaten war ich ausschlielich nur mit Opera unterwegs aber der wurde irgenwie immer langsamer bis ich die Faxen Dick hatte.......jetzt benutze ich Opera nur noch gelegentlich.

Gruß Fehmarn

cosinus · 09.06.2011, 19:41

Dann ist es ein Fehlalarm. War ohnehin nur ein heuristischer Fund, wo die Fehlalarmquote sehr hoch ist.

Fehmarn · 09.06.2011, 19:45

ok

Fehmarn · 14.06.2011, 21:38

Hallo Arne

Die Alarme nehmen kein Ende.

Antivir zeigt mir ständig diesen hier an:

Die Datei 'C:\Windows\System32\spool\drivers\w32x86\3\AdobePdf.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Fake.Smoke.102' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a996441.qua' verschoben!

Ich hab mal mbam durchlaufen lassen,hier die log:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6858

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

14.06.2011 21:43:06
mbam-log-2011-06-14 (21-42-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 190480
Laufzeit: 6 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\festus\AppData\Local\temp\Low\ms0cfg32.exe (Spyware.Passwords.XGen) -> No action taken.

cosinus · 14.06.2011, 21:41

Das erste sieht nach einem Fehlalarm aus, aber wieso da wieder ein Fund von MBAM ist...
Mach bitte einen Vollscan mit MBAM.

Fehmarn · 15.06.2011, 07:22

Hier der log nach Vollscan

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6858

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

15.06.2011 01:27:22
mbam-log-2011-06-15 (01-27-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 349253
Laufzeit: 2 Stunde(n), 44 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das ist schon merkwürdig oder etwa nicht

09.06.2011, 09:53	#51
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows Recovery entfernt,Ordner leer Surfst du auch mit dem IE oder mit einem anderen Browser? __________________ --> Windows Recovery entfernt,Ordner leer

09.06.2011, 19:41	#53
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows Recovery entfernt,Ordner leer Dann ist es ein Fehlalarm. War ohnehin nur ein heuristischer Fund, wo die Fehlalarmquote sehr hoch ist. __________________ Logfiles bitte immer in CODE-Tags posten

14.06.2011, 21:41	#56
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows Recovery entfernt,Ordner leer Das erste sieht nach einem Fehlalarm aus, aber wieso da wieder ein Fund von MBAM ist... Mach bitte einen Vollscan mit MBAM. __________________ Logfiles bitte immer in CODE-Tags posten

Windows Recovery entfernt,Ordner leer

Log-Analyse und Auswertung: Windows Recovery entfernt,Ordner leer