Probleme nach Windows Recovery Malware Befall
 

Wie auch andere im Forum bin ich ebenfalls von der Malware Windows recovery betroffen. Es werden schwere Hardwarefehler gemeldet. Nachdem ich erkannt habe, daß mein Laptop infiziert ist, habe ich sowohl malwarebytes und OTL. (Quick-Scan) installiert und durchlaufen lassen. Nun ist die Malware zumindest nicht mehr sichtbar (..sie ist aber noch da)
Leider sind alle anderen Dateien weiterhin "verschwunden": Word und Excel und natürlich auch alle Eigenen Dateien.
Somit kann ich auch keine Systemwiederherstellung betreiben.

Der erste Log befindet sich im Anhang.
Den aktuellen Log füge ich hier ein:
alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6151

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

24.03.2011 14:08:00
mbam-log-2011-03-24 (14-08-00).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 164919
Laufzeit: 1 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zudem füge ich das Protokoll von OTL bei...ich sehe gerade, das diese Datei zu groß ist..

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Ergebnis Vollscan im Anhang.
Der OTL Scan ist fertig.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Außerdem fehlen die OTL-Logs.

Asche auf mein Haupt. Die OTLs hat ich vergessen :headbang:

Mist. Den OTL Text bekomm ich aufgrund der Größe nicht hochgeladen. .
Muß erstmal los....sorry und auch Danke

Hier sind die neuen Logs.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hier ist der Log:
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: xxxxxxxxx
->Temp folder emptied: 48821688 bytes
->Temporary Internet Files folder emptied: 16650606 bytes
->Java cache emptied: 33073 bytes
->FireFox cache emptied: 95670713 bytes
->Flash cache emptied: 3376 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1075489 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 21105438 bytes
RecycleBin emptied: 1051939995 bytes

Total Files Cleaned = 1.178,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03272011_180030

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5QGSJDU\acCA3350X4.htm moved successfully.
C:\Dokumente und Einstellungen\xxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat moved successfully.

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Gerade geht gar nichts mehr. Es sieht so aus als ob ich mir noch einen Virus eingefangen habe bzw. eine ganze Virusfamilie. (w32.ramnitC) und ins Internet komme ich auch nicht mehr. Dies schreibe ich gerade von einem anderen Rechner... Derzeit kann ich noch ueber den CCleaner einen Systemwiederherstellungspunkt erzeugen. Macht das Sinn?

Wie nichts nicht?? Auch nach einem Neustart von Win nicht? Was ist mit dem abgesicherten Modus notfalls?

Nein, das funktioniert auch nicht! IE und Firefox lassen sich gar nicht öffnen. Daher kann ich auch nichts runterladen.:daumenrunter:

Geht noch der abgesicherte Modus?

Der abgesicherte Modus funktioniert. Aber auch im abgesicherten Modus komme ich nicht ins Netz! Möglicherweise kann ich mir die benötigten Anwendungen von einem sauberen PC runterladen und auf einen USB packen...??

Deswegen gibt es den abgesicherten Modus mit Netzwerktreibern... :pfeiff:

Es funktioniert auch in diesem Modus nicht!!!

Dann erstmal nur dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Wenn es so einfach wäre. Ich habe eine CD gebrannt mit folgenden Programmen.
TDSSKiller
OTL
Combofix und auf meinen infizierten Rechner installiert.

TDSSKiller startet nicht. Vielleicht mach ich einen Neustart. ComboFix startet, ich habe mich jetzt aber nicht getraut es durchzuführen. Bei OTL bekomme ich eine Fehlermeldung, daß es sich nicht um eine zulässige Win32 Anwendung handelt. Ich werde wahnsinnig!

Zwischendurch aber auch ein dickes Dankeschön für die bisherige Unterstützung.

Läuft Windows jetzt garnicht mehr?? Weder im normalen noch im abgesicherten Modus?

Doch Windows läuft noch. Sowohl im abgesicherten Modus als auch im normalen Modus. Ich komme aber trotzdem nicht mehr ins Internet.
Somit kann ich auch nicht updaten.
Es erscheinen Fehlermeldungen zu diversen Programmen (Excel, Word, Steuersoftware). Auch andere Prozesse starten unaufgefordert! Ich könnte wie erwähnt vermutlich den Cofi starten lassen. Auch der CCleaner und Malwarebytes läuft.

Dann probier cofi nochmal aus.

Ich habe CombiFix durchgeführt. Ein entsprechender Log ist auch erstellt. Leider komme ich immer noch nicht ins Internet! Obwohl sich, und das ist ja schon ein Fortschritt, die Programme, zum Beispiel Malwarebytes aktualisieren lassen. Auch die Netzwerkverbindungen bestehen. Aber dennoch lassen sich weder IE oder Firefox öffnen. Ich kann den Combifix Log so nicht posten. Ich habe auch Bedenken, den Log vom anderen Rechner mit USB oder CD zu ziehen. Oder sind die Bedenken unbegründet?

Lassen sich die Browser nicht öffen oder die Internetseiten nicht??
http://www.trojaner-board.de/94344-p...n-pruefen.html

Kleiner Zwischenbericht: Ich komm nicht weiter. Gerade lade ich load.exe runter und packe es auf den Seuchenrechner.

Was ist mit meiner Frage: öffnen die Browser sich nicht oder die Seiten?

Sowohl als auch! Beim Anklicken des Firefox.Browser öffnet sich sofort der Mozilla-Absturzmelder. Auch der IE lässt sich nicht öffnen. Auch auf sonstigem Weg habe ich keinnen Zugang zum Internet!

Seit welchem Schritt ist das denn so? Vor Combofix? :wtf:

Das hat schon vor Comifix nicht funktioniert.:killpc:

Dann erstmal dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Leider läst sich das Tool nicht ausführen. Ich hab es vom anderen PC runtergeladen und auf CD gebrannt. Anschliessend auf den Seuchen PC geladen und entzippt. Das Tool will einfach nicht starten. Ich hab es schon mal probiert. Da hat es auch nicht funktioniert.

Dann probier das=> Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Ich weiss, es hört sich blöd an, aber ich kann es nicht! Vom verseuchten Rechner aus kann ich aus nicht ersichtlichen Gründen keine CD brennen und somit auch keine Logs auf einen anderen Rechner bringen. Abgesehen davon habe ich Angst Viren auf andere Rechner zu transportieren.

Dennoch habe ich LOGs von Cofi (von vorgestern), Gmer und MBRCheck die ich nicht interpretieren kann.

Sehr mies.
Zudem habe ich noch einen weiteren Verdacht. Ich hab den Rechner erst neulich neu aufgesetzt. Nun fiel mir auf, daß das Windows Service Pack 3 fehlt....Ich bin am verzweifeln!

So, dann bleibt uns nichts anderes übrig, diese Windows-Installation ist offensichtlich tot. Sichere deine Daten => zweiten Link in meiner Signatur folgen, Sicherung der Daten des infizierten PC mit Ubuntu, danach gehts an eine Neuinstallation von Windows. :pfeiff:

und an meine Daten komme ich nicht mehr ran? Fotos und so...halt, ich sehe gerade in der Anleitung das es doch gehen koennte. Und einen Systemwiederherstellungspunkt setzen bringt gar nix?

Hast du meinen Beitrag garnicht gelesen? Ich hab doch geschrieben Datensicherung! Über Ubuntu! Folge dem Link in meiner Sig!

Du kannst meinetwegen gern noch an diesem fast toten Windows rumfummeln, ich glaub kaum dass da noch was Sinnvolles rumkommen wird.

Die Systemwiederherstellung mit Systemherstellungszeitpunkt war wie erwartet nicht erfolgreich.
Aus zeitlichen Gründen konnte ich die Neuinstallation noch nicht vornehmen. Ich habe einen Lenovo, der die Option "herstellung des Auslieferungsstandes ermöglicht.

Das geht natürlich auch. Aber vorher musst du die Daten sichern, weil das Zurücksetzen in den Ausliferungszustand alles auf C: zurücksetzt. Das Gerät ist dann softwareseitig wieder so wie beim ersten Einschalten.

Also das Neuaufspielen hat funktioniert. Der Rechner läuft. Sicherung hat dank Ubuntu funktioniert.
An dieser Stelle nochmal ganz vielen Dank!