Hey,
gestern ist mir aufgefallen, dass ich höchstwahrscheinlich einen Virus habe, der bei MSN scheiß Links verschickt. (ich kann mir nicht erklären, wie der auf meinen PC kommt, da ich nie irgendwo Email und PW angebe). Kurzerhand hab ich mir bei Softonic son MSN Virus Remover runtergeladen, der sich dann beim scannen aufgehangen hat. Hab den PC dann laufen lassen und bin halbe Std weggegangen. Wiedergekommen, war der Bildschirm schwarz, Tastur drücken/Maus bewegen hat nichts gebracht. Neugestartet, (windows normal starten). für ne Minute ist alles normal. Nach ner Minute hat das Klicken keinen Effekt, und alle Dateien verschwinden. Es kommt irgendne Fehlermeldung. (gestern kam sogar ne fehlermeldung die wörtlich lautete: "Sie haben nicht das Recht den Computer herunterzufahren oder neu zu starten"). Den PC kann ich normal nur im "abgesicherten Modus mit netzwerktreibern" nutzen. Naja was heißt "normal". Die Auflösung ist scheiße. Die Dateien sind alle hier noch vorhanden. Jedoch sind die Soundtreiber verschwunden [egal]. Mein Problem ist, dass ich die vorhandenen Dateien brauche. Schließe ich meine Fukato externe Festplatte an, um die Dateien zu übertragen, erkennt der PC die nicht. Bzw er erkennt, dass etwas da ist schreibt aber: F:\ Anwendung nicht gefunden. PC zurücksetzen will der nicht, wie komme ich jetzt an die Dateien ran bzw wieso funktioniert die Festplatte auf einmal nicht (am Vortag hat der PC im abgesicherten Modus die Platte erkannt). Bin für jede Hilfe dankbar!
aber lad dir mal als erstes Hijackthis runter, lass es laufen und poste das Ergebnis hier, (aber bitte die Spoilerfunktion nutzen).
Dann lädst du dir Malwarebytes runter, aktualisierst es und lässt es auch drüber laufen.
Dann CCleaner.
So, im abgesicherten Modus hast du nur begrentzte Treiber, somit kein Sound, keine Grafik, etc... Nach Möglichkeit auch immo keine externen Sachen anschliessen, damit du dir den Rest nicht auch verseuchst.
aber lad dir mal als erstes Hijackthis runter, lass es laufen und poste das Ergebnis hier, (aber bitte die Spoilerfunktion nutzen).
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:22, on 20.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support
O4 - HKCU\..\Run: [Microsoft Windows Hosting Service Login] C:\Users\Ted\AppData\Local\Temp\explorer.exe
Unbedingt fixen! Added by the POEBOT-J WORM! Note - the legitimate Windows Explorer (explorer.exe) is located in the Windows or Winnt folder and would not normally appear in Msconfig/Startup unless you added it manually! This one is located in the System (9x/Me) or System32 (NT/2K/XP) folder
Lad dir Knoppix, sicher dir damit deine Daten und setzt dein System neu auf. Bei sowas weiß man nie, wo die sich sonst noch eingenistet haben, und du hast ja schon gemerkt, was der mit deinem System gemacht hat.
__________________
Gruß Hezu
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ][ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] - unabhängig, anonym, werbefrei
Das Forum für Technikfragen, allgemeine Diskussionen und mehr
Mit CCleaner gesäubert.
diese O4 HKCU datei gefixt.
PC im normalen Modus neugestartet, [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] ausgeführt. Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:22, on 20.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:22, on 20.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support
Infizierte Dateien:
C:\Users\Ted\AppData\Roaming\Microsoft\svchost.exe (Backdoor.Bot) -> No action taken.
und mit CCleaner nochmals alles gesäubert.
PC auch schon neugestartet. Btw im normalen Modus kackt das System nicht mehr ab. Zumindest nicht in der letzten Stunde.
Dann fixe die Einträge erneut, die ich oben schon genannt habe, da sie immer noch vorhanden sind.
Dann geb unter Start -->Ausführen "regedit" ein. Die Registry absichern über "Datei" exportieren. im Reiter folgend HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion den Ordner "Run" anklicken.
Solltest du diese Pfadangaben sehen, dann löschen
Alle Schritte befolgt, hab diese komische Datei aus HEKY_LOCAL_MACHINE gelöscht. Beim Aufrufen des Ordners erscheint die Datei nicht mehr. (C:\Users\Ted\AppData\Local\Temp\bN2Mr.exe).
Malwarebytes hat nichts gefunden und Hijackthis sagt folgendes:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:22, on 20.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support
Die bN2Mr.exe kenne ich nicht, finde auch keine Informationen darüber im Internet. Deswegen solltest die möglichst mit fixen, da sie im gleichen Ordner liegt wie die "explorer.exe". Normal ist der Explorer im Windows Ordner zu finden. Das ist eigentlich das Problem.
Guck nochmal, ob du unter C:\Users\Ted\AppData\Local\Temp\ die explorer.exe findest, wenn ja löschen.
Dann nochmal in der Registry unter dem genannten Pfad gucken ob du diesen Eintrag hast, %SYSTEM%\explorer.exe wenn ja auch löschen.
@Baemzs: Verpass ich was oder warum postest du jetzt zum 4. Mal den Hijack-Log von 19:05:22 Uhr?
__________________
Gruß Hezu
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ][ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] - unabhängig, anonym, werbefrei
Das Forum für Technikfragen, allgemeine Diskussionen und mehr
@Baemzs: Verpass ich was oder warum postest du jetzt zum 4. Mal den Hijack-Log von 19:05:22 Uhr?
Tatsächlich! Ist mir gar nicht aufgefallen, habe das kopiert was sich geöffnet hat. Durch n Umweg auf den aktuellen Log gestoßen:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:38:20, on 20.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanups*****
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
--
End of file - 4503 bytes
Die bN2Mr.exe ist weg! In der Registry und in Temp ist keine explorer.exe vorzufinden.
Da bis jetzt alles glatt gelaufen ist, die komischen Dateien weg sind, keine schädlichen Objekte mehr gefunden werden, und das System immernoch läuft, schließe ich auf Erfolg. Vielen Dank!
Bis heute liefs prima.
Heut hab ich mal den JDownloader wieder angeschmissen, was meinen PC wieder in den alten Zustand gebracht hat... Dh, kein Recht den PC herunterzufahren, keine Programme...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:30:58, on 24.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support
Du könntest auch deine Festplatte neu formatieren. Das geht schnell und alles wieder sauber
__________________
Ich lese mir die [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] durch, bevor ich eine Sig erstelle!
I read the [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] before I create a signature.
Hey,
ist das direkt nach dem Start des Downloaders gekommen?
Wenn ja, lad dei entsprechende .exe mal bei Virustotal hoch.
Logfile haste ja gleich mitgepostet. Lad diese Datei auch hoch und lass sie analysieren.
C:\Users\Ted\AppData\Local\Temp\explorer.exe
W32/Poebot-J Worm, den haste dir eingefangen, und laut des letzten Logs und deinen Angaben müsste er eigentlich weg gewesen sein.
Die oben genannte exe bewirkt, das dein System so bescheiden läuft, deshalb kannst du vorgehen, wie ich es in den anderen Post bereits beschrieben habe. Aber erst nochmal bei Virustotal prüfen lassen.
Du könntest auch deine Festplatte neu formatieren. Das geht schnell und alles wieder sauber
Ich denke, dass das einer meiner nächsten Schritte sein wird ^^
@ckjthedogmaster:
Die Datei lässt sich leider nicht finden, weder über die Suchfunktion, noch nach Durchgehen des Pfads. Ich hab die Datei mal mit Hijackthis gefixt,
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:44, on 24.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support