Windows XP Ordner leer
 

Hallo liebes Trojaner Board Team,

ich habe ein Problem mit meinem Notebook und würde gerne eure Hilfe in Anspruch nehmen.
Ich bedanke mich schonmal im Vorraus da ihr mir schon einmal helfen konntet und wirklich einen super Job macht !

Nun zur meiner Problematik:
Ich sollte für einen Freund eine Schriftart suchen und wollte demnach in den Windows/Fonts Ordner schauen. Festplatte F (Windows Partition) geöffnet den Ordner Windows angeklickt und siehe da er ist komplett LEER. Daraufhin habe ich die Versteckten Datein und Ordner eingeblendet. Seit dem ist auch alles wieder da, bei den normalen Windows Ordnern sind allerdinds kein Hacken bei "versteckt" gesetzt und sie sind nicht "transparent" wie die "richtigen" versteckten Ordner. Sobald ich den Haken wieder entferne ist mein Windows Ordner wieder leer.

Irgendwas stimmt nicht, ich bin mit meinem Latein am Ende.
Im Anhang befinden sich die diversen Log´s. Einzieg die Extras.txt fehlt. diese wurde im Ordner MFTOOLS nicht angelegt.

Gruß
Dom

Und wieso schreibst du der Ordner sei leer? Leer bedeutet nichts da. Wenn dem so wäre könnte Windows nichtmal starten, da auch etliche Systemdateien nicht vorhanden wären. :D

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Im ersten Moment waren die auch "leer" für mich :crazy:

Im Anhang ist jetzt der MWB Scan.

Gruß
Dom

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi,

alles wie beschrieben abgearbeitet im Anhang das Log file.

Gruß
Dominik

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo,

Die Log´s sind wieder im Anhang.

Grüße
Dom

Diese 3 Einträge mit OSAM bitte deaktivieren

Ich hab die Einträge in OSM deaktiviert, neu gestartet und nun kann ich im Anmeldebildschirm das MausPad+Tastatur vom Laptop nicht mehr benützen, heißt es bewegt sich nichts.

Hab dann mal eine externe Maus+Tastatur angeschlossen. Diese funktionieren wiederum.

Soll ich das entfernen der Einträge fortsetzen?

Dann reaktivier den mittleren Eintrag (fwkbd) wieder. Ich war mir nicht sicher, ob der für die Tastatur verantwortlich ist, deswegen hab ich auch nur gesagt deaktivieren und nicht löschen ;)

dann ist es aber immer sehr verwirrend das "OSAM" oder andere Kürzel gleich immer auf irgendwelche Anleitungen führen! Diese machen nämlich den Anschein als seien sie gewollt gesetzt und sollen wie dort beschrieben abgearbeitet werden.

Zurück zum Thema:

Ich muss mich korrigieren, die externe Maus funktioniert. Die externe Tastatur (3 unterschiedliche probiert) allerdings nicht. Somit hänge ich immer noch am Anmeldebildschirm da ich mein Passwort nicht mehr eingeben kann.

Gruß
Dom

Du hast doch den Eintrag wieder aktiviert oder nicht? Und die Tastatur geht immer noch nicht?

Hi,

nein ich habe ihn nicht wieder aktiviert.
Nochmal der Reihe nach um missverständnissen vorzubeugen.

- ich habe wie von dir geschrieben die 3 Einträge deaktiviert
- danach den gevorderten neustart durchgeführt
- nun gehen das integrierte MausPad und die Tastatur am Laptop nicht mehr sobald sich der Anmeldebildschirm öffnet (Benutzername/PW)
- ohne Tastatur keine PW eingabe --> ohne PW kein Zugriff auf Windoof
- daraufhin habe ich meine Funk Maus angeschlossen
- die funktioniert auch
- die Funk Tastatur geht allerdings nicht
- genauso wie die 3 anderen Tastaturen ( eine mit Kabel / 2x Funk) egal welcher USB Port

das ist mein Problem, ich kann den Eintrag nicht wieder aktivieren weil ich gar nicht mehr ins Windows rein komme.

Gruß
Dom

Funktioniert im abgesicherten Modus die Tastatur noch? Wenn ja bitte da den Eintrag reaktivieren.

negativ :crazy:

Ach du Sch.. :balla:
Probier mal die letzte als funktionierend bekannte Konfig.
Wenn das nicht geht, wüsste ich nur noch: mit Rettungs-CD wie OTLPE booten und da über ein spezielles Tool versuchen, den Eintrag wieder zu aktivieren :stirn:

(sry für die Kacke, die ich dir eingebrockt hab :headbang:)

hihi ich hab wieder die Oberhand :abklatsch:

die "letzte bekannte Konfig" hats raus gerissen.

Ich hab noch was interessantes gelernt. Einer von den Scannern wollte das ich die Wiederherstellungskonsole installiere. Dachte ich mir gut ... mit der soll man ja wohl nen Wiederherstellungspunkt wählen können ... aber jetzt kommt Microdoof ins spiel ... Wiederherstellungspunkt wählen KANNSTE MIT DEM DING NICHT -.-

Gruß

Die Wiederherstellungskonsole (WHK) hat rein nichts mit Wiederherstellungspunkten zu tun...

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Hi,

jap ich habe auf C:\Win Vista (war beim Notebook dabei) und auf F:\Win XP

Nutzt du beide Betriebssysteme? Wenn dann sollte man dann den MBR über eine Vista-DVD fixen. hast du eine Vista-DVD zur Hand?

Hi,

ich nutze eigentlich nur XP hab mich aber davor gescheut Vista zu deinstallieren.
CD´s habe ich nur die beigelegten "REcovery CD´s" das Betriebssystem war bereits vor installiert.

Gruß

Vista nutzt du also garnicht und es wäre nicht schlimm, wenn es nicht mehr startet?

Wenn dem so ist, du also nur noch WinXP nutzen möchtest: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.

Hi,

wenn es nicht mehr starten kann, kann ich die Partition auch gleich formatieren.
Was isn der MBR überhaupt und was wäre so falsch daran es so zu lassen wie es ist.

Hat ja in dem Sinne nichts mit meinem Viren Problem zu tun oder liege ich da falsch?
Erklär mal ich brauch Input ;)

Gruß
Dom

Der MBR ist der Master Boot Record und wenn ich dir schreibe, dass der gefixt werden soll, kannst du mir das ruhig lglauben :rolleyes:
Schädlinge manipulieren in letzter Zeit sehr häufig den MBR. Eine Formarierung der Systempartition allein schreibt noch keinen neuen MBR. Also führ bitte fixboot/fixmbr aus.

naaa das vertrauen is hin ... ich denke da an ein kürzliches Tastaturproblem :pfeiff: Nicht das der Hocker das nächste mal ganz aus bleibt :rofl:

PS: Kleiner Spaß

Ich bin heute nicht dazu gekommen was am Laptop zu machen. Ich hoffe ich finde morgen Zeit.

Eine Frage habe ich aber noch. Durch das ladend er letzten Aktiven Konfig sind die drei hier ja wohl wieder alle aktiviert. Was tun?

Gruß

Ok, dann trau dem Log ;) => Found non-standard or infected MBR.

Der erste Eintrag sieht sehr verdächtig aus. Erstmal deaktivieren (nicht löschen)
Der zweite ist wie wir nun wissen für die Tastatur, aber warum der Eintrag sich so bedeckt verhält will mir nicht einleuchten :wtf: deswegen hab ich ihn auch erstmal fixen lassen :stirn:
Der dritte sieht nach einem zumindest überflüssigen Überbleibsel aus (Pfad zur einer CD? => G:\INSTALL\GMSIPCI.SYS)

Hallo,

Laufwerk G: ist mein DVD Laufwerk das ist richtig.
Ich hab nun den ersten Eintrag deaktiviert und danach den MBR gefixt.
Das Log File ist im Anhang.

Gruß
Dom

Sieht gleich freundlicher aus. :)
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo,

im Anhang die Logs!

Gruß

Cookies und ein Fehlarm. Harmlos!
Rechner wieder ok oder noch Probleme? :)

Hi,

mein Windoof Ordner sieht aber immer noch komisch :(

http://s10.directupload.net/images/1...p/fkxpahvb.png

Ja dann nimm doch einfach die Attribute Schreibgeschützt raus...

Hi,

das Atribute "versteckt" ist ja bei den Ordnern überhaupt nicht gesetzt! Sie reagieren aber als ob es so wäre. Da hatt doch irgend einer von meinen "Streichelzoobewohnern" seine Finger im Spiel gehabt :crazy:


Gruß
Dom

Wie ist das bei einem anderen Benutzer? Leg mal testweise einen weiteren Admin an und log dich mit dem ein.

Hi,

mit einem neuen AdminKonto sieht es wieder i.O. aus.

Gruß

Dann hat das alte Benutzerprofil ne Macke. Ob man es reparieren kann weiß ich nicht. Entweder du machst mit einem neuen weiter oder lebst mit dem kosmetischen Fehler :D

Hi,

gut solange es nur ein Kosmetischer Fheler ist, solls mir egal sein.
Der kleintierzoo scheint ja erledigt zu sein :daumenhoc:

Ich danke dir für deine Hilfe.

Sämtliche Programme kann ich wieder deinstallieren oder wie werde ich die am saubersten wieder los?

Gruß
Dom

Ja kann deinstalliert werden.

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.