|
Secure CD bei verschlüsselter Festplatte
(https://www.trojaner-board.de/101886-secure-cd-verschluesselter-festplatte.html)
Secure CD bei verschlüsselter Festplatte Hallo zusammen, ich habe mir einen Virus eingefangen (Bundedpolizei...) und möchte diesen mithilfe einer Secure CD entfernen. Für eine Neuinstallation fehlt mir die Berechtigung. Mein Gedanke war eine Secure CD zu erstellen und damit die Festplatte zu scannen... soweit so gut bis ich auf das nächste Problem gekommen bin: Meine Festplatte ist mit SafeGuard geschützt und da diese erst nach dem booten freigeschaltet wird, findet der Virenscanner diese nicht. Eine Berechtigung für das deaktivieren von SafeguardEasy habe ich nicht, ebenso kein Passwort für BIOS und den abgesicherten Modus. Ich stecke ziemlich in der....:wtf: |
Wer hat denn die Verschlüsselung eingerichtet? Wär es nicht erstmal besser zu versuchen, die Verschlüsselung rückgängig zu machen? |
Der Admin den ich erstmal nicht erreichen kann. Ich schaffe es zumindest nach dem Windows-Start für ein paar Sekunden in den Task-Manager zu kommen bevor die Bildschirmsperre eintritt. Kann ich da irgendwie was machen um den Rechner zu stoppen bzw. weiß jemand wie der Prozess heißt den der Virus startet? |
Das Teil bekommt man eigentlich nur richtig per Rettungs-CD weg. Aber das bringt in deinem Fall nichts, weil die Platte komplett verschlüsselt ist. Probier mal eine jashla.exe oder eine 0.434234....exe aus dem Taskmanager zu hauen. Letztere ist eine aus zufälligen Zahlen im Namen zusammengesetzt Datei. Evtl .schaffst du es auch aus dem Taskmanager heraus OTL zu starten. |
Danke erstmal das du dir Zeit nimmst! Ich hab jetzt ein paar mal willkürlich Prozesse beendet und das "Bundespolizei-Bild" wurde nicht geöffnet. Taskmanager ist noch geöffnet und aus dem heraus konnte ich den Explorer starten... |
Ok, wenn das so klappt dann versuch mal Malwarebytes und OTL: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL-Custom: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Als erstes der Malwarebytes-Report: Malwarebytes' Anti-Malware 1.51.1.1800 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 7035 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 01.08.2011 16:38:31 mbam-log-2011-08-01 (16-38-31).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 488048 Laufzeit: 2 Stunde(n), 25 Minute(n), 20 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\K-LITE\UNINSTALL.EXE (Trojan.Downloader) -> Value: UNINSTALL.EXE -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\3 (Security.Hijack) -> Value: 3 -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel\HomePage (PUM.Hijack.HomePageControl) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Documents and Settings\***\Application Data\jashla.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig (Windows.Tool.Disabled) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\program files\common files\K-Lite\uninstall.exe (Trojan.Downloader) -> Quarantined and deleted successfully. |
Zitat:
|
Ging leider nicht da ich mich derzeit nicht in good old Germany befinde und ich seitdem so ne 1000er DSL-Leitung zu schätzen weiß... genau deshalb hab ich jetzt auch das Problem den OTL-Report zu posten, Zeitüberschreitung. ABER: Als ich den OTL-Report kopiert habe und den Explorer über den Taskmanager öffnete, kam mein Desktop wieder?! Neustart habe ich noch nicht versucht. Diese "Jashla.exe" habe ich gestern gelöscht |
Zitat:
Und die Zeitüberschreitung passiert, wil das Log zu groß ist, wie wärs mal mit alle Logs in eine ZIP packen und die ZIP hochladen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board