Trojaner-Board - Nach Anschluss einer externen Festplatte massiver Schädlingsbefall

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Nach Anschluss einer externen Festplatte massiver Schädlingsbefall (https://www.trojaner-board.de/105891-anschluss-externen-festplatte-massiver-schaedlingsbefall.html)

ich kann die kaspersky seite immer noch nicht öffnen.

Hi,

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = dword:0x00

"AntiVirusOverride" =dword:0x00

"AntiVirusDisableNotify" = dword:0x00

"FirewallDisableNotify" = dword:0x00

"UpdatesDisableNotify" = dword:0x00
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

"AntiVirusOverride" = dword:0x00

"AntiVirusDisableNotify" = dword:0x00

"FirewallDisableNotify" = dword:0x00

"FirewallOverride" = dword:0x00

"UpdatesDisableNotify" = dword:0x00

"UacDisableNotify" = dword:0x00
 

:OTL

MOD - C:\WINDOWS\Temp\BN17.tmp ()

MOD - C:\WINDOWS\Temp\f1ku.exe ()

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Bist Du Dir sicher, dass Commodo nicht dazwischenfunkt?

Ok, Schluß mit lustig...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris

otl mit deinem script habe ich ausgeführt. anbei das log. combofix lade ich gerade runter und starte gleich mal.

========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" |dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusDisableNotify" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirewallDisableNotify" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"UpdatesDisableNotify" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\\"AntiVirusOverride" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\\"AntiVirusDisableNotify" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\\"FirewallDisableNotify" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\\"FirewallOverride" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\\"UpdatesDisableNotify" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\\"UacDisableNotify" | dword:0x00 /E : value set successfully!
========== OTL ==========

OTL by OldTimer - Version 3.2.31.0 log created on 12072011_175014

bin mir unsicher ob das alles richtig läuft. habe combofix runtergeladen und per doppelklick gestartet. dann musste ich noch akzeptieren. danach lief das programm sofort los. in einem fenster wurden sehr viele dateien dekomprimiert. jetzt steht das programm schon seit zehn minuten bei zielverzeichnis c:32788R22FWJFW, der balken ist fast am ende, aber es tut sich nichts mehr. läuft das programm da jetzt schon (oder noch)? oder ist das nur die installation?

Hi,

warte noch etwas...

Ggf. den Rechner neu booten (nach ca. 30 Minuten, ab jetzt)...
Es gibt wenig was Combofix aufhält... das sieht nicht so gut aus...

Notfall:

Dr. Web-Live-CD
Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: Dr.Web CureIt! —

chris

danke für deine hilfe. habe mich letztendlich entschlossen, den rechner neu aufzusetzen. war auch nicht ganz einfach, da mein festplattenraid vom win setup nicht erkannt wurde.

aber mittlerweile geht der rechner wieder.
werde dem festplattenbesitzer mal gehörig meine meinung sagen.

wie gesagt, danke nochmals für deine unterstützung und viel erfolg noch.

Hi,

Du solltest die externe Festplatte mir aller Vorsicht noch bereinigen....
Autostart ausschalten und beim Anschließen die SHIFT-Taste gedrückt halten bis vollständig erkannt (das unterdrückt den autostart)...
Dann scannen und bereinigen lassen. Der Besitzer der Platte sollte ebenfalls seinen Rechner mal scannen....

chris&out