|
Rechner hängt sich bei GMER seit "Entfernung" von Windows Recovery auf Hallo ihr Lieben :) Ein Freund von mir hat sich den Windows Recovery Virus eingefangen und ihn versucht zu entfernen, dies schien auch auf den ersten Blick funktioniert zu haben. Doch bei genauerer Betrachtung läuft er immer noch nicht rund. Er bat mich auch einmal ein Blick darauf zu werfen und als dann GMER nicht startete dachte ich mir ihr könntet uns evtl. weiterhelfen, also habe ich mal alles was ich an Logs habe, zusammen gekratzt und hoffe ihr könnt damit mehr anfangen. Das Archiv beinhaltet 2 SaS und 2 MBAM Logs, also jeweils ein "frisches" Log pro Programm. Hoffe ihr könnt uns ein wenig weiterhelfen. Grüße deviant |
"combofix2.txt" Warum wird auf eigene Faust mal wieder CF ausgeführt? Dick und fetten Hinweis überlesen? :stirn: => http://www.trojaner-board.de/95175-combofix.html |
Guten Morgen Arne! :) Danke für den Hinweis auch wenn er bei mir leider die falsche Person trifft. :crazy: Das Einzige was ich bisher an dem Rechner gemacht habe, war die Logs zusammen zu suchen und versuchen GMER auszuführen. Mein Freund hatte wohl gedacht er würde der Sache alleine Herr werden und hat den Rat in diesem Thread =>http://www.trojaner-board.de/96741-w...entfernen.html danach direkt einen eigenen Strang aufzumachen wohl für unnötig befunden. Naja, wie dem auch sei, im Endeffekt sind wir bzw. ich ja doch wieder hier gelandet :blabla: Noch ein Paar Eckdaten habe ich auf jeden Fall mittlerweile von ihm, für euch: Als allererstes hat er sich wohl an den oben genannten Thread und die darin enthaltenen Infos gehalten. Also, rkill, MBAM und danach unhide.exe, hat auch wunderbar funktioniert, da der MBAM Suchlauf noch mehr Sachen zu Tage förderte, kam dann der Scan mit SAS. Da danach wohl Ratlosigkeit herrschte (weil GMER nicht startete) kamen dann eher willkürliche Scans mit CF (nur im safeboot), TDSS-Killer etc. Tja, und danach kam erst ich ins Spiel. Ich hoffe, dass der CF-Scan jetzt kein Grund ist, ihm die Hilfe zu versagen, schließlich wollte er euch ja eigentlich nur Arbeit ersparen. (Was ja wunderbar funktioniert hat :rofl: ) |
Ich wollte damit nur sagen, dass diese Warnung nicht zur Dekoration da ist! CF ist kein Spielzeug und sollte wirklich nur dann ausgeführt werden, wenn es von uns angewiesen wird. Natürlich wird jetzt weitere Hilfe NICHT verweigert, aber um das besser klarzustelle hab ich bewusst nur diesen Punkt erstmal angesprochen. |
Alles klar! Dann warte ich mal auf weitere Anweisungen. :) |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Gesagt, getan und hier das Log: Code: All processes killed |
Dann nochmal CF ausführen. Die alte combofix.exe vorher löschen. Wichtig ist es als cofi zu starten und das alles im normalen Modus! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Also, habe mich ganz brav an die Anleitung gehalten, CF schien auch normal durchzulaufen. Doch beim letzten Bildschirm, dass ich warten soll, damit die Log-Datei geöffnet werden kann, stürzte der Rechner ab und startete sofort neu. Nachdem Neustart gabs dann auch keine Logdatei zu finden die ich jetzt hier hätte posten können. Nur die Problemsignatur vom "schwerwiegendem Fehler": Code: BCCode:19 BCP1:00000020 BCP2:844643A0 BCP3:844647B8Und nun? :wtf: P.S. Achja, CF hat den Yahoo! Ordner gelöscht und mich erneut darauf hingewiesen, dass die regedit infiziert ist. |
Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal. |
Nein, CF will einfach nicht. Gleiches Problem wie vorhin. Und einen BS spuckt er auch nicht aus (hatte den automatischen Neustart mal deaktiviert um zu sehen, ob er mir evtl. mehr Infos gibt). Aber die Signatur ist eine andere: Code: BCCode:19 BCP1:00000020 BCP2:84A5E560 BCP3:84A5E978 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Ok, bei GMER hängt sich der Rechner auf wie eh und je. Ich starte das Programm und sofort startet der Rechner neu. Hier die Signatur: Code: BCCode:19 BCP1:00000020 BCP2:84544000 BCP3:84544828Code: Report of OSAM: Autorun Manager v5.0.11926.0Code: MBRCheck, version 1.2.3 |
Zitat:
hast du eine Windows-XP-CD zur Hand? Wäre ganz gut um in die Wiederherstellungskonsole zu kommen, dein MBR wird als Win98-Typ erkannt :wtf: |
Ja, ne WinXP-CD hab ich hier. Und ein frisches OSAM Log ist auf dem Weg :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board