Nach Virenschanner kann ich nicht mehr auf meine Festplatte

Hallo,
mein PC wurde komplett platt gemacht, da ich Trojaner auf dem PC hatte. Nun hab ich ihn heute aus der werkstatt zurück bekommen und sollte ein Scanning mit Antivir machen. Habe ich gemacht und prompt wurden viele Dateien gefunden. Da ich mich null auskenne habe ich dann diese Dateien in Quarantäne verschoben und danach alle gelöscht. Nun komme ich nicht mehr auf die Festplatte...bzw weiss ich gar nicht, ob das vorher ging...Alles andere( bis auf die W Lan Verbindung) Funktioniert weiterhin super...

Das ist die Reportdatei von Antivir...

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\PC001.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af1026.qua' verschoben!
C:\VAIO.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c81028.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP3\A0000052.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10b0.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP3\A0000058.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10b3.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP3\A0000059.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10b7.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP4\A0000062.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10ba.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP4\A0000073.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10bd.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP4\A0000074.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10c2.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP4\A0000085.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49af10ce.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP4\A0000086.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10d0.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP5\A0000090.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10d2.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP5\A0000091.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10d4.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP5\A0000097.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10d7.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP7\A0000347.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10e2.qua' verschoben!
C:\System Volume Information\_restore{6EFC72C1-440F-4FD9-81BE-F78EC3590A45}\RP7\A0000348.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af10e9.qua' verschoben!


So, danach habe ich alles gelöscht und seit dem kann ich nicht mehr auf meine Festplatte zugreifen...

Achja...Ich bin LAIE!!

 

In welchem Zustand war die Platte als du den PC zur Reparatur gegeben hast?
War da ein Betriebssystem installiert und wenn ja welches und war das aktuell mit neustem Service Pack und Updates von Microsoft? Oder wurde ein Betriebssystem bei der Reparatur installiert?
Die angeblichen "HTML-Scriptvirus HTML/Silly.Gen" befinden sich allesamt in der Systemwiederherstellung. Ich schreibe angeblich, weil es auch Fehlalarme sein können.
Schädlinge kriegt man am bequemsten aus der Systemwiederherstellung, indem sie vorübergehend deaktiviert wird. Das ist am schmerzlosesten.

Wieso hast du sie nicht in Quarantäne gelassen, bis geklärt ist, ob es wirklich Viren sind?
Dann kann man die Quarantäne auch gleich weglassen und sofort vernichten ohne Wiederkehr.

 

Hm, gute Frage...Ich dachte weg ist weg...

Da wurde nun neu Windows XP mit SP 2 installiert, welches ein Kollege aber in SP 3 geändert hat.

Was muss man denn nun tun? Oder, kann man überhaupt was tun?

 

Habe gerade noch was festgestellt...im Fenstertext des Explorers erscheint die Anzeige hacked by pc001. Wenn ich auf die Festplatte gehen will erscheint: Die Skriptdatei C:\PC001.vbs wurde nicht gefunden.

Firefox geht ganz normal...

 

verstehe ich es richtig: du hast deinen PC säubern lassen, dafür bezahlt und es ist noch Müll drauf?

 

Moin,

hast du einen USB-Stick angeschlossen?
Diese hackes by.... ist ein kleines vbs programm was sich in die Registrierung des Computers kopiert und den Text des Internet Explorers automatisch ändert!

Du kommst schon noch auf dein Laufwerk, aber nicht per Doppelklick, sondern ...rechte Maustaste--> öffnen....bei dir steht imom der Autoplay an erster Stelle!
Das wurde auch von diesem VBS-Programm so eingestellt!
Immer wenn du jetz versuchst auf den Arbeitsplatz zu klicken wird diese Programm ausgeführt und kopiert sich im System.

Wenn du den Rechner frisch vom Händler bekommen hast ohne was angesteckt zu haben etc. solltest du dich nochmal mit dem Händler in Verbindung setzen....
Womöglich kommt dieser Schadcode aber auch von deinem Bekannten!

MfG

 

Zieh den Stecker, geh zum Händler und haue ihm die Rechnung um die Ohren......., weitere Verseuchung ist sicher!

kingjon

 

Ja, ich habe für den Kram 40 Euro bezahlt. Der PC war ganze 10 Tage in der Werkstatt...Ob da Mist drauf ist, weiss ich nicht. Ein Kollege sagte, das sind keine Viren sondern normale Dateien, die von Avira als verdächtige Programme angesehen werden. Nun da ich sie gelöscht habe, treten die Fehler auf...So sagte er...Was das mit dem HACKED BY PC001 auf sich hat, wusste er auch nicht.

 

hm, nee, ich habe keinen USB Stick reingesteckt. Das hatten die aber da gemacht. Mein pc heisst nun auch pc001, hab ich irgendwo gelesen. Ist das denn nun noch schädlich?Was ist ein VBS Programm?

 

und was sagt die "Werkstatt"

brings ihnen zurück oder verlang das Geld...

http://de.wikipedia.org/wiki/Visual_Basic_Script

 

Och man, ich hab auf das sch*** Notebook echt keine Lust mehr. Jahrelang ging es gut und nun all sowas. Ich bin in der 40 woche schwanger und kann nicht ständig irgendwo hinfahren...

meine Schwester kennt sich gut aus mit sowas. Die wohnt aber weiter weg und kommt erst in ca einer Woche(zur Geburt eben). Kann ich solange damit warten?

Verstehe ich das denn nun richtig, das dieses VBS NICHT schädlich ist?? Wenn ich nun mit dem Explorer gar nicht ins www gehe, dann kann doch auch nichts passieren?

 

Wenn du die "Reparatur" reklamieren willst, dann hast du sicher dafür keine Woche mehr Zeit! Meistens ist in den Reparaturbedingungen eine - relativ - kurze Reklamationsfrist festgelegt. Wenn dir noch was an dem Notebook liegt, dann solltest du das noch vorher erledigen.

Ansonsten, alles Gute bei der Geburt!

 

ich habe ja nicht mal was schriftliches darüberHier im Ort kennt man sich...Und die können mir ja sonst was erzählen, ich habe ja keine Ahnung davon...Was soll ich denen denn sagen, wo ich doch eh nicht weiss, was los ist?

 

zur bevorstehenden Geburt alles gute..

versuche einen System-Wiederherstellungspunkt zu finden...

anschl.
http://virus-protect.org/artikel/spyware/vbs-remove.html
bericht posten

lasse bitte dein System mit >Malwarebytes Anti-Malware< Scannen- lasse vorerst nichts beheben, und poste hier das log

 

Das System lässt sich nicht wiederherstellen auf gestern oder vorgestern, das haben wir gestern bereits versucht...Somit hab ich davon auch nichts gemacht...http://virus-protect.org/artikel/spyware/vbs-remove.html
( versteh ich eh nicht wirklich was von...)Soll ich da trotzdem was von machen, wenn ja, was? USB Stick etc habe ich nicht dran...


So, das Scan habe ich gemacht: Folgendes stand da nun:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1702
Windows 5.1.2600 Service Pack 3

28.01.2009 15:41:14
mbam-log-2009-01-28 (15-41-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 71499
Laufzeit: 24 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

 

führe bitte antivbs aus und poste das ergebnis...

 

lässt sich das nicht kopieren? Ich tippe ab:

Schädliche Prozesse werden beendet...

Does not exist: C:\PC001.vbs
Does not exist: C:\autorun.inf
Does not exist: C:\windows\system32\PC001.vbs
Explorer title deleted<wird aber in den meisten Fällen noch angezeigt>
Run entry does not exists

Soll jetzt nach dem Auslöser gesucht werden? j\n

 

ja

wenn du fertig bist, probiere aus, ob du Zugriff auf die Platte kriegst...

 

Suche jetzt im Laufwerk c
Nix gefunden
Fertig

FREU...auf die Platte komm ich nu problemlos...Der hacked by sch**** steht da trotzdem noch im Explorer...

 

1. lade dir:
http://www.softpedia.com/get/Security/Secure-cleaning/Autorun-Eater.shtml
schliesse sämtliche externen Medien an (USB-Stick, MP3Player, ext.Festplatte)
ausführen


anschl. bitte:
2.lasse dein system bitte mittels rsit scannen und poste das Log

dachte ich mir schon^^