Schwarzer Desktop, Startmenü verschwunden, Meldung "Festplatte Defekt"
 

Hallo zusammen

Gestern Abend gingen spontan 1000 Fenster, die behauptet haben, dass meine Festplatte kaputt sei. War mir direkt klar, dass ich mir irgendwas eingefangen hab. Meinen Taskmanager konnte ich auch nicht mehr benutzen, da irgendwas ihn blockierte.

Direkt mit
Antivir
Spybot
SUPERAntiSpyware
Malwarebytes' Anti-Malware

gescannt, die haben zwar alle was gefunden und mein Taskmanager funktioniert wieder, aber mein Desktop ist immer noch schwarz und meine Startmenüeinträge sind auch verschwunden.

http://www.abload.de/thumb/007nd7gb.jpg

Ich dachte mir "Reparaturmodus"... F8 beim Booten, Dell hat auf meine zweite Partition ein Windowsbackup gelegt. Ar...lecken, da keine Domäne wurde bzw angeblich mein Passwort / Benutzername falsch ist kann ich mich nicht anmelden.


OTL sagt:

Ich hoffe ihr könnt mir helfen.

Würdest du dann auch bitte alle Logs von diesen eingesetzten Tools posten?

SuperAntiSpyware:

Malwarebytes 1

Malwarebytes 2

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Nein, nur die beiden. Antivir hat nichts gefunden, hab mich geirrt.

Spybot

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Zwischenstand (er ist gerade bei 43%)

So:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ok, werde ich machen, ich poste das Ergebnis wenn's fertig ist.

Wenn Windows startet kommt jetzt:
http://www.abload.de/img/2_160x160nzz1.jpg

Customscan OTL



Edit:

Der Internetexplorer ist übrigens permanent im Hintergrund an. Wenn ich den Prozess beende, startet er sich wieder automatisch.

Wer hat dich im August 2010 angewiesen Combofix auszuführen?

Woher stammt das CS5? Welche Quelle?

Keine Ahnung, ich hatte Combofix bisher noch nie drauf, weiss nicht wo das herkommt.

CS5 war die Trial direkt von Adobe.

Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner Quarantine in C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hab ich gerade gemacht.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Keine Ahnung ob der Fix jetzt für alles war, aber:

Starteinträge sind noch weg.

Internetexplorer startet sich noch immer selbst.

Diese
http://www.abload.de/img/2_160x160nzz1.jpg

Fehler kommen auch noch.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Er hat mich gerade direkt danach aufgefordert neuzustarten. Vorher hatte ich schon Unhide benutzt.

Die beiden Fehlermeldungen sind verschwunden, mein Startmenü ist wieder komplett da und der Internetexplorer startet auch nicht mehr von alleine. Super! :D


Edit

Zu früh gefreut, die Startmenüeinträge sind zwar wieder da, aber "Leer". :(

Rootkit und TDSS bitte komplett entfernen!
Starte Windows danach neu und mach ein neues Log mit dem TDSS-Killer

Jetzt hab ich nur noch das Problem:
http://img20.myimg.de/klein1a444_thumb.jpg#

Jeder Menüeintrag (bis auf die Standardeinträge von Windows) sind "leer".

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

GMER
OSAM
aswMBR ist im Scan mit nem Bluescreen abgestürzt, irgendwas mit NTFS.sys stand auf dem Bluescreen.

Windows sagt:

Starte Windows neu und probier aswMBR bitte nochmal.

Jetzt hat's geklappt

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Werde ich gleich machen, kannst du mir auch irgendwie bei dem Problem helfen, dass alle meine Startmenüeinträge "leer" sind?

mach bitte erst die Kontrollscans

Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Ja, mein Startmenü ist immer noch leer, keine Ahnung wie ich das hinbiegen kann.

z.B.: Start -> Alle Programme -> AntiVir -> Leer (statt irgendwelchen Einträgen)

So sieht das bei allen Einträgen aus, nur "Zubehör" und "WinRar" sind komplett da.

Sonst hab ich aber keine Probleme mehr, keine Fehler, keine Meldungen, keine Viren.

Erstell dir mal ein neues Benutzerkonto in der Systemsteuerung und log dich dann darin ein. Ist dort das Startmenü auch leer?

Jepp, die Einträge sind da, aber die Ordner sind leer.

Hm, vor ca. einem 3/4 jahr hatten wir hier häufig die Problematik, dass das Startmenü leer war nach einer Infektion. Ich hab damals immer den u.z. Text gepostet. Ich fürchte aber die Verknüpfungen sind bei dir weg. Wenn die nicht im genannten Ordner liegen, könnte eine Dateisuche nach den Verknüpfungen mit etwas Glück noch helfen.

Den Ordner SMTMP gibts bei mir nicht, den Ordner "TMP" auch nicht.

Bei "C:\Dokumente und Einstellungen\Benedikt\Startmenü" kommt der Fehler ebenfalls.

In "C:\Qoobox\Quarantine\C\..." ist auch nichts zu finden.

Auf "...\Lokale Einstellungen\" kann ich nicht zugreifen,

:(

Dann navigier mal C:\Users\Benedikt\
Rechtsklick auf Starmenü => Eigenschaften => Sicherheit
Prüf dort die Zugriffsrechte.

Ist das denn korrekt, das "Startmdenü" nur eine Verknüpfung ist?

"System" / "Benedikt" / "Administratoren" hat vollen Zugriff, nur "Spezielle Berechtigungen" hat keinen Haken, kein Haken ist bei "Verweigern" gesetzt.
"Jeder" hat nur einen Haken bei "Spezielle Berechtigungen", bei "Verweigern".

Bin ich mir jetzt nicht so sicher, hab hier auch gerade kein Win7 da um das zu prüfen.
Das Betreten des Ordners wird aber immer noch verweigert? Mit vollem Zugriff solltest du da eigentlich rankommen

Ja, ich kann da gar nicht drauf zugreifen, immer wieder "Zugriff verweigert".

Haste keine Idee mehr wie ich das wieder hinbiegen kann? :(

Du könntest den Rechner mal von einer Live-CD wie Knoppix oder Ubuntu im Probiermodus starten. Damit solltest du an den Ordner rankommen.