Systemwiederherstellung nicht möglich... Wie verfahren?

Home » Viren, Trojaner & Malware Forum » Systemwiederherstellung nicht möglich... Wie verfahren? » Themenansicht

Seite(n): 1 2 3 4 5

Antworten

Systemwiederherstellung nicht möglich... Wie verfahren?

31.12.2010, 14:55 neznae6t Member Themenstarter Beiträge: 41	#16 Ich wieder... ich konnte jetzt interessanterweise den 1. Schritt ganz normal online ausführen... Das Ergebnis ist auch anders als das erste... File name: RestorPoint.exe Submission date: 2010-12-31 13:54:17 (UTC) Current status: queued queued analysing finished Result: 2/ 40 (5.0%) Antivirus Version Last update Result AhnLab-V3 2010.12.31.00 2010.12.30 - AntiVir 7.11.0.247 2010.12.31 - Antiy-AVL 2.0.3.7 2010.12.31 - Avast 4.8.1351.0 2010.12.31 - Avast5 5.0.677.0 2010.12.31 - AVG 9.0.0.851 2010.12.31 - CAT-QuickHeal 11.00 2010.12.31 - ClamAV 0.96.4.0 2010.12.31 - Command 5.2.11.5 2010.12.31 - Comodo 7251 2010.12.31 - DrWeb 5.0.2.03300 2010.12.31 - Emsisoft 5.1.0.1 2010.12.31 - eSafe 7.0.17.0 2010.12.30 - eTrust-Vet 36.1.8073 2010.12.31 - F-Prot 4.6.2.117 2010.12.31 - F-Secure 9.0.16160.0 2010.12.31 - Fortinet 4.2.254.0 2010.12.31 - Ikarus T3.1.1.90.0 2010.12.31 - Jiangmin 13.0.900 2010.12.31 - K7AntiVirus 9.75.3397 2010.12.30 - Kaspersky 7.0.0.125 2010.12.31 - McAfee 5.400.0.1158 2010.12.31 - McAfee-GW-Edition 2010.1C 2010.12.31 - Microsoft 1.6402 2010.12.31 - NOD32 5749 2010.12.31 a variant of Win32/Kryptik.JID Norman 6.06.12 2010.12.31 - Panda 10.0.2.7 2010.12.31 - PCTools 7.0.3.5 2010.12.31 - Prevx 3.0 2010.12.31 - Rising 22.80.04.04 2010.12.31 - Sophos 4.60.0 2010.12.31 Mal/Zbot-AV SUPERAntiSpyware 4.40.0.1006 2010.12.31 - Symantec 20101.3.0.103 2010.12.31 - TheHacker 6.7.0.1.109 2010.12.30 - TrendMicro 9.120.0.1004 2010.12.31 - TrendMicro-HouseCall 9.120.0.1004 2010.12.31 - VBA32 3.12.14.2 2010.12.30 - VIPRE 7895 2010.12.31 - ViRobot 2010.12.31.4232 2010.12.31 - VirusBuster 13.6.121.0 2010.12.30 - MD5: 16f5f4add158bad394b9ff3bf36ffe2d SHA1: 065528450e074fcfea117f0df5acab6fecd25ae5 SHA256: f061262d10f894ab5c6dc925b6fd35a1dcd9d1e6dc6e2480cf09f481f647822b File size: 190464 bytes Scan date: 2010-12-31 13:54:17 (UTC)

31.12.2010, 15:08 Swisstreasure Moderator Beiträge: 5694	#17 Schritt 1 Sagt Dir die Datei Restorepoint.exe etwas? Schritt 2 Datei an AntiVir zur Prüfung hochladen Lade die unten stehende Datei hier hoch. Wichtig: Im Formular hinter "Typ" "Verdächtige Datei" auswählen. Normalerweise solltest Du nach ein bis zwei Tagen eine Mail als Antwort erhalten. Kopie bitte hier in den Thread. Anleitung => http://www.netzwelt.de/news/73904-tutorial-fuers-neue-antivir-die.html Zitat C:\RestorPoint\RestorPoint.exe Schritt 3 Fixen mit OTL • Starte bitte die OTL.exe. Vista und Win7 User mit Rechtsklick "als Administrator starten" • Kopiere nun den Inhalt in die Textbox. Code :OTL O4 - HKCU..\Run: [RestorPoint.exe] C:\RestorPoint\RestorPoint.exe () O4 - HKCU..\Run: [Deluxe Tree] D:\Programme\Christmas.exe File not found O4 - HKCU..\Run: [Javakb] C:\Dokumente und Einstellungen\Mariya\Anwendungsdaten\Treefax\tabhelp.exe () [2010.12.26 15:34:04 \| 000,000,000 \| ---D \| C] -- C:\Dokumente und Einstellungen\Mariya\Anwendungsdaten\Treefax :Commands [purity] [emptytemp] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt) Kopiere nun den Inhalt hier in Deinen Thread

31.12.2010, 15:15 neznae6t Member Themenstarter Beiträge: 41	#18 Das war aber schnell :o) Schritt 1: Nicht wirklich. Schritt 2: hab ich bereits gemacht. Jetzt muss ich wohl warten. Schritt 3: wird gleich ausgeführt... :o) Danke!

31.12.2010, 15:23 neznae6t Member Themenstarter Beiträge: 41	#19 Das Ergebnis vom Schritt 3: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\RestorPoint.exe deleted successfully. C:\RestorPoint\RestorPoint.exe moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Deluxe Tree deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Javakb deleted successfully. C:\Dokumente und Einstellungen\Mariya\Anwendungsdaten\Treefax\tabhelp.exe moved successfully. C:\Dokumente und Einstellungen\Mariya\Anwendungsdaten\Treefax folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Administrator.M-D47B3CCC46E34 ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 590 bytes ->Flash cache emptied: 539 bytes User: Mariya ->Temp folder emptied: 2058682837 bytes ->Temporary Internet Files folder emptied: 8722526 bytes ->Java cache emptied: 551 bytes ->FireFox cache emptied: 77007179 bytes ->Flash cache emptied: 1127 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 28626259 bytes ->Java cache emptied: 583 bytes ->Flash cache emptied: 3712 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2167231 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 4304677 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 2.079,00 mb OTL by OldTimer - Version 3.2.18.2 log created on 12312010_151555

31.12.2010, 15:24 Swisstreasure Moderator Beiträge: 5694	#20 Dann warte einmal ab was Avira meint. Nimmt mich wunder. Wie läufts jetzt?

31.12.2010, 15:31 neznae6t Member Themenstarter Beiträge: 41	#21 Also eine Systemwiederherstellung ist weiterhin nicht möglich... RestorPoint.exe ist weg... keine Ahnung wohin... Ich werde jetzt mal versuchen Ad-Aware laufen zu lassen... Mal schauen, ob er dann wieder abstürzt... Ich halte Dich am Laufenden... ;o) Danke!

31.12.2010, 15:34 Swisstreasure Moderator Beiträge: 5694	#22 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop. • BleepingComputer • ForoSpywareNB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören. • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen. • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen. • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

03.01.2011, 16:05 neznae6t Member Themenstarter Beiträge: 41	#23 Hier die Antwort von Avira... Dear Sir or Madam, Thank you for your email to Avira's virus lab. Tracking number: INC00664325. A listing of files alongside their results can be found below: File ID Filename Size (Byte) Result 26006321 RestorPoint.exe 186 KB MALWARE Please find a detailed report concerning each individual sample below: Filename Result RestorPoint.exe MALWARE The file 'RestorPoint.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Spy.ZBot.31.7. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.11.00.251. Alternatively you can see the analysis result here: http://analysis.avira.com/samples/details.php?uniqueid=U9AqbETWWQWcOjK0Gh9O2bqygvJ9j2Z6&incidentid=664325 An overview of all your submissions can be found here: http://analysis.avira.com/samples/details.php?uniqueid=U9AqbETWWQWcOjK0Gh9O2bqygvJ9j2Z6 Please note: If you have specific questions please address them to support@avira.com Kind regards Avira Virus Lab

03.01.2011, 17:28 neznae6t Member Themenstarter Beiträge: 41	#24 Ad-Aware läuft weiterhin nicht bis zum Ende... Ich habe das mit ComboFix jetzt versucht... Ein Neustart war notwendig... Es gibt aber keine txt-Datei... :o( Ich kann jetzt aber eine Systemwiederherstellung machen... Jupiii :o) Soll ich? Danke Dir im Voraus!

04.01.2011, 17:14 Swisstreasure Moderator Beiträge: 5694	#25 Nein mache die nicht! Keine txt Datei auf dem Desktop oder unter: C:\ComboFix.txt

04.01.2011, 21:52 neznae6t Member Themenstarter Beiträge: 41	#26 Nein, leider nicht... :o( C:\ComboFix gibt es viele Ordner... Inkl. wieder C...

04.01.2011, 22:02 Swisstreasure Moderator Beiträge: 5694	#27 Gehe mal in den Ordner Qoobox unter C: dort schau einmal nach ob es die Datei ComboFix-quarantined-files.txt gibt. Poste diese.

05.01.2011, 16:38 neznae6t Member Themenstarter Beiträge: 41	#28 Die Datei gibt es leider auch nicht... :o( In Qoobox gibt es mehrere Ordner: -BackEnv (da snd viele .dat-Dateien) -LastRun (nix drin) -Quarantine (Ordner C, Ordner Registry_backups, und catchme.log) -Test (nix drin) -TestC (auch nix drin)

05.01.2011, 17:10 Swisstreasure Moderator Beiträge: 5694	#29 Schau mal im Quarantine Ordner ob Du irgendwo eine txt. Datei siehst welche die gefundenen Dateien auflistet.

05.01.2011, 18:27 neznae6t Member Themenstarter Beiträge: 41	#30 Leider finde ich da auch keine .txt-Datei, in der etwas beshrieben ist... Soll ich Combo/Fix nochmal laufen lassen...???

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3 4 5