Neustart anstatt Standby + andere merkwürdige dinge...

Hallo,

gestern habe ich mir (wie auch immer...) einen trojaner eingefangen.
voller entsetzen habe ich sofort MCAfee laufen lassen und alle Viren wurden entfernt.
anschliessend bin ich noch sicherheitshalber auf "AD AWAR", "SPYBOT SEARCH AND DESTROY" und "AVG ANTI SPYWARE" umgestiegen - auch diese haben weitere infizierte dateien gefunden - aber alle erfolgreich gelöscht.... HOFFE ICH ZUMINDEST....

jedenfalls treten bei mir seitdem mehrer merkwürdige dinge auf:

1. ich will meinen PC in standby modus versetzen - Start - ausschalten - standby.
bisher hat das auch immer geklappt. jetzt allerdings geht er kurz in den standby modus, startet aber anschliessend wieder komplett neu. der bildschirm bleibt während der zeit dunkel, und erst wenn ich ihn aus und wieder anschalte sehe ich auf einmal den desktop....
was ist hier los ??

2. beim neustart des pcs bekomme ich auf einmal folgende fehlermeldung:
"Laufwerk nicht bereit - die verriegelung könnte geöffnet sein. stellen sie sicher dass der datenträger im laufwerk eingelegt ist und die verriegelung vorgenommen wurden ist "....
ich kann diese meldung durch "weiter" anklicken überspringen ... sie kommt dann noch 2mal, auch hier immer wieder auf "weiter"...

welches laufwerk ist gemeint?? was für eine verriegelung.. ?

3. ich benutzen den firefox browser. zwischendurch bekomme ich auf einmal lauter popups (also neue registerkarten) von http://de.drivecleaner.com (komischerweise auch IE fenster...)
und meldungen: " sie haben sich viren auf sexseiten eingefangen - dies könnte ihre karriere und familie kosten"... ?!?


für mich hängt das alles irgendwie noch mit dem trojaner zusammen.
doch dieser sollte gelöscht sein (habe alle programme bereits 4 mal ausgeführt...).

kann mir einer weiterhelfen ?

 

Hi!

Da hilft nur eines..
Persönliche Daten brennen, Festplatte komplett formatieren, Betriebssystem mit sämtlichen ServicePacks und weiteren Updates neu installieren und die persönlichen Daten erst nach ausgiebiger Prüfung (AVG, AdAware, Spybot und Onlinescan) wieder zurückspielen.
aber alles andere wäre sinnlos.

Gruß
Amundi

 

Zu 3. Du könntest mal HijackThis noch drüberlaufen lassen. Anleitung HIER
Zu 2. Da wird schon das Disk-LW (5 1/4 Zoll) gemeint sein. Hast Du das BIOS auf default gestellt? Dann mal schauen, dass Du das deaktivierst.
Zu 1. Kann mit Punkt 3 zusammenhängen.

Poste den Link zu der Auswertung hier und dann schauen wir weiter.

bonsay

 

mhmh... komisch... ich habe kein disketten laufwerk ?!
nur cd+dvd brenner, und smart card reader ?!

ich habs mal mit hijack gemacht - hier das logfile - weiss nur leider nicht, was das alles so aussagt ?!

http://www.hijackthis.de/logfiles/288bed9bd512e0b9713da8be67062096.html

 

oh jee, das hört sich gar nicht gut an
heisst das, dass der trojaner immer noch drauf ist (obwohl das virusprogramm den gelöscht hat???).
kann es sein, dass jemand jetzt z.b. meine passwörter rausbekommt, wenn ich mich irgendwo einlogge ?

 

habe hier gerade aus meinem virus programm einen auszug, mit den inifzierten daten:

C:\WINDOWS\system32\unsvchosts.exe Matcash
C:\WINDOWS\system32\svchosts.exe Matcash
C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe Downloader-EV

C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe Downloader-EV

C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Temp\rlnmwibm.exe Vundo

C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Temp\jcefnxne.exe Vundo

 

Hallo Biomechaniker,
hast Du Dir denn die Anleitung auch durchgelesen? Dort steht doch (und ich hatte das doch auch geschrieben) bitte nur den Link zu posten.
OK aber diese Einträge solltest Du unbedingt fixen:
- C:\WINDOWS\system32\v6.exe
- O4 - HKLM\..\Run: [syswin] C:\WINDOWS\system32\v6.exe

Bei diesen hier solltest Du überprüfen, ob Du dies kennst (ansonsten auch fixen)

-O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\rtlhbmts.dll",setvm
- O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvmud.dll,startup
- R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Und überprüfe, ob Du das auch so installiert hast:
- C:\PROGRA~1\POWERP~1\OFFICE11\OUTLOOK.EXE
(normal -> c:\Progr\Office11\Outlook. Achtung schreibweise kann aber auch anderst sein, nur nicht der Pfad, wenn Du das nicht extra geändert hattest).

Wenn Du das erledigt (gefixt) hast machst Du das ganze nochmal. Falls diese Einträge noch vorhanden sein sollten, dann nochmal im abgesichterten Modus.
Und dann hier noch mal den Link (aber nur den Link) zu der Auswertung des Logfiles.

bonsay

 

sorry, dass ich nicht den link gepostet hatte....

habe obige dateien gefixed - allerdings nicht die outlook.exe
ich war selbst erstaunt, warum die ganzen office dateien nicht im "normalen" ordner waren...

nun, hier nun der Link zu meinem aktuellen HIJACK:

http://www.hijackthis.de/logfiles/7beb1fb5a6a80a9136ee5ad6f72aaab6.html

sieht das jetzt besser aus?

 

Kontrolliere mal noch folgende Einträge:

- [?] O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\tpyxmfqn.dll - Nicht bekanntes Programm.
- [N] O2 - BHO: (no name) - {E76E9FA8-FCA9-47E7-89AA-E09188BB6C50} - (no file) - Nicht bekanntes Programm.Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
- [N] O2 - BHO: (no name) - {0ACA16FE-1AB6-4CE2-A33C-A5DAC5B8F782} - (no file) - Nicht bekanntes Programm.Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
- [?] O2 - BHO: (no name) - {12521D84-D734-4303-98CB-73AF4EDCE10d} - C:\WINDOWS\system32\twlyqkni.dll - Nicht bekanntes Programm.

Wenn Du weisst, woher diese Einträge kommen ist das ok, ansonsten -> weg damit.

Hat sich das Problem denn jetzt soweit erledigt? Ansonsten das ganze nochmal machen und posten.

bonsay

 

@Biomechaniker, NearToTopic:

Bedenke: Ein guter Bösewicht [welch Wortwahl...] kanns immer schaffen sich solchen Untersuchungen & Maßnahemn von innen heraus zu entziehen weil er die Scanprogramme korrumpiert (hat).
Erher wahrscheinlich ist es, dass Files verändert wurden die kein Bösewichtentfernprogramm restaurieren kann. Das könnten Konfiguratiosdateien sein, es kann in der Registry selbt was verstellt sein, eigentlich unkritische Sytemprogramme oder von SW eingebrachte DLLs etc wurden beschädigt oder gelöscht.
In allen Fällen (aber) ist das Schadprogramm selbst womöglich (sogar sehr wahrscheinlich) korrekt entsorgt worden - aber das erzeugte Trümmerfeld ist noch da.

Ich stimme zu: sichere Dokumente etc.; alles Unwiederbringliche "eigene". Probiere eine Reparturinstallation - zu verlieren hast du nichts. Hilft die auch nicht wirst du das Übel tatsächlich an der Wurzel rausreißen müssen.

Nachsatz:
Wenn nun deine Passworte schon in aller Welt sein könnten kannst du nichts weiter tun als diese zu ändern!

 

habe ich gelöscht.
jetzt erhalte ich zumindest beim hochfahren nicht mehr die fehlermeldung mit der laufwerkverrieglung, und bekomme keine popups vom IE.
sieht also schon viel besser aus.
erstmal dickes DANKE an der stelle...

das einzige problem was noch ist:
der standby modus.

bisher war es so, wenn ich auf standby gegangen bin, ist der pc "runtergefahren" und war aus.
beim drücken auf den powerknopf fuhr das system dann wieder (viel schneller) hoch.

jetzt ist es so, dass wenn ich auf standby gehe, er kurz ausgeht, dann wieder neustartet, der bildschirm nur schwarz wird.
wenn ich die maus bewege bin ich direkt wieder aufm desktop.

habe schon die energieoptionen in der system steuerung überprüft, hier ist aber alles richtig und wurde nichts verändert...
weiss einer weiter? bzw. kann das auch durch den virus gekommen sein ?

 

Wenn Du sagst, an dem System wurde sonst nichts geändert und die Einstellungen sind richtig kannst Du mal die Suche benutzten und Dich dann durch unzähligt Postings quälen. Oder schau HIER. Dass dies von einem Virus herkommt, ist fast auszuschliessen. Sind eigentlich alle Updates installiert?

bonsay

 

danke für die hilfe.
problem hat sich gerade erledigt.
virenscanner hat noch einen weiteren trojaner entdeckt. nach entfernem ebendiesen funktionierte der standby modus wieder!!!

ich fühl mich aber nach den ganzen viren immer noch nicht wirklich sicher.

kurze andere frage:
habe zwei partitionen:
c: - wo system dateien drauf sind
d: wo musik / spiele sind.

da ich gerade kein geld für eine externe platte habe, um die daten von D: draufzuspielen, habe ich mich hier mal bisschen durchgelesen....

stimmt es, dass ich einfach die winxp cd reinlegen muss, auf neu installation - "installieren auf C:" anklicken muss, dann bleiben meine D: daten behalten ?
ist das wirklich so einfach ?

 

Eigentlich ist das mit Ja zu beantworten, wenn das keine Recovery-CD ist. Ansonsten wirklich CD einlegen, im BIOS vorher umstellen dass von CD gestartet wird und den Bildschirmanweisungen folgen.

bonsay