Trojaner-Board - Security Guard blockiert meinen Laptop, kein abgesicherter Modus möglich

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Security Guard blockiert meinen Laptop, kein abgesicherter Modus möglich (https://www.trojaner-board.de/84575-security-guard-blockiert-meinen-laptop-kein-abgesicherter-modus-moeglich.html)

logon oder winlogon?
Kannste die Datei mal hochladen > file-upload.net und hier verlinken?

ich habe gerade unter c:\ noch eine avenger.txt datei gefunden, soll ich den inhalt hier mal rein stellen?

Jau, bitte posten! Welches Erstellungsdatum hat die Avenger.txt?

so, hier beide dateien:

hxxp://www.file-upload.net/download-2415685/avenger.zip.html

die avenger.txt ist auch von gestern!

Haben noch andere Zugriff auf Dein Rechner?

Das hat der Avenger geloggt, da wurde definitiv mit dem Tool gescriptet:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Error: file "C:\WINDOWS\system32\cmd16.exe" not found!
Deletion of file "C:\WINDOWS\system32\cmd16.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\svc.exe" not found!
Deletion of file "C:\WINDOWS\svc.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\svw.exe" not found!
Deletion of file "C:\WINDOWS\svw.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\lsass.exe" not found!
Deletion of file "C:\WINDOWS\lsass.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\ctfmon.exe" not found!
Deletion of file "C:\WINDOWS\ctfmon.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\logon.exe" deleted successfully.

Error: file "C:\WINDOWS\svx.exe" not found!
Deletion of file "C:\WINDOWS\svx.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\wdmon.exe" not found!
Deletion of file "C:\WINDOWS\wdmon.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\60325cahp25ca0.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\60325cahp25ca0.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

nein, nicht dass ich wüsste. kannst du da was draus erkennen? können wir damit das problem lösen?

Eigentlich ist die logon.exe malware, ich glaube aber, wenn wir die nach system32 zurückkopieren, startet der Rechner wieder. Dann hätte man zumindest wieder ein laufendes Windows und man könnte daraus versuchen zu bereinigen. Probier das mal.

die vier umbenannten dateien mit endung vir sollen aber in dem extra angelegten ordner bleiben? was soll ich mit denen machen? löschen? was sind das überhaupt für dateien?

logon.exe in system32 hat auch nichts gebracht. ich sollte ja logon.exe nur kopieren, nicht löschen

Hm...
Also Windows startet schon normal durch, nur kannst Du keine Eingaben machen, weil das SecurityTeil alles blockiert? Ist das richtig? Kommst Du mit dem Affengriff in den Taskamanger?

genau. auf affengriff folgt keine reaktion. hatte ich auch schon mal probiert.

Zitat:

C:\WINDOWS\System32\lowsec

Dieser Ordner fiel mir eben erst auf. In der PE-Umgebung bitte löschen. Poste bitte auch ein frisches Logfile. File Age bitte auf 90 Tage setzen.

der ordner ist nach dem neustart wieder da, habe ihn erneut gelöscht und danach logfile erstellt:

hxxp://www.file-upload.net/download-2416582/OTL2.Txt.html

AUha, so langsam wird mir klar warum der Rechner nicht startet. Hast Du da aus der PE-Umgebung einen Registry-Editor? Da müssen einige Einträge gefixt werden...

das versteh ich jetzt nicht, weis nicht was du damit meinst