Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows Fix Disk - Dateien nicht mehr sichtbar! Desktop mit schwarzem Hintergrund! (https://www.trojaner-board.de/97618-windows-fix-disk-dateien-mehr-sichtbar-desktop-schwarzem-hintergrund.html)

StefanMet 17.04.2011 22:29
Windows Fix Disk - Dateien nicht mehr sichtbar! Desktop mit schwarzem Hintergrund!
 
HI,

ich habe mir den Windows Fix Disk eingefangen und kann nicht mehr auf meine Dateien zugreifen. Wer kann mir bitte helfen?

Ich habe es auch mit Spybot und spywaredoctor gearbeitet - Fixdisk ist weg, die Auswirkungen nicht....

Malwarelog ist anbei:

Log 1:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6369

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19019

15.04.2011 21:31:05
mbam-log-2011-04-15 (21-31-05).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 154899
Laufzeit: 6 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iLeAAmvQHHaC (Trojan.FakeAlert) -> Value: iLeAAmvQHHaC -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\ileaamvqhhac.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


log 2

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6369

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19019

15.04.2011 21:31:05
mbam-log-2011-04-15 (21-31-05).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 154899
Laufzeit: 6 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iLeAAmvQHHaC (Trojan.FakeAlert) -> Value: iLeAAmvQHHaC -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\ileaamvqhhac.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Vielen Dank für Eure Unterstützung!

Stefan

cosinus 18.04.2011 14:15
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

StefanMet 18.04.2011 22:19
Hallo Arne,

ich habe Malware laufen lassen. Hier das Ergebnis:

alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6390

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

18.04.2011 20:49:00
mbam-log-2011-04-18 (20-49-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 378094
Laufzeit: 2 Stunde(n), 57 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Danach habe ich OTL durchgeführt, Logs anbei.

Wie geht's weiter-ß Danke für Deine Unterstützung!

Viele Grüße,

Stefan

cosinus 19.04.2011 10:45
Zitat:
"Spyware Doctor" = Spyware Doctor 7.0

"BullGuard" = BullGuard 7.0 for Vista

Spybot - Search & Destroy
Mit wievielen Scanner willst du das System denn noch belasten?! Bitte umgehend deinstallieren. Behalte nur Malwarebytes und AntiVir. Sag Bescheid wenn du o.g. Software deinstalliert hast.

StefanMet 19.04.2011 20:04
Hallo Arne,

ich habe desinstalliert und OTL nochmal laufen lassen, die Logs sind mit dabei.

Wie gehts jetzt weiter?

Viele Grüße,

Stefan

cosinus 19.04.2011 20:47
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{285fd23e-cd66-11de-b42e-0007ca0654e7}\Shell - "" = AutoRun
O33 - MountPoints2\{285fd23e-cd66-11de-b42e-0007ca0654e7}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{285fd266-cd66-11de-b42e-0007ca0654e7}\Shell - "" = AutoRun
O33 - MountPoints2\{285fd266-cd66-11de-b42e-0007ca0654e7}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
[2011.04.14 21:46:08 | 000,000,152 | -H-- | C] () -- C:\ProgramData\~43638536r
[2011.04.14 21:46:07 | 000,000,120 | -H-- | C] () -- C:\ProgramData\~43638536
[2011.04.14 21:46:04 | 000,000,587 | -H-- | C] () -- C:\Users\Stefan\Desktop\Windows Fix Disk.lnk
[2011.04.14 21:45:38 | 000,000,392 | -H-- | C] () -- C:\ProgramData\43638536
@Alternate Data Stream - 704 bytes -> C:\Users\Stefan\Documents\Familientreffen.eml:OECustomProperty
@Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:A8ADE5D8
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

StefanMet 19.04.2011 21:03
Hallo Arne,

OTL fix habe ich durchgeführt - Log anbei!

Viele Grüße,

Stefan

cosinus 20.04.2011 16:56
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

StefanMet 21.04.2011 09:58
Hallo Arne,

log anbei - mit Unhide - habe ich alle Dateien wieder sichtbar machen können!

Vielen vielen Dank für Deine Hilfe! :daumenhoc

Stefan

cosinus 21.04.2011 15:33
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

StefanMet 21.04.2011 21:33
Hallo Arne,

alles ausgeführt, - rechner sieht wieder gut aus - Vielen Dank!

Log CClenar ist anbei!

Nochmals vielen Dank!

Stefan

cosinus 21.04.2011 22:29
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

StefanMet 22.04.2011 20:53
Hallo Arne,

OSAM und MBRCheck Logs anbei.

Vielen Dank für die Unterstützung!

Viele Grüße,

Stefan

:dankeschoen:

cosinus 23.04.2011 15:12
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

StefanMet 27.04.2011 21:54
Hallo Arne,

hat leider etwas gedauert - ich war über Ostern verreist.

Anbei die gewünschten Log's.

Soll ich nach einer Sicherung das System neu aufsetzen?

Vielen Dank nochmal für Deine Hilfe.

Viele Grüße,

Stefan


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:24 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131