Hijacker / Trojaner - Desktop schwarz! Hilfe bitte!!!!

Hallo Leute!

Habe heute Nachmittag meinen PC ausgeschaltet, und als ich ihn vorhin wieder einschalten wollte, war der Desktop komplett schwarz. Die Maus konnte ich bewegen, und mit Alt-Strg-Entf konnte ich den Taskmanager starten, aber ansonsten war alles schwarz. Hab dann beim Taskmanager 2x den Prozess "winlogon.exe" gefunden, einmal mit der Beschreibung "Ester". Hab dann den Rechner im DOS-Modus neugestartet und die Datei manuell gelöscht (die lag unter C:/users/name) - der Bildschirm war danach zwar immer noch schwarz, aber wenigstens hat sich der Ordner "Meine Dokumente" automatisch beim Start geöffnet, wodurch ich jetzt über Umwege auch hier ins Internet kann. Hab schon Malwarebytes Anti-Malware durchlaufen lassen - der hat irgendeinen Trojaner gefunden und unter Quarantäne gestellt, aber auch nach dem Neustart war der Desktop schwarz - der Ordner hat sich aber glücklicherweise auch wieder geöffnet.

Weiß jemand, was ich da tun kann? Ich hab ehrlich gesagt keine Ahnung, wie das passieren konnte. Ich habe nichts heruntergeladen und war auf keinen dubiosen Seiten unterwegs (dachte ich zumindest bis gerade) - und jetzt weiß ich nicht, wie ich diese Malware wieder loswerde :-/ Bräuchte also ganz ganz dringend Hilfe! Achja, und ich nutze Windows 7 Premium 64 Bit.

Danke schonmal im Voraus.

 

Win 7 hat doch einen DOS Modus?

 

Ne, ich hab mich in der Hektik ungenau ausgedrückt :-D Ich hatte erst den abgesicherten Modus gestartet, aber auch da war alles schwarz, also hab ich den abgesicherten Modus mit Eingabeaufforderung gestartet, und in der Eingabeaufforderung hab ich dann alles eingegeben.

 

Du bist bei der ganzen Hektik auch bei der Überschirft zum Thema abgerutscht. Änder mal, hm?

 

Dachte ich auch nach dem Posten und wollte sie ändern - hab's aber nicht hinbekommen, konnte nur den Eintrag selber bearbeiten. Ahhh hier ist Land unter gerade!

edit - danke, hab's hinbekommen :-)

 

Unter Ändern/erweitert geht das.

 

Du hast noch eine knappe Stunde zum ändern!
Gehe auf ändern>>erweitert>>dann gehts auch mit der Überschrift, danke.

Gruß kingjon

 

Hab's hinbekommen, vielen Dank für den Hinweis.

 

Hallo Mauspat

Wie hieß der Trojaner, den Malwarebytes gelöscht hat? Mein Rat wäre, die Systempartition zu formatieren und Windows 7 neu zu installieren.

Gruß
Nevok

 

Du meinst vermutlich den Abgesicherten Modus. Dieser Name ist leider irreführend und bezieht sich lediglich auf die geladenen unerlässlichen Standardtreiber für einen Minimalbetrieb.

Damit hast du lediglich ein auffälliges Symptom behandelt, weiter nichts.

Na sowas aber auch. Das wird wohl eine der vielen vielen vielen BKA- oder Gema- oder sonst. Scareware-Trojaner gewesen sein.

Das System ist - zumal o.g. Malware weitere Malware aus dem Netz nachlädt - komplett neu aufzusetzen, vorzugsweise mit Überschreiben des Master Boot Records, da dort gerne Rootkits überleben.

Ich schon. Deine internetrelevanten Programme und insb. deine Browser-Plugins wie Java, Adobe Reader und Flash sind nicht aktuell und bieten somit Exploits auf präparierten Seiten eine Angriffsfläche (Drive-by-Infektion).

Unnötig. Diese Exploits findet man auf Millionen unverdächtiger, harmloser Seiten, deren Betreiber keine Ahnung haben, dass ihre Seite gehackt wurde.

 

Vielen Dank für die Hinweise. Eine Neuinstallation plane ich sowieso, da geht ja echt nicht mehr viel im Moment - aber was bedeutet "mit Überschreiben des Master Boot Records"? Erledigt sich das von selbst, wenn ich eine neue Festplatte einbaue (nicht nur wegen des Virus, ich hatte eh ne Neuanschaffung für die nächsten Wochen geplant und der Zeitpunkt bietet sich gerade so an), oder muss ich da irgendwas im BIOS ändern?

Und gibt es denn eine Möglichkeit, zumindest den Desktop wieder herzurichten, damit ich wenigstens noch "anständig" meine Daten sichern kann, anstatt mich da über 20 Umwege durch die Ordner zu klicken?

 

Mit neuer Festplatte hat sich das erledigt,
ansonsten mit einer Neupartition.
Mit einer Livedisk hast Du Zugriff auf Deine Daten.
Diese können jedoch unter Umständen befallen sein.


www.gmer.net kann nicht schaden
Eine Systemwiederherstellung kannst Du auch überlegen.

das Beste wär natürlich ein backup!

 

Da mit besteht aber die Gefahr das Schädlinge wieder aktiviert werden!

Gruß kingjon

 

Sorry, hab mich bisher nie eindringlich damit befasst (da ich glücklicherweise nicht solche Probleme hatte):

1. Was ist denn genau eine Livedisc? Und wie stell ich sowas gff. an?
2. Wie klappt denn die Systemwiederherstellung? Über die Startleiste etc. kann ich ja nicht gehen, die ist futsch (auch im abgesicherten Modus).

Die Gefahr auf erneute Schädlinge ist dabei fast egal - letztendlich will ich ja eh alles neu aufspielen, es geht mir wie gesagt nur darum, dass ich für einen Tag nochmal auf den Desktop und alles zugreifen kann, um meine Daten alle zu sichern.

 

Mit Livedisc dürfte ein direkt von CD startendes Betriebssystem gemeint sein. Fast jedes Linux kann das. Liegt öfter mal einer Zeitschrift bei, kann man auch runterladen als ISO und daraus eine CD/DVD brennen, z.b. Knoppix, Ubuntu oder Suse. Damit kannst Du dann Deine Daten suchen und auf einen USB-Datenträger kopieren. Aber wirklich nur die Daten.
Das dürfte sicherer sein als über eine Systemwiederherstellung.

Wenn Du keine echte Installations-CD hast für Windows, dann kopiere Dir von einem Bekannten eine, der zufällig die gleiche Version hat (also Home, Pro, etc.) Die sollte dann hoffentlich auch mit Deinem Schlüssel funktionieren.

 

Linux-Live-CD (es gibt zwar aktuellere Releases, aber die hier ist recht kompatibel und von der Oberfläche leicht verständlich für Anfänger)

 

Würde ich nicht machen. Bei der Schattenkopie ist mit sehr großer Warscheinlichkeit der Trojaner mit gesichert worden.

 

Ich habe keine Schattenkopie, ich habe die original Windows 7 Ultimate 64 Bit Version hier zu Hause ;-) Das wäre also nicht das Problem. Naja, aber im Notfall kann ich mich ja auch mit ein paar Umwegen durch die Ordner klicken. Mir stellt sich jetzt nur noch eine Frage:

Wenn ich von der jetzigen Festplatte meine C:\ Partition formatiere, kann es ja sein, dass im Master Boot Record noch Rootkit-Daten hängengeblieben sind, richtig? Wenn ich nun aber die neue Festplatte einbaue und da Windows draufspiele, und die alte (verseuchte) Festplatte als Zweit-Festplatte anschließe, ist dieses Master Boot Record dann trotzdem noch gefährlich, oder kann da nix mehr passieren, weil von der Platte ja dann nicht mehr gebootet wird? In dem Fall würd ich meine Daten vermutlich einfach auf eine Partition schieben, dann nach dem Formatieren auf die neue Platte ziehen, und die alte Festplatte dann komplett formatieren und neu partitionieren. Ginge das?

 

Auf die Schattenkopie greift Windows bei der Systemwiederherstellung zurück. In der Regel sind mehrere zu unterschiedlichen Zeitpunkten vorhanden. Weiteres googeln.

Mit gmer kannst Du mal den Bootsektor prüfen. Siehe oben meinen Beitrag.

Denke sobald von der verseuchten Platte gelesen wird können Viren etc. aktiv werden und das Betriebssystem angreifen, deshalb Livecd.

 

Ich habe nochmal eine Frage; die passt zwar nicht mehr 100%ig hier herein, aber bevor ich einen neuen Thread eröffne frag ich's mal hier.

Ich habe jetzt meine neue Festplatte eingebaut (ebenfalls S-ATA) und alles installiert. Alles gut soweit. Jetzt würde ich gerne meine alte, 2. Festplatte ebenfalls anschließen (formatiert ist sie schon). Wenn ich sie jetzt aber anschließe, bootet der PC automatisch von der alten Festplatte (da sind ein paar Boot-Daten von XP drauf, die bei der Formatierung aufgespielt wurden, aber noch kein richtiges Betriebssystem), und im BIOS steht nur die alte Samsung Festplatte (die neue ist von Seagate).

Wenn ich die Samsung-Festplatte wieder rausziehe, erscheint die Seagate Festplatte. Wie kann ich es denn hinbekommen, dass ich beide Festplatten per S-ATA anschließe, die Seagate Festplatte aber bevorzugt und als Boot-Festplatte benutzt wird? :-/ Ich habe mal gelesen, dass man die Jumper bei S-ATA nicht mehr benötigt. Aber was tu ich dann?