Windows Vista: Kazy.mekml.1 , Festplattenschaden, Dateien weg
 

Hallo zusammen!

Ich muß vorwegschicken, daß ich nicht gerade eine Koryphäe bin...
Ich habe folgendes Problem: als ich meinen Rechner startete, waren zunächst alle Dateien weg (die Programme nicht). AntiVir zeigte mir mehrfach o.g. Fund an, außerdem wurden mir Festplattenschäden angezeigt. Ich habe dann vorsichtshalber mal heruntergefahren. In anderen Foren habe ich schon von Dingen gelesen, die zu tun angeraten wurde, habe aber auch gesehen, daß jeder Befall individuell ist und habe deswegen mal nichts auf eigene Faust unternommen. Ich poste hier gern alle möglichen Logs, muß aber dazu wissen, wie ich das Ganze am besten anstelle; alle dort gespeicherten Dateien verschwinden ja angeblich sofort wieder... ich würde zudem gern die Tools auf einem anderen Rechner speichern, damit ich vorerst nicht mit dem infizierten Rechner ans Netz muß. Ist das sinnvoll?

Danke für Eure Hilfe!

- Cl.

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Dankeschön, ich warte geduldig auf weitere Anweisungen. :-)

Hallo Akutbefallen,
danke für deine Geduld. :)
Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Es ist nicht nötig, dass du diesen Umweg über den anderen Rechner gehst.

Schritt 1
Downloade bitte Grinlers unhide.exe auf deinem Desktop

• Starte das Tool mit Doppelklick.
• Wenn es seine Arbeit getan hat, wir eine Nachricht mit Finished aufpoppen. Bestätige diese mit Ok.
• Das Tool erstellt eine Unhide.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Schritt 2
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi Sandra, ein erster Versuch scheiterte katastrophal. Habe Unhide ausgeführt, und noch bevor ich irgendwelche logfiles speichern konnte, stürzte der Rechner ab. Ich konnte nur noch irgendwo lesen, daß irgendwelche Shortcuts nicht wiederhergestellt werden und irgendwelche "temp"-Ordner nicht gefunden werden konnten... was nun? :-/

Edit: nachdem der Rechner sich neu gestartet hat, waren alle Dateien dann doch da. Das Logfile muß ich allerdings noch suchen. Ich poste es nachher zusammen mit dem Ergebnis des Scans!

So... nun sind wir mal wieder so weit. Nachdem der Rechner neu gestartet war, waren alle Dateien wieder da. Ich ließ dann den Scan laufen (Logs s.u.) und als ich wieder an den Rechner ging, waren zwar die Logfiles auf dem Desktop, aber alle anderen Dateien waren wieder weg. Dann stürzte der Rechner wieder ab. Außerdem kam eine Meldung, daß "attrib.exe" beschädigt sei.

Hier nun die Logs; die von unhide kann ich ja nun nicht mehr aufrufen...


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Und Addition:

Hallo Akutbefallen,
sämtliche sicherheitsrelevante Software auf deinem System ist extrem veraltet, das macht es sehr anfällig für Bedrohungen, bitte arbeite auf jeden Fall weiterhin mit und surfe mit dem PC nicht im Internet, bis wir hier fertig sind! Es ist sehr wichtig, dass wir diese Lücken schließen.

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Starte nochmals FRST

• Kopiere aus der Codebox folgendes in die Eingabezeile von FRST
  
  Code:

  ---

  attrib.exe

  ---

• Drücke auf den Searchbutton
• Es wird wieder eine Logfile (search.txt) erstellt
• Poste mir diese hier in deinen Thread

Schritt 3
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Sandra und danke erstmal für Dein Engagement. Der Rechner ist in der Tat lang nicht mehr am Netz gewesen, deswegen ist auch alles entsprechend veraltet..

Und

Uuuuund


FRST Logfile:
--- --- ---


Außerdem hat er mir jetzt angezeigt, daß FRST.exe beschädigt sei. Screenshot folgt im Anhang.

Hallo Akutbefallen,
ich befürchte, es könnte tatsächlich ein Hardwarefehler deiner Festplatte vorliegen, wir werden das jetzt testen.

Schritt 1
Überprüfen der Festplatte mit chkdsk

• Drücke gleichzeitig die Windowstaste und R, es öffnet sich das Ausführen-Fenster
• Kopiere folgendes aus der Code-Box in die Eingabezeile
  
  Code:

  ---

  chkdsk c: /f /r

  ---

• starte den Rechner neu, nun wird Windows mit der Untersuchung der Festplatte beginnen, dieses kann etwas dauern.

Schritt 2
Überprüfen der Systemdateien mit sfc scannow

• Drücke nochmals gleichzeitig die Windowstaste und R, es öffnet sich wieder das Ausführen-Fenster
• Kopiere folgendes aus der Code-Box in die Eingabezeile
  
  Code:

  ---

  sfc /scannow

  ---

• der Computer wird mit der Überprüfung und gegebenenfalls Herstellung der Systemdateien beginnen

Hallo Sandra,

jetzt habe ich recht triviales Problem: die Datenträgerüberprüfung startet einfach nicht. :-/ Dafür sind alle Virus-Fehlermeldungen weg und der Rechner läuft ohne Probleme oder Fehler (auch die attrib.exe und frst.exe-Fehlermeldungen laufen nicht mehr). :-)

Hallo Akutbefallen,
das ist allerdings ungewöhnlich. Was passiert, nachdem du den Befehl in die Eingabezeile eingegeben hast? Normalerweise sollte sich dann ein Fenster öffnen, in dem sinngemäß steht das chkdsk einen Neustart benötigt, weil das Laufwerk noch unter Benutzung ist. Dieses musst du dann bestätigen und den Rechner neu starten. Dann sollte normalerweise der Windowsbildschirm kommen und chkdsk seine Arbeit beginnen.
Deine Ordner sind aber immer noch verschwunden, oder? Versuch jetzt nochmals unhide und mache dann einen neuen FRST-Scan mit Haken bei addition.txt.

Schritt 1

• Starte das Unhide mit Doppelklick.
• Wenn es seine Arbeit getan hat, wird eine Nachricht mit Finished aufpoppen. Bestätige diese mit Ok.
• Das Tool erstellt eine Unhide.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Schritt 2
Starte noch einmal FRST.

• Setze den Haken bei addition.txt und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieser Logfiles bitte hier in deinen Thread.

Hi Sandra,

wenn ich ins Ausführen-Fenster den von Dir vorgeschlagenen Code eingebe, passiert gar nichts. Wenn ich cmd eingebe und darin dann c: /f /r, wird mir mitgeteilt, daß ich nicht die angegebenen Rechte habe, um diese Aktion durchzuführen. Gebe ich cmd ein und drücke dann Strg+Shift+Enter, genau das gleiche. Wenn ich bei den Eigenschaften der Festplatte auf "Tools" und auf "Datenträgerüberprüfung" klicke, öffnet sich ein Fenster mit zwei Optionen. Wähle ich beide, werde ich gefragt, ob ich beim nächsten Neustart ausführen will. Klicke ich auf "Überprüfung planen", schließt sich das Fenster. Beim Neustart aber passiert gar nichts. :-/

Hier nun die Codes:

Die Dateien sind endlich wieder da :-)

Weiter:


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Und

Kleiner Nachtrag:

Habe ein wenig recherchiert. Ich habe einen Lenovo-PC. Das Problem scheint typisch dafür zu sein. Es gibt auch eine Lösung dafür: hxxp://forum.thinkpads.com/viewtopic.php?p=396106&sid=91108fe7171c47aa0ec32929b81d5fd5

Allerdings existiert dieser Registry-Eintrag bei mir nicht...

Noch ein Nachtrag, bzw eine Frage: ich würde meine Dateien jetzt gern auf eine externe Festplatte ziehen. Kann ich das ohne weitere Infektionsgefahr tun?

Hallo Akutbefallen,
es freut mich, dass deine Dateien wieder sichtbar sind, sehr schön!
Bitte sichere deine Daten erst, nachdem wir die Kontrollscans durchgeführt haben und ich dir dann das OK gebe.
Nein, die von dir gefundene Lösung passt nicht zu deinem Rechner. Falls du die Vista DVD zur Hand hast, könnten wir versuchen über die Systemwiederherstellung chkdsk auszuführen. Hast du sonst noch irgendwelche Probleme mit dem Rechner?

Schritt 1
Bitte deinstalliere folgendes Programm:
Spyware Doctor
Dazu gehe auf
Start --> Systemsteuerung -- > Programme --> Programme deinstallieren --> suche das Programm in der Liste --> entfernen

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern :kaffee:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo,

ich habe schon länger keine Antwort mehr von Dir erhalten. Benötigst Du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von Dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Hi Sandra,

entschuldige daß ich so spät antworte. Ich habe ziemlichen Streß an der Uni, momentan. Ich denke, ich komme morgen dazu, die Punkte aus Deinem letzten Post abzuarbeiten :-)

Hallo Akutbefallen,

danke für deine Rückmeldung. Ich warte dann hier. :)