Ergebnis 1 bis 3 von 3

Thema: Virus - System geschädigt

  1. #1
    Einsteiger
    Registriert seit
    21.06.2012
    Beiträge
    1

    Lächeln Virus - System geschädigt

    Ich hatte einen Virus. Abgesicherter Modus, Systemwiederherstellung (Meldung: "Widerherstellung unvollständig") und Bildwiedergabe meiner Videos auf Partition D:\ (Ton geht) funktionieren nicht mehr. Evtl. auch Drag and Drop nach Laufwerk G:\
    Virus erfolgreich entfernt mit MalwareBytes. 2 Funde auf:
    File C:\Dokumente und Einstellungen\Eckehard Gerboth\Lokale Einstellungen\Temp\save_0_in.exe
    Registry Value HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Value:Run
    Genaue Bezeichnung des Virus leider nicht notiert.
    Nach Entfernung funktionierte START-ausführen-msconfig und regedit wieder.
    Vielen Dank für Ihre Hilfe!!

    [CODE][/Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 17:02:28, on 21.06.2012
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe
    C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Java\jre7\bin\jqs.exe
    C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\Programme\CheckPoint\ZAForceField\ForceField.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\CheckPoint\ZoneAlarm\zatray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Dokumente und Einstellungen\Eckehard Gerboth\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LQ2U55QE\HiJackThis204[1].exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustC heckerIEPlugin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
    O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustC heckerIEPlugin.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [ZoneAlarm] "C:\Programme\CheckPoint\ZoneAlarm\zatray.exe"
    O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg .ini"
    O4 - HKLM\..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe /icon="hidden"
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService. exe
    O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Java\jre7\bin\jqs.exe
    O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe

    --
    End of file - 5289 bytes
    CODE]

  2. #2
    Ehrenmitglied Avatar von Petra
    Registriert seit
    03.05.2007
    Ort
    Nähe Düsseldorf
    Beiträge
    44.149

    AW: Virus - System geschädigt


    Hallo Eckehard,

    zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

    Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
    Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!



    ===== Punkt 1 =====

    Da hat es Dich wie viele andere übel erwischt, denn es gibt aktuell kein Tool, welches in der Lage ist, die verschlüsselte Dateien wieder zu entschlüsseln. Deiner Beschreibung nach sieht alles danach aus, als hättest Du Dich mit dieser neuesten Variante des Verschlüsselungstrojaners infiziert. Hier gibt es ausführlichere Infos zu dem Thema, siehe besonders Beiträge 2 und 3.

    Kurz zusammengefasst:

    Wenn der Verlust einiger verschlüsselter Dateien verschmerzbar ist, weil es Backups auf DVD oder externer Festplatte gibt, könnte ich mit einem OTLpe-Fix dafür sorgen, dass der Computer wieder bootet und den Computer weitgehend bereinigen. Danach könnte der Versuch gestartet werden, einige Dateien durch diverse Lösungsansätze unter Umständen wieder herzustellen, siehe Beitrag 3 in obigem Link.

    Allerdings: Aktuell ist kein Entschlüsselungstool für diese Variante verfügbar. Wir wissen zurzeit nicht, ob das Löschen einzelner schädlicher Dateien oder Prozesse dazu führt, dass am Ende Dateien nicht mehr entschlüsselt werden können, weil sich z. B. der Schlüssel in einer Malware-Datei befindet. Es wird außerdem vermutet, dass die Seriennummer der Festplatte eine Rolle spielt, daher nutzt das Kopieren der verschlüsselten Dateien nichts.

    Wir raten daher derzeit bei sehr wichtigen Daten dazu, die Festplatte komplett unberührt zu lassen und auszubauen, diese durch eine neue Festplatte zu ersetzen und Windows auf der neuen Festplatte neu zu installieren, um die alte Festplatte ggfs. später, so es ein Tool geben sollte, zu entschlüsseln.

    Von daher warte ich jetzt erstmal auf Deine Rückmeldung
    [°¿°] Ciao, Petra

    ab 01.07.2015 bin ich hier inaktiv =>
    Abschied von HijackThis

    Neu hier? Bitte abarbeiten! | Daten sichern!
    Kein Support per PN oder Mail! | Danke

  3. #3
    Ehrenmitglied Avatar von Petra
    Registriert seit
    03.05.2007
    Ort
    Nähe Düsseldorf
    Beiträge
    44.149

    AW: Virus - System geschädigt

    Thread geschlossen

    Thread wird mangels Rückmeldung geschlossen, damit ich ihn nicht weiter unter Beobachtung halten muss und aus meinen Abos löschen kann. Wenn Du wieder Zeit zum Weitermachen hast, schicke mir eine PN, ich werde den Thread dann wieder öffnen.
    [°¿°] Ciao, Petra

    ab 01.07.2015 bin ich hier inaktiv =>
    Abschied von HijackThis

    Neu hier? Bitte abarbeiten! | Daten sichern!
    Kein Support per PN oder Mail! | Danke

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. System Fix Virus
    Von .:Crack:. im Forum Archiv
    Antworten: 2
    Letzter Beitrag: 13.12.2011, 23:39
  2. System Prob oder Virus?
    Von Deagle105 im Forum Archiv
    Antworten: 0
    Letzter Beitrag: 22.07.2008, 22:23
  3. Virus in System Volume Information
    Von DaNi im Forum Archiv
    Antworten: 10
    Letzter Beitrag: 30.01.2007, 15:39
  4. System clean ? Virus / Trojaner !?
    Von riCkie im Forum Archiv
    Antworten: 1
    Letzter Beitrag: 22.06.2006, 19:37
  5. System Volume Information...virus
    Von Reenchen im Forum Archiv
    Antworten: 5
    Letzter Beitrag: 22.04.2006, 18:41

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •