Trojaner (Festplatte beschädigt)

  • Hallo Leute,


    Ich habe mir vor ein paar Tagen einen Trojaner eingefangen von dem hier schön des öfteren berichtet wurde. Mein Desktop ist komplett schwarz, meine Programme im Startmenu sind leer sind und ich bekomme ständig Meldungen von Windows System Alert, dass meine Festplatte kaputt ist. Des Weiteren benutze ich Mozilla Thunderbird und dort wird mir jede e-mail seit befall des Trojaners mehrfach angezeigt und nach Programm neustart erscheinen auch wieder die gelöschten e-mails bis zu dem Tag des Befalls. Da ich mich bereits bei anderen Threads informiert habe, habe ich zunächst einmal Malwarebytes durchlaufen lassen, die infizierten Dateien entfernt und anschließend einen OTL Scan durchgeführt. (Die Scanberichte dazu befinden sich im Anhang)


    Nachdem ich Malwarebytes durchlaufen lassen habe, erhalte ich keine Windows System Alert Meldungen mehr und kann auch schon wieder meine Desktop Dateien sehen, jedoch werden diese versteckt angezeigt und es gibt auch eine .exe Datei namens Windows XP Recovery die vorher nicht da war und mir noch Sorgen bereitet. Außerdem werden meine Programme im Startmenu weiterhin als leer angezeigt und mein Thunderbird regeneriert mir weiterhin gelöschte e-mails und mehrfach e-mails.


    Ich würde mich freuen, wenn sich jemand mal meine logfiles angucken kann und mir sagen kann, wie ich weiter vorgehen soll.


    lg
    Eiker

  • hier dann noch das HijackThis logfile:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:42:43, on 24.05.2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)

    Einmal editiert, zuletzt von Volkmar ()

  • Hi,
    ich dank schonmal für die bisherigen Anweisungen.
    Ich kriege nachdem ich combofix durchlaufen lassen habe keine Meldungen mehr von dem Virus und auch mein Mozilla Thunderbird funktioniert wieder ganz einwand frei. Allerdings sind die Programme im Startmenu weiterhin leer, wie kann ich das noch beheben?


    Kann ich jetzt eigentlich davon ausgehen, den Virus beseitigt zu haben oder sollte ich noch weitere checks durchführen?


    gruß eiker

  • Hallo Eiker,


    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Auf Nachfrage Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

    Gruss Mopao
    Malware-Veteran

  • Nur zur info. ich hab jetzt doch einige male den Sound meines virenprogramms gehört, der mir sagt, dass eine infizierte datei/anwendung gefunden wurde. allerdings erschien kein pop up fenster, sodass ich keine ahnung habe wovor gewarnt wurde.


    hier die logfiles von PPFS


    File-Upload.net - Drivers.txt
    File-Upload.net - Eventlog.txt
    File-Upload.net - Files.txt
    File-Upload.net - Firewall.txt
    File-Upload.net - Hidden.txt
    File-Upload.net - MD5.txt
    File-Upload.net - Modules.txt
    File-Upload.net - ppFiles.txt
    File-Upload.net - ppRegistry.txt
    File-Upload.net - Processes.txt
    File-Upload.net - Scripting.txt
    File-Upload.net - Services.txt
    File-Upload.net - Warnings.txt

  • hi,


    es ist noch so, dass mir übers startmenü keine programme angezeigt werden, da steht dann immer (leer), gibt es da irgendwas, was ich machen kann? ab und an komt auch ein piepen von meinem pc, das sonst nur auftritt, wenn mein antivirenprogramm eine schädliche datei entdeckt, allerdings wird mir nichts angezeigt. ansonsten läuft der pc aber gut.

  • Hallo,


    versuch folgendes um dein Startmenü wiederherzustellen.


  • In deinen LOGs vom PPFscanner werden einige wichtige Systemdateien nicht als signiert angezeigt:

    Code
    C:\WINDOWS\system32\ntdll.dll                                                                                                                                                        2089877504   757760             DLL für NT-Layer                                                  Microsoft Corporation                          Betriebssystem Microsoft® Windows®                               5.1.2600.5755        5.1.2600.5755 (xpsp_sp3_qfe.090206-1316)                                              
    C:\WINDOWS\system32\kernel32.dll                                                                                                                                                     2088763392   1081344            Client-DLL für Windows NT-Basis-API                               Microsoft Corporation                          Betriebssystem Microsoft® Windows®                               5.1.2600.5781        5.1.2600.5781 (xpsp_sp3_qfe.090321-1341)                                              
    C:\WINDOWS\system32\GDI32.dll                                                                                                                                                        2012151808   299008             GDI Client DLL                                                    Microsoft Corporation                          Microsoft® Windows® Operating System                             5.1.2600.5698        5.1.2600.5698 (xpsp_sp3_qfe.081022-1941)                                              
    C:\WINDOWS\system32\ADVAPI32.dll                                                                                                                                                     2010775552   696320             Erweitertes Windows 32 Base-API                                   Microsoft Corporation                          Betriebssystem Microsoft® Windows®                               5.1.2600.5755        5.1.2600.5755 (xpsp_sp3_qfe.090206-1316)                                              
    C:\WINDOWS\System32\MSWSOCK.DLL                                                                                                                                                      1905983488   262144             Microsoft Windows Sockets 2.0-Dienstanbieter                      Microsoft Corporation                          Betriebssystem Microsoft® Windows®                               5.1.2600.5625        5.1.2600.5625 (xpsp_sp3_qfe.080620-1309)                                              
    C:\WINDOWS\system32\SHELL32.dll


    Das gefällt mir gar nicht.


    Mache nochmals einen Scan mit dem PPFscanner:

    • Von hier den PPFScanner in der aktuellen Version herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Auf Nachfrage Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

    Danach das hier tun, um zu listen, was AntiVir angemeckert hat:

    • PPFScan.exe starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
    Code
    CREATE_FOLDER->C:\PPFS_SCAN2
    SET_OPTIONS->-102
    SET_HEADLINE->Windows Defender Messages#Meldungen des Windows Defenders
    READ_EVENTS->System,WinDefend,500,3,1,1
    SET_HEADLINE->Messages for AntiVir#Meldungen von AntiVir
    READ_EVENTS->Application,Avira AntiVir,500,3,1,1
    COPY_SCANFILES->C:\PPFS_SCAN2
    OPEN->C:\PPFS_SCAN2
    END->


    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
    • Auf Nachfrage ältere Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPFS_Scan2 einige Textdateien. Lade bitte auch alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
  • Du hast noch einen Trojaner in der Systemwiederherstellung.


    Systemwiederherstellung deaktivieren:

    • Start->
    • Systemsteuerung->
    • System->
    • Reiter Systemwiederherstellung->
    • Häkchen bei Systemwiederherstellung auf allen Laufwerken deaktivieren setzen->
    • OK->
    • Einige Minuten warten->

    Etwas warten. Danach wieder aktivieren:

    • Häkchen entfernen->
    • OK->

    Eine fehlende Signatur kann auf einen weiteren Trojaner hindeuten. Ich überprüfe das noch.

  • Danach im PPFScanner folgendes Script ausführen:


    Das Script sucht nach deinen Verlinkungen und gibt mir Infos, ob die nicht signierten Dateien infiziert sind.
    Wenn ich die Einträge vom Startmenü finde, schreibe ich dir Morgen ein Script, dass sie dir wiederholt.

  • Schlechte Nachricht: Deine Verlinkungen sind nicht mehr zu retten - scheinbar gelöscht.

    Sind bei dir die automatischen Updates von Microsoft aktiviet? Wenn nicht, tue das jetzt. Ziehe dir alle nötigen Updates. Bei den unsignierten Dateien sieht mir das nicht nach einer Infektion aus. Eventuell ist da was abgelaufen.

    Danach AntiVir öffnen und so einstellen (ab Bild 8): http://www.paules-pc-forum.de/…tung-zur-einrichtung.html
    Update von AntiVir durchführen.
    Danach System komplett mit AntiVir scannen, alle Funde in Quarantäne verschieben. Report hier posten.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!