Zur Info:
Deine Daten befinden sich (wie es zur Zeit aussieht) in einem Versteckten Ordner auf Laufwerk E:\ (es dürfte ein Ordner mit Systemattributen sein).
Der Ordner scheint zusätzlich noch einen Unicode Namen zu haben und erschwert damit den Zugriff darauf.
Ich versuche zur Zeit über Powershell Zugriff auf den Ordner zu bekommen, um die Daten an einen Ort zu verschieben, an dem du sie wieder sehen kannst.
Die Dateien Ts1.ps1 bzw. Ts2,ps1 sollen die Aufgabe des Verschiebens übernehmen und wurden vorher vom PPFScanner dafür erstellt.
Nur noch Verknüpfungen auf meinem USB-Stick
-
Mark3 -
22. Juni 2017 um 20:09
-
-
-
Hartnäckiges Ding.
Das noch versuchen:- PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Benutze zum Kopieren das Symbol mit den zwei kleinen Blättern rechts neben dem Wort Quellcode in der Box:
Code
Alles anzeigenCREATE_FOLDER->C:\PPF_Scan2 KILL_PROCESS->Powershell.exe SET_SCANLIST->1 SET_OPTIONS->-205,-213,217 CREATE_FOLDER->C:\PPFS_T CREATE_BATCH_FILE->C:\PPFS_T\T2.ps1 WRITE_BATCH->ForEach( $Files in Get-Childitem 'E:\' -Force ) { WRITE_BATCH->$Path = $Files.Fullname WRITE_BATCH->ForEach( $SubFiles in Get-Childitem $Path -Force ) { WRITE_BATCH->$SubPath = $SubFiles.Fullname WRITE_BATCH->Move-item -Path $SubPath -Destination 'E:\' WRITE_BATCH->Write-Host $SubPath WRITE_BATCH->} WRITE_BATCH->} START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T2.ps1 EXECUTE_IN_SHELL-> LOOP->20 SLEEP->30000 CLOSE_SHELL-> SET_HEADLINE->Files on E:\#Dateien auf E:\ SEARCH_FILES->* ->E:\ COPY_SCANFILES->C:\PPF_Scan2 OPEN->C:\PPF_Scan2 END->
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja. - Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen! Sollen Dateien verschoben oder gelöscht werden, lasse das zu.
- Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.
- Gibt es Probleme bei der Aktion, melde dich.
-
der akuelle link
[Link entfernt]
mfg
-
Hat keinen Zweck - Handarbeit versuchen.
Das tun:- WindowsExplorer starten.
- Doppelklick auf Laufwerk E:.
- Klicke im Menü des Explorers auf Extras und Ordneroptionen.
- Öffne die Registrierkarte Ansicht.
- Entferne das Häkchen bei Geschützte und Systemdateien ausblenden (empfohlen).
- Unter Versteckte Dateien und Ordner markiere Alle Dateien und Ordner anzeigen.
- Klicke dann OK.
- Im Laufwerk E: müsstest du dann einen Ordner sehen, der keinen Namen trägt. Siehst du den Ordner?
- Wenn ja, versuche den Ordner zu öffnen. Was passiert?
-
es ist alles wieder sichtbar.
-
die ordner sind wieder sichtbar, noch nicht die Dateien.
-
Alles markieren, was in dem Ordner ohne Namen steht.
Verschiebe alles direkt nach E:\ (aus dem Ordner weg).
Überprüfe danach, ob der Ordner ohne Namen wirklich leer ist.
Lösche dann diesen Ordner ohne Namen.
Ist das erledigt, hier melden. -
hallo AHT,
alles wieder da
was ist noch zu tun?
kann der Rechner noch infiziert sein?
war das eine spontane infektion oder habe ich das Virus auch schon unbemerkt auf andere geräte übertragen?
mfg
Mark3
-
war das eine spontane infektion oder habe ich das Virus auch schon unbemerkt auf andere geräte übertragen?
Das klären wir zum Schluss.
Jetzt folgendes über die Systemsteuerung deinstallieren:
- Microsoft Antimalware
Melde dich, wenn das erledigt ist.
-
Hallo AHT,
ich finde die Datei nicht.
-
Warum Deinstalliere?
Du verwendest neben Microsoft Antimalware auch den Virenscanner Avast. Beide haben einen Hintergrundwächter.
Die Hintergrundwächter treten sich bei einer Infektion dann gegenseitig auf ie Füße - das war bei dir der Fall.
Siehe hier:Zitat von Eventlog.txt22.6.2017 17:00 Uhr 39s
Record #165507
Computername->...
Microsoft Antimalware:
Warning
Microsoft Antimalware hat Malware oder andere möglicherweise unerwünschte Software erkannt.Im Folgenden finden Sie weitere Informationen:
http://go.microsoft.com/fwlink/?linkid…atid=2147598241Name: VirTool:Win32/CeeInject
ID: 2147598241
Schweregrad: Schwerwiegend
Kategorie: Tool
Pfad: file:_C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\trz2655.tmp;file:_C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{44F858ED-DA69-4A9A-9F5E-BC6932C1F88A}-FCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFEE.FCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFEE;file:_E:\ \fcfbebdadfcfbebdadfcfbebdadfcfbebdadfcfbebdadfcfbebdadfcfee.fcfbebdadfcfbebdadfcfbebdadfcfbebdadfcfbebdadfcfbebdadfcfee;file:_E:\ \trz20E8.tmp;filelocalcopy:_c:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{273D7EA5-B67A-4A9A-9F81-FFAE46663494}-trz20E8.tmp;filelocalcopy:_\\?\c:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{44F858ED-DA69-4A9A-9F5E-BC6932C1F88A}-FCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFEE.FCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFBEBDADFCFEE
Erkennungsursprung:: Lokaler Computer
Erkennungstyp: Konkret
Erkennungsquelle: Echtzeitschutz
Benutzer: NT-AUTORITÄT\SYSTEM
Prozessname: C:\Program Files\AVAST Software\Avast\AvastSvc.exe
Signaturversion: AV: 1.245.1173.0, AS: 1.245.1173.0, NIS: 17.1100.0.0
Modulversion: AM: 1.1.13804.0, NIS: 2.1.8904.0
Microsoft Antimalware hat hier Malware im Virenscanner Avast gefunden, weil der ebenfalls gerade den Trojaner entdeckt hat. Die Folge davon ist, dass sich beide Virenscanner gegenseitig behindern.
-
Hallo AHT,
ich finde die Datei nicht.
Startleiste klicken.
Systemsteuerung starten.
Klicke in der Systemsteuerung auf Programme deinstallieren unter Programme.
Es dauert etwas, bis alle Programme in der Liste aufgeführt sind. Kurz warten.
Suche dort dann nach Microsoft Antimalware - das müsste dort aufgeführt sein. -
hallo AHT,
ich muss jetzt leider in die Arbeit, kann ich den rechner runterfahren oder soll ich ihn anlassen?
kannst du mir noch mitteilen, wo ich die mircrosoft antimalware finde?
gibts einen guten zeitpunkt, zum weitermachen?
mfg
Mark3
-
Das kann auch unter Microsoft Security Essentials aufgeführt sein. Findest du das?
-
gibts einen guten zeitpunkt, zum weitermachen?
Wenn du wieder Zeit hast, melde dich hier. Ich schaue zwischendurch rein.
Rechner kannst du runterfahren. -
die securitis essentials ist aufgeführt, soll ich die deeinstallieren
-
Ja - deinstallieren.
Ich gebe dir nachher hier noch weitere Anweisungen. Das kannst du ausführen, wenn du wieder Zeit hast. -
Für heute ganz herzlichen Dank.
Mark3
-
Das dann tun:
1. Einstellungen des Explores wieder passend ändern- WindowsExplorer starten.
- Doppelklick auf Laufwerk E:.
- Klicke im Menü des Explorers auf Extras und Ordneroptionen.
- Öffne die Registrierkarte Ansicht.
- Setze das Häkchen bei Geschützte und Systemdateien ausblenden (empfohlen).
- Klicke dann OK.
2. Nach Adware suchen
- Lade dir bitte von hier den AdwCleaner herunter und speicher es auf dem Desktop ab.
- Schließe alle offenen Programme und Browser.
- Starte die adwcleaner.exe
- Klicke im Hauptfenster auf "Suchen"
- Warte bis der Scan beendet ist.
- Klicke im Hauptfenster auf "Löschen"
- Bestätige die erscheinenden Meldung mit OK
- Der Rechner wird sich neu starten.
- Nach dem Neustart öffnet sich ein Textdokument.
- Lade das Log AdwCleaner[C...].txt, das sich nach dem Neustart geöffnet hat, bei workupload.com/ hoch und poste den Downloadlink hier im Forum.
3. Eset Onlinescanner über den PPFScanner ausführen
- PPFScan.exe starten.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:
Code
Alles anzeigenCREATE_FOLDER->C:\PPFS_T CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs WRITE_BATCH->Dim EnglishText, GermanText, VoiceName WRITE_BATCH->EnglishText = "Information from PPF-Scan. " WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan wants to load files from the internet! " WRITE_BATCH->EnglishText = EnglishText + "Pleace dont turn off internet connection! " WRITE_BATCH->GermanText = "Information vom PPFScanner! " WRITE_BATCH->GermanText = GermanText + "Der PPFScanner wird nun Dateien aus dem Internet herunterladen! " WRITE_BATCH->GermanText = GermanText + "Bitte unterbrechen sie die Internetverbindung nicht, bis der Vorgang abgeschlossen ist! " WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice") WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0) WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription WRITE_BATCH->VoiceName = ucase(VoiceName) WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then WRITE_BATCH-> SAPI.Speak GermanText WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak GermanText WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak EnglishText WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak EnglishText WRITE_BATCH->End If START_SHELL->%SystemRoot%\system32\cmd.exe EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B CLOSE_SHELL-> CREATE_FOLDER->C:\PPF_Scan2 SLEEP->10000 DOWNLOAD->http://download.eset.com/special/eos/esetsmartinstaller_deu.exe>C:\PPFS_T\ESInstall.exe CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs WRITE_BATCH->Dim EnglishText, GermanText, VoiceName WRITE_BATCH->EnglishText = "Information from PPF-Scan. " WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan is executing an anti-virus scanner " WRITE_BATCH->EnglishText = EnglishText + "and will set options in the anti-virus scanner! " WRITE_BATCH->EnglishText = EnglishText + "Pleace don't touch the mouse and don't execute any program while the virus-scanner is running. " WRITE_BATCH->GermanText = "Information vom PPFScanner! " WRITE_BATCH->GermanText = GermanText + "Der PPFScanner führt jetzt ein Antivirenprogramm aus " WRITE_BATCH->GermanText = GermanText + "und wird automatisch Optionen im Antivirenprogramm setzen! " WRITE_BATCH->GermanText = GermanText + "Bitte berühren sie nicht die Maus und starten sie keine Programme, " WRITE_BATCH->GermanText = GermanText + "bis der Vorgang abgeschlossen ist! " WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice") WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0) WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription WRITE_BATCH->VoiceName = ucase(VoiceName) WRITE_BATCH->For i = 1 to 3 WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then WRITE_BATCH-> SAPI.Speak GermanText WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak GermanText WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak EnglishText WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then WRITE_BATCH-> SAPI.Speak EnglishText WRITE_BATCH->End If WRITE_BATCH->Next START_SHELL->%SystemRoot%\system32\cmd.exe EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B CLOSE_SHELL-> SLEEP->20000 CREATE_BATCH_FILE->C:\PPFS_T\Test.BAT SET_PRIVILEGE->SeBackupPrivilege>0 EXECUTE->C:\PPFS_T\ESInstall.exe SET_PRIVILEGE->SeBackupPrivilege>1 WAIT_FOR_WINDOW->Nutzungsbedingungen ->ESInstall.exe CLICK_WINDOW->JA, ich bin mit den Nutzungsbedingungen einverstanden ->ESInstall.exe ->8 ->8 CLICK_WINDOW->Start ->ESInstall.exe ->8 ->8 WAIT_FOR_PROCESS->OnlineScannerApp.exe SLEEP->1000 CLICK_WINDOW->Erkennung von eventuell unerwünschten Anwendungen aktivieren ->OnlineScannerApp.exe ->8 ->8 CLICK_WINDOW->Erweiterte Einstellungen ->OnlineScannerApp.exe ->8 ->8 CLICK_WINDOW->Archive prüfen ->OnlineScannerApp.exe ->8 ->8 CLICK_WINDOW->Auf potenziell unsichere Anwendungen prüfen ->OnlineScannerApp.exe ->8 ->8 CLICK_WINDOW->Start ->OnlineScannerApp.exe ->8 ->8 WAIT_FOR_WINDOW->Fertig stellen ->OnlineScannerApp.exe ACTIVATE_WINDOW->Eset Online Scanner ->OnlineScannerApp.exe CLICK_WINDOW->Fertig stellen ->OnlineScannerApp.exe ->8 ->8 SLEEP->3000 KILL_PROCESS->OnlineScannerApp.exe CREATE_BATCH_FILE->C:\PPFS_T\LOG.BAT WRITE_BATCH->COPY "%PROGRAMFILES%\ESET\ESET Online Scanner\log.txt" "C:\PPF_Scan2\EsetLOG.txt" /Y /A WRITE_BATCH->COPY "%PROGRAMFILES(X86)%\ESET\ESET Online Scanner\log.txt" "C:\PPF_Scan2\EsetLOG.txt" /Y /A OPEN->C:\PPFS_T\LOG.BAT OPEN->C:\PPF_Scan2 END->
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja. - Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen!
- Der Eset Onlinescanner (Virenscanner) wird sich selbst herunterladen, starten und selbst die Einstellungen setzen. Finger weg vom Rechner, bis der Scan von Eset gestartet wurde!
- Der Scan wird einige Stunden dauern. Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.
[Blockierte Grafik: http://abload.de/img/test7ysqd.jpg]
4. PPFScanner so nochmals ausführen - ich muss schauen, ob noch was weg muss:
- Die PPFScan.exe starten.
- Lasse den Internetbrowser laufen.
- Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
- Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
- Wähle im Untermenü Script laden und ausführen.
- Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Kernelmode RootKitscan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
- Das Fenster des PPFScanner wird sich vergrößern und eine zeitlang den Bildschirm blockieren - erschrecke nicht. Der Scanner lädt sich in dieser Zeit Sachen für RootKitscans und zum Untersuchen der Browser aus dem Netz herunter und führt die aus. In den Fenstern, die die Programme erzeugen, darf nichts bedient werden - deswegen werden die verdeckt.
- Der Scan wird über eine Stunde laufen. Sobald das Fenster des PPFScanner sich wieder verkleinert hat (dauert nur wenige Minuten), kannst du am Rechner weiterarbeiten. Lass den Scanner aber weiterlaufen.
- Nach dem Scan beendet sich der Scanner und es öffnet sich im Windows-Explorer der Ordner C:\PPF_Scan1. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Download Links hier.
- Warte dann, ich werde mich melden.
-
Guten Morgen,
1. Einstellungen des Explores wieder passend ändern
2. Nach Adware suchen: [Link entfernt]
3. Eset Onlinescanner über den PPFScanner ausführen: [Link entfernt]
4. PPFScanner so nochmals ausführen - ich muss schauen, ob noch was weg muss:
[Link entfernt]mfg
Mark3 -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!