Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus setzt Windows auf Evalurierungskopie (https://www.trojaner-board.de/113931-virus-setzt-windows-evalurierungskopie.html)

Waveshooter 21.04.2012 19:21
Virus setzt Windows auf Evalurierungskopie
 
Hallo zusammen,

meinem Vater ist heut ne ganz merkwürdige Art von Virus (evtl auch Hack Angriff?) erschienen. Er hat nur kurz seinen PC eingeschaltet, hat dann den Raum verlassen und als er wieder kam waren 20 Programme geöffnet inkl. iTunes mit laufender Musik und Windows war auch nur noch als Evaluierungskopie verfügbar.

Irgendwie kann ich das selber kaum glauben da ich zum Zeitpunkt nicht zuhause war. Stand jetzt ist: Combofix lässt sich im Evaluierungsmodus nicht starten, Internet ist auf keine Weise verfügbar und Malwarebyte läuft grad mit einer um 21 Tage veralteter Version durch.

Weiss jemand etwas mehr über so einer Art von Angriff und weiss wie ich das einzuordnen habe? Durch Google werd ich da auch nicht wirklich schlauer. Habe ihm schon gesagt das er sich mit hoher Wahrscheinlichkeit auf Formatieren einstellen kann :/

Jemand ne Idee?


Gruß Sascha

markusg 21.04.2012 19:24
hi
combofix, steht doch deutlich da, niemals auf eigene faust laufen lassen.
poste dann erst mal das malwarebytes log und dann:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Waveshooter 21.04.2012 19:52
Okay dann weiss ich bescheid was Combofix angeht.

Hier die Logfile. Hoffe das ist richtig so.



Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows 7 x64 NTFS
Internet Explorer 8.0.7100.0
Stöckel :: STÖCKEL-PC [Administrator]

Schutz: Aktiviert

21.04.2012 20:41:03
mbam-log-2012-04-21 (20-41-03).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 549628
Laufzeit: 53 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Habe aber dennoch ein weiteres Problem mit OTL. Beim Öffnen kommt diese Meldung:
Application Error
Exception EReadError in module OTL.exe at 00016A6B. Error reading DiskPartitionInfo1.Active.

Auf meinem eigenen PC funktioniert die gleiche exe aber wunderbar ( vom USB Stick gestartet). Hab sie auch aufm Desktop bei ihm ausprobiert bringt jedoch auch nichts :/

markusg 21.04.2012 20:14
geht dieses?
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Waveshooter 21.04.2012 21:30
Ne geht auch nicht. Ich versuchs jetzt mal mit der Kaspersky Rescue CD.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27