Nach Neuaufsetzung des Systems erscheint weiterhin Windows Recovery
 

Hallo Mitglieder,

Windows Recovery ist bei mir aufgetaucht. Da das Pop-up Fenster sich nicht schließen ließ ,mein Desktop sich in einen schwarzen Hintergrund verwandelt hat und mir somit den Zugang zum Firefos versperrt, habe ich zunächst keinen anderen Ausweg gesehen als das System neu aufzusetzen.
Das Windows Recovery Pop-Up Fenster ist allerdings gleich wiedergekommen.

Ich habe die Foren Regeln gelesen, sehe mich aber außerstande solche Dateien wie Load.exe herunterzuladen, weil ich nicht ins Internet komme.

Ich komme zu Eurem Forum über einen 2. Pc. Bitte helft mir.

Gruß
Freiwald

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
- Hast Du das letzte Backup bzw gesicherten Dateien zurückgespielt? Alte Daten können noch infiziert sein! - Punkt 12. hier bitte klicken und lesen:-> 12. Gesicherte Daten wieder einspielen

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

3.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

4.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

5.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

6.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

7.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

gruß
Coverflow

Hi,

vielen Dank erstmal für Deine Mühe Coverflow! Da wartet ja einiges an Arbeit auf mich.

Nein, habe ich nicht. Ich habe mit der WindowsXP-Betriebssystem-CD neu gebootet oder das System neu eingerichtet. Ich sitze natürlich nicht gerade vor meinem PC, habe aber den Verdacht, dass mein System jetzt jungfräulich ist. Ich nehme an, dass ein Zugang zum Internet nicht möglich ist, weil ich noch keinen Browser eingerichtet habe, oder täusche ich mich da. Sorry, dass das Greenhornhttp://www.trojaner-board.de/images/...s/headbang.gif so anstrengend ist.

Ich habe kein Vista oder Win7 sondern XP. Ist dieser Hinweis für mich wichtig und wenn ja, wo finde ich die Eingabeaufforderung?

Und die entscheidende Frage ist für mich, wie soll ich mir eine Gmer-Datei runterladen, wenn ich nicht weiß, wie ich ins Internet kommen soll. Dieses Windows Recovery Pop-up-Fenster auf meinem Desktop ist so mächtig, es läßt sich nicht schließen + der Desktop ist schwarz. Da sind keine Icons auf die ich Zugriff habe.

Ich bitte um Vertsändnis für diese für Euch wahrscheinlich lächerlichen Fragen.

Vielen Dank für Deine/Eure Unterstützung!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Freiwald:headbang:

1.
- alle Programme die ich empfohlen habe, kannst z.B auf USB Stick speichern, dann bei dir von dort installieren (von einem fremden PC aus Internet laden...gehst du zum Freund oder Internet Cafe)
eventuell enen Versuch im abgesicherten Modus:
►drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da - Abgesicherter Modus mit Netzwerktreibern <--auswählen
kannst von hier ins Internet gehen!?

2.
als Browser der Internet Explorer von Haus aus installiert, also in Windows XP Service Pack "automatisch" enthalten!

3.
- ► Wichtige entscheidende Fragen:
hast Du das System formatiert und neu installiert, oder nur einen Reperatur durchgeführt?

4.
- hast Du Servicepack 3 drauf? Verwendest du nun Version 8 oder eine frühere Version wie 7 oder sogar nur 6?

5.
wenn`s dir gelingt es die Programme zu installieren, wir ändern besser die Reihenfolge:

beginne mit :

1.

• Lade Dir Unhide.exe (http://filepony.de/download-unhide/) (by Grinler) herunter und speichere auf deinem Desktop
  für Windows 7 und Vista mit Rechtsklick als Administrator ausführen
• Doppelklick auf das Unhide.exe Icon auf dem Desktop - Alles braucht seine Zeit, also ein bisschen Geduld

<Achtung!>: Wenn Dateien etc, die absichtlich von Dir verborgen waren, also unter eigenschaften versteckt eingestellt hast, musst Du wieder auszublenden, nachdem das Tool ausgeführt wird.

2.
3. dann 7. weiter - der bereits vorgestellten zwei Schritte benötige ich unbedingt um dir helfen zu können

- andere Punkte kannst erst auslassen

Bemerkung:
Falls im normalen Modus nicht klar kommst, kannst zunächst im abgesicherten Modus beide Programme laufen lassen

Hallo Coverflow,

ich habe es tatsächlich geschafft gmer auszuführen. Ich poste sicherheitshalber schon mal die Ergebnisse des Scans Deiner Aufforderung Nr. 1 aus deiner ersten Antwort:

GMER Logfile:
--- --- ---

Guten Morgen Coverflow,

hier Nr. 2:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover
Windows 5.1.2600 Disk: Hitachi_HDP725050GLA360 rev.GM4OA52A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T1L0-10

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EF16A] -> \Device\Harddisk0\DR0[0x8A697AB8]
3 CLASSPNP[0xBA0E905B] -> ntkrnlpa!IofCallDriver[0x804EF16A] -> \Device\00000065[0x8A6E93B8]
5 ACPI[0xB9F7E620] -> ntkrnlpa!IofCallDriver[0x804EF16A] -> \Device\Ide\IdeDeviceP2T1L0-10[0x8A62FB00]
kernel: MBR read successfully
user & kernel MBR OK

Hi,

die Ergebnisse aus Nr. 3:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6582

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

15.05.2011 11:58:27
mbam-log-2011-05-15 (11-58-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 227835
Laufzeit: 24 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 3
Infizierte Dateien: 17

Infizierte Speicherprozesse:
c:\dokumente und einstellungen\all users\anwendungsdaten\yvykygbjbi.exe (Rogue.Installer.Gen) -> 356 -> Unloaded process successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\15785764.exe (Trojan.FakeAlert) -> 916 -> Unloaded process successfully.

Infizierte Speichermodule:
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A3E67DAA-DA01-4da5-98BE-3088B554A11E} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D95C7240-0282-4c01-93F5-673BCA03DA86} (Adware.Hotbar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YvYKyGbjbi (Rogue.Installer.Gen) -> Value: YvYKyGbjbi -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HotbarSA (Adware.Hotbar) -> Value: HotbarSA -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\jan\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\anwendungsdaten\hotbar_icons (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\Hotbar (Adware.Hotbar) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\yvykygbjbi.exe (Rogue.Installer.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\15785764.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.
c:\dokumente und einstellungen\jan\eigene dateien\downloads\movconvertersetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\lokale einstellungen\Temp\0.4949680958523912.exe (Trojan.Zbot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\lokale einstellungen\Temp\jar_cache1161179360327237771.tmp (Trojan.Zbot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\lokale einstellungen\Temp\jar_cache4735556400889603834.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\lokale einstellungen\Temp\jar_cache551080565222979549.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\lokale einstellungen\Temp\jar_cache8095109747562303614.tmp (Trojan.Zbot) -> Quarantined and deleted successfully.
c:\programme\mozilla firefox\null0.062422649616957204.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programme\mozilla firefox\null0.4022892125911727.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programme\mozilla firefox\null0.7458834358349493.exe (Trojan.Zbot) -> Quarantined and deleted successfully.
c:\programme\mozilla firefox\plugins\npclntax_hotbarsa.dll (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\Desktop\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jan\anwendungsdaten\hotbar_icons\sloticon2.ico (Adware.Hotbar) -> Quarantined and deleted successfully.

Hi,

zusätzlich kommt die Nachricht von Malwarebytes:

Bestimmte Objekte konnten nicht entfernt werden. Eine Log-Datei wurde im Log-Datei-Verzeichnis gespeichert.
Der Computer muss jetzt neu gestartet werden, um den Entfernungsprozess abzuschielßen.

Das bestätige ich jetzt mit ja!

Freiwald

Hi,

erst mal vielen Dank für Deine gute Unterstützung. Es läßt sich jetzt schon weitaus entspannter arbeiten nachdem ich Malwarebytes ausgeführt habe. Ich bin Dir wirklich sehr dankbar!

Hier die Ergebnisse aus Nr. 5

1.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
+ fehlende Schritte auch noch: 6. und 7.

hast Du das System formatiert und neu installiert, oder nur einen Reperatur durchgeführt?