Windows Recovery Trojaner und weitere Probleme
 

Hallo,
ich hatte gestern den bekannten Windows Recovery Trojaner, d.h. meine \\C: Platte war versteckt, Desktop und Schnellstartleiste verschwunden, Taskmanager deaktiviert und die üblichen Fehlermeldungen mit "Problem mit IDE/SATA Festplatte" usw.
Eine Woche zuvor hatte ich Probleme mit einem Trojaner, der immer wieder einen Ordner namens "Recycle.bin" aufgemacht hat, deren Inhalt mein Virenscan (Trend Office Scan) als Virus einstufte. Ich war der Meinung dieses Problem beseitigt zu haben, aber scheinbar hab ich noch mehr Probleme au fmeinem PC.

Ich habe als erstes meine Platten wieder sichtbar gemacht und den Taskmanager mit der Registry aktiviert. Anschließend, wie auch hier im Forum in mehreren Threads beschrieben, manuell folgendes entfernt/geändert:

Gelöscht:

%AllUsersProfile%\Application Data\[random].dll
%AllUsersProfile%\Application Data\[random].exe
%UserProfile%\Desktop\WindowsDiagnostic.lnk
%UserProfile%\Start Menu\Programs\WindowsDiagnostic\
%UserProfile%\Start Menu\Programs\WindowsDiagnostic\Uninstall WindowsDiagnostic.lnk
%UserProfile%\Start Menu\Programs\WindowsDiagnostic\WindowsDiagnostic.lnk

Registry:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "CertificateRevocation" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnonBadCertRecving" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop "NoChangingWallPaper" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = '1'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = 'no'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = 'yes'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden" = '0'
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "ShowSuperHidden" = 0'

Anschließend bin ich mit Malwarebytes Anti-Malware drüber gegangen (Quickscan) und 10 Dateien entfent (siehe Logfile1.txt).

Desktop und alles ist wieder da (nur Startmenü fehlt noch), allerdings gibt es noch weitere Probleme, weshalb ich nicht denke, dass mein System clean ist.

Probleme:
- iexplorer.exe - Prozess ist 2fach offen nach jedem Neustart (kann man im Taskmanager abschießen, ist aber beim nächsten Boot wieder da)
- Spontaner Neustart: Der PC fährt sich plötzlich runter und wieder hoch (schon 2mal passiert seit gestern)
- Windows Media Player öffnet sich manchmal
- Gelegentlich ist für kurze Zeit ein [random].exe Prozess am laufen, hab ihn aber schon seit 2 Neustarts nicht mehr gesehen

Im Anhang noch ein aktueller Malwarebytes Vollscan (siehe logfile2.txt) und ein Hijackthis log (siehe logfile_hjt.txt), sowie ein OTL Logfile (siehe logfile_otl.txt und logfile_extras.txt).

Hoffe ihr könnt mir weiterhelfen. Danke

hi,
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc? privat oder beruflich?

Ähm Online Banking und Einkäufe habe ich auf einen anderen PC verlegt, seit ich diesen ersten Trojaner hatte und da ist auch noch alles in Ordnung. Berufliches ist alles auf einem Firmennotebook, also da besteht keine Gefahr (zum Glück).

Ich habe jetzt mit einer neuen Version meines Virenscanners einen weitern Trojaner gefunden (siehe Bildanhang) und entfernt.
Das Problem sind weiterhin die beiden iexplorer.exe, die von irgendeinem Prozess gestartet werden und irgendwas tun, was sich leider meiner Kentniss entzieht.

dein pc ist zu verseucht, da kann man nichts retten, sichere deine daten, formatiere ihn, danach sichern wir ihn ab, endere alle passwörter von nem sauberen pc aus.