|
Winlogon.exe, CHKDSK, Thunderbird weg, Malwarebytes deaktiviert, Virus? Hallo zusammen! Heute Morgen schalte ich meinen Computer an und es kommen beim Hochfahren unzählige Warnhinweise, dass mit winlogon.exe was nicht stimmt (genauer: "Windows\Fonts") und dass ich chkdsk laufen lassen soll. Hab ich via "Ausführen" gemacht, es passiert aber nichts. Das Dos-Fenster blitzt nur kurz auf und dann tut sich nichts. Via Start/Programme/Zubehör/Ausführen wird mir "Als Administrator ausführen" per Rechts-Klick gar nicht angeboten. Gleichzeitig führt die Verknüpfung zu meinem Thunderbird-Emailprogramm auf dem Desktop plötzlich ins Leere und der Thunderbird-Ordner unter C:\Users\BENUTZERNAME\AppData\Roaming lässt sich nicht mehr öffnen und zeigt unter "Eigenschaften" eine Größe von 0 Bytes an (war bis gestern ca. 5 GB und funktionierte einwandfrei). hxxp://i.imgur.com/mdVre.jpg Malwarebytes kann ich auch nicht ausführen, nicht einmal als Administrator, siehe hxxp://i.imgur.com/ccXT2.jpg Ich habe versucht, das Programm neu zu installieren, auch dabei gab es eine Fehlermeldung, siehe hxxp://i.imgur.com/MQkkO.jpg aber nach "Ignorieren" konnte ich Malwarebytes wenigstens starten. Ist Malwarebytes jetzt fehlerhaft installiert? Der Quickscan als Administrator hat keine "infizierten Objekte" gemeldet. Beim vollständigen Suchlauf wurde dann lediglich ein infiziertes Objekt gefunden, siehe unten. hxxp://i.imgur.com/Nb8KJ.jpg Seither habe ich neu gestartet. AntiVir hat nicht von selbst ausgeschlagen, aber ein System-Check hat 36 Warnungen hervorgebracht, siehe unten. Der verbliebene Speicherplatz auf C:\ hat sich im Vergleich zu vielleicht ner Woche nicht wirklich verändert, wenn ich mich richtig erinnere. Klingt nach nem Virus? Und sind meine Emails alle verloren oder ist der Thunderbird nur irgendwohin "versteckt" worden? Ich habe zum Glück einen Backup, wenn auch leider nur von Mitte Juli. Danke an alle. Gruß, SteGri AntiVir Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\$Recycle.Bin\S-1-5-21-2208915766-2941739076-3352613170-1001\$RH5B1DB.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynCOM.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynCtrl.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynMood.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTP.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPAPI.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPCOM.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPCpl.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPEnh.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynTPRes.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\dell\drivers\R230731\WinWDF\x86\SynZMetr.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files\Windows Media Player\setup_wm.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamcore.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamnet.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbampt.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files (x86)\Windows Media Player\setup_wm.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Users\Office-PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RLMJ3LLW\install_flashplayer11x32ax_gtba_chra_dy_aih[1].exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Office-PC\AppData\Local\Temp\install_flashplayer11x32ax_gtba_chra_dy_aih.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Office-PC\AppData\Local\Temp\AIH.286d535efec6250007fd8cdf0a71e4819ac3d110\downloader.bundle [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Office-PC\AppData\Local\Temp\AIH.286d535efec6250007fd8cdf0a71e4819ac3d110\launcher.bundle [WARNUNG] Die Datei ist kennwortgeschützt C:\Windows\assembly\GAC_MSIL\Microsoft.PowerShell.GPowerShell\1.0.0.0__31bf3856ad364e35\Microsoft.PowerShell.GPowerShell.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Data.OracleC#\35930a8bda01bcaa3f992622bc63e17a\System.Data.OracleClient.ni.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\finger.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\MRINFO.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\NETSTAT.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\ROUTE.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\UIRibbon.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\drivers\mbam.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\SysWOW64\ARP.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\SysWOW64\HOSTNAME.EXE [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Samstag, 1. September 2012 12:48 Benötigte Zeit: 59:43 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 12812 Verzeichnisse wurden überprüft 251266 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 32 Dateien konnten nicht durchsucht werden 251234 Dateien ohne Befall 3582 Archive wurden durchsucht 36 Warnungen 0 Hinweise Malwarebytes' Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.09.01.02 Windows Vista Service Pack 2 x64 NTFS Internet Explorer 9.0.8112.16421 Office-PC :: NAME [Administrator] 01.09.2012 12:29:13 mbam-log-2012-09-01 (12-29-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 251280 Laufzeit: 29 Minute(n), 6 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Office-PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UBSI5EGM\PDFCreator_Stub_5874[1].exe (PUP.Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Die winlogon.exe/CHKDSK Fehlermeldungen bleiben nach Neustarts. Thunderbird bleibt verschwunden. Alle Thunderbird-Ordner (ob in "Programme" oder "Benutzer") haben 0 Bytes. Sonst ist mir eigentlich nichts aufgefallen. Die winlogon.exe/CHKDSK Fehlermeldungen bleiben nach Neustarts. Thunderbird bleibt verschwunden. Alle Thunderbird-Ordner (ob in "Programme" oder "Benutzer") haben 0 Bytes. Sonst ist mir eigentlich nichts aufgefallen. |
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Hallo, danke für die Rückmeldung! Ich habe das ESET vor knapp drei Stunden gestartet. Nach zwei Stunden war der Virus Scan bei 52% und ich hatte den Eindruck es tut sich nichts mehr. Dann hab ich auf Stop gedrückt und das Ganze von vorne laufen lassen. Nach einer weiteren Stunde ist er jetzt (nach Neustart) bei 33% und die "Files scanned" Zahl steigt weiterhin. Soll ich das Ganze einfach mal in Ruhe fünf Stunden laufen lassen, oder ist das nicht normal? Ich hab eigentlich nicht so viel Krempel auf meiner Festplatte... Danke, SteGri Irgendwie wärs mir ja lieber gewesen, das Ding hätte was gefunden als Erklärung, warum mein Thunderbird verschwunden ist und winlogon.exe plötzlich Probleme macht... Was mach ich den jetzt? Code: ESETSmartInstaller@High as CAB hook log:Was mach' ich denn jetzt? CHKDSK kann ich ja auch nicht ausführen... "Office-PC" ist das Administrator-Konto: (Ist der Rechtschreibfehler schon Grund zur Besorgnis?) http://s8.postimage.org/q1fu7ngit/cmd.jpg OK, habe cmd.exe in der Suche rechtsgeklickt, um echter Administrator-Administrator zu sein. Das ist die ganze Zeit von "beschädigt" und "verwaist" die Rede und dass chkdsk im gesicherten Modus nicht ausgeführt werden kann. Ich habe mal das OTL laufen lassen: OTL Logfile: Code: OTL logfile created on: 02.09.2012 11:26:04 - Run 1[/code] OTL EXTRAS Logfile: Code: OTL Extras logfile created on: 02.09.2012 11:26:04 - Run 1[/code] :dummguck: Ich hab noch mal geschaut: es ist als ob jemand systematisch alle Thunderbird-Dateien gelöscht hätte. Da wo die Hauptordner liegen ("C:\Users\USERNAME\AppData\Roaming\Thunderbird" und "C:\Programme(x86)\Mozilla Thunderbird") liegen offenbar leere Ordner, auf die nicht zugegriffen werden kann und deren Änderungsdatum mit Mitte Juli angegeben ist, als ich das Betriebssystem neu aufgespielt hatte. Den Thunderbird habe ich bis gestern benutzt, das Änderungsdatum müsste also 1.9.2012 lauten. http://s11.postimage.org/6hipxdjmr/md_Vre.jpg http://s17.postimage.org/kqferfahb/Unbenannt.jpg |
Die Benutzerkontensteuerung ist schon seit Vista da! Das ist nichts neues, dass man für Sachen wie chkdsk die Eingabeaufforderung per Rechtsklick als Administrator ausführen muss und erst dann die Prüfung machen kann! Und einfach nur chkdsk fürht man nicht aus! Ohne die Option /f werden keine Fehler behoben! chkdsk der Systempartition unter Windows Vista 1. Klick mit rechts auf einen freien Bereich auf dem Desktop und sag "Neu, Verknüpfung erstellen" 2. Tipp als Ziel cmd.exe ein und bestätige mit OK, eine neue Verknüpfung zur Konsole auf dem Desktop müsste sich nun befinden 3. Falls dem so ist, diese neue Verknüpfung rechtsklicken => Als Administrator ausführen => Sicherheitsabfrage von Vista Benutzerkontensteuerung ggf. bestätigen => schwarze Eingabeaufforderung öffnet sich 4. Tipp dort ein: chkdsk c: /f /r /v und bestätige mit enter. 5. Die folgende Abfrage mit j bestätigen und enter drücken. 6. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!! 7. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu. |
Vielen Dank für die Rückmeldung! Ich hatte eigentlich Angst, dass mein Thread so weit nach hinten rutscht, dass sich keiner mehr dafür interessiert. Ich habe mich im Administrator-Konto angemeldet und die Schritte 1) bis 6) EXAKT wie beschrieben ausgeführt. C: ist auch das Laufwerk, auf dem das Betriebssystem und die Programme aufgespielt sind. http://s15.postimage.org/eupdosd5n/CMD_Unbenannt.jpg Nach dem Neustart kam sofort die folgende Antwort und ca. fünf Sekunden später ist der Computer im alten, beschädigten Zustand hochgefahren: http://s15.postimage.org/e3wnj0asb/20120903_235428.jpg "Volume kann für direkten Zugriff nicht geöffner werden." Ich hab das Ganze dreimal durchgespielt, immer mit dem gleichen Ergebnis. Hab ich was falsch gemacht? Danke, SteGri PS: Ich habe festgestellt, dass in OpenOffice Writer plötzlich DejaVu Serif als Standardschrift eingestellt ist. War bislang immer Times New Roman. Hat das was mit der Sache zu tun? Mein Online-Banking habe ich sicherheitshalber bislang nicht betrieben... Ich hätte nur gerne meinen Thunderbird-Ordner von 5GB wieder zurück, dann würde ich den Computer auch liebend gerne platt machen, falls Virus/Trojaner-Alarm besteht! |
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den möglicherweise infizierten bzw. defekten Rechner dann von dieser CD booten: Unter OTLPE kannst du auch über die EIngabeaufforderung die Systempartition prüfen. Da ist kein Neustart notwendig, denn die Systempartition C ist kein Systemlaufwerk für die Live-CD Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
|
:dankeschoen: Darf ich kurz fragen: Wenn ich das alles mache wie beschrieben, gibts dann überhaupt eine Chance, den Thunderbird zu retten, oder muss ich danach das System sowieso neu aufspielen, weil eh' alles verloren ist? Ich hab nämlich leider keine anderen Rechner hier rumstehen, das heißt ich müsste erst jedanden anhauen, der das mit dem OTLPENET für mich macht, wenn ich den "infizierten" Computer dafür nicht benutzen soll... :heulen: Danke, SteGri |
Ich bin kein Hellseher! :glaskugel: Man muss es versuchen und dann weitersehen! |
Hallo, guten Abend. So, hallo. Ich habe alles gemacht wie beschrieben: OTLP auf anderem Rechner heruntergeladen und auf bootfähige CD gebrannt, mit dieser CD meinen Rechner gestartet und das Programm laufen lassen. Allerdings hat mich das Programm nicht gefragt: "Do you wish to load the remote registry?" wies in der Anleitung steht...? Hier sind die Inhalte der beiden .txt-Dateien: OTL OTL Logfile: Code: OTL logfile created on: 02.09.2012 11:26:04 - Run 1[/code] Extras OTL Logfile: Code: OTL Extras logfile created on: 02.09.2012 11:26:04 - Run 1[/code] In dem Programm habe ich nichts verstellt: http://s7.postimage.org/ijo64m7qj/untitled.jpg Wenn man da rauslesen könnte, dass ich dies und das machen muss, und am Ende taucht der Thunderbird-Ordner wieder auf, wäre ich glücklich. :singsing: |
Das sind die falschen Logs - alte Logs siehe oben Du solltest die Logs die von OTLPE erstellt wurden posten |
Achje, sorry! Das kommt daher, dass ich das alles in einem Ordner gespeichert habe. Für den letzten Durchlauf habe ich keine "Extra" Datei, kann das sein? Muss ichs nochmal machen? Ich hatte so Schwierigkeiten, ins BIOS reinzukommen, obwohl ich beim Hochfahren immer sofort und unzählige Male F12 wie ein Irrer gedrückt habe. Nach ca. 80 Versuchen (neu starten und wieder warten) konnte ich dann endlich von CD booten. Ich kriege bald die Krise.... OTL Logfile: Code: OTL logfile created on: 9/8/2012 12:54:37 PM - Run |
Ist auch recht unauffällig Ich befürchte hier, dass deine Platte im Sterben liegen könnte Besorg dir mal das Disgnosetool vom Plattenhersteller. Welche Platte du hast siehst du am Anfang der Hardware- bzw. Laufwerkerkennung noch bevor Windows gebootet bzw. im BIOS. Auch im Windows-Gerätemanager sieht man welche Platte da drin ist. Dann lädst du dir mal die UBCD, brennst das Image UBCD auf CD und bootest davon. Wähle dann über die HDD Tools das Diagnosetool von deinem Plattenhersteller aus und mach einen Check. |
Ohje, das hört sich schlimm an. Dann ist wohl nicht nur alles verloren, sondern auch noch der ganze Computer im Arsch. Ich hab gerade einfach mal zehn Minuten geheult. :heulen: ST9320325AS ATA - klingt das nach Festplatte? Damit bin ich via Google auf "Seagate" gestoßen und "SeaTools": hxxp://www.seagate.com/de/de/support/downloads/seatools/ Soll ich das für Windows oder DOS runterladen? Erst SeaTools machen und dann UBCD? Ich bin total dankbar für die Hilfe, nur für mich ist das alles total kompliziert und schwierig, deshalb brauche ich immer so lange (und mache die Hälfte dann auch noch falsch...). Was ist nochmal der Grund, warum ich nicht mal das CHKDSK ausführen kann? Gerade weil die Festplatte hinüber sein könnte? |
Welche Seatools du nimmst ist eigentlich egal Die für Windows sind etwas komfortabler zu bedienen Zitat:
|
Hallo, ich war leider lange krank und konnte mich daher nicht um das Notebook kümmern. Ich habe mal den SeaTools für Windows Test direkt über SeaTool gemacht, sieht mit "Kurzer Festplatten-Test", "S.M.A.R.T." und "Einfacher Kurz-Test" folgendermaßen aus: http://s7.postimage.org/vp2hainuj/Seagate.png Jetzt werde ich mir das Image von der Ultimate Boot CD machen, davon booten und SeaTools darüber laufen lassen. Muss ich eine bestimmte Test-Art ausführen oder "Reparatur" anklicken? http://s7.postimage.org/9r60gq8u3/image.png Vielen Dank! PS: Beim Windows-Update kommt mittlerweile auch eine Fehlermeldung. Und wenn ich die Anweisung befolge, sagt DOS, dass ich das nicht ändern kann, weil das Verzeichnis beschädigt ist: http://s17.postimage.org/aphn6v5q7/Update.jpg |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board