Hallo zusammen,

mein Windows 7 lässt sich nicht mehr anmelden. Ich möchte meine Daten retten und hoffe, dass mir jemand helfen kann, Windows zumindest kurzfristig wiederzubeleben.


Folgendes ist geschehen:
Gestern meldete meine Antivirensoftware von Avira Antivir Premium Security Suite 2012 eine Malware beim der Einblendung einer Werbung, bei der gleichzeitig zwei Fenster geöffnet wurden:

can not find dwlgina3.dll

und angeblich ein Programm: rx5iur6idx

Ich klickte auf entfernen, schloss die hartnäckigen Fenster und dachte mir nichts weiter.

Als ich heute meinen Windows 7-PC hochfuhr und mich mit dem Kennwort anmeldete wurde statt des Desktops ein schwarzer Bildschirm mit dem Fenster "can not find dwlgina3.dll" angezeigt. Beim Wegklicken blieb er schwarz.
Beim manuellen Ausschalten kam die Meldung, dass das "Programm" rx5iur6idx Windows vom Herunterfahren hindert. Ich ließ das Herunterfahren erzingen.

Ich versuchte Windows im abgesicherten Modus zu starten, leider auch ohne Erfolg. Es wird ein weißer Bildschirm angezeigt mit der Meldung, dass keine Internetverbindung besteht.


Der Forumsnutzer justusklkkjb hat vor einigen Tagen das gleichen Problem geschildert. Ein Bekannter von ihm hat ihm geholfen. Leider fehlt eine Lösungsbeschreibung:
http://www.trojaner-board.de/107791-...gina3-dll.html

Kann mir jemand helfen? Ich bin euch wirklich dankbar für jede Hilfe, denn ich brauche meine Daten sehr sehr dringend!

Hi,

System mit OTL-PE scannen

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hierInstallation: Wie boote ich Windows von der CD?.
Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.





Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.

chris

Hey Chris!

Danke für deine schnelle Antwort.

Leider lässt sich Windows 7 nicht mehr richtig hochfahren, sodass ich das das gar nicht installieren/speichern/durchführen kann. Der Desktop wird nicht angezeigt, es gibt kein Starmenü etc.

Ich hoffe, dass mir trotzdem geholfen werden kann.

LG, mar246

Oder kann ich das auch auf einem anderen PC machen und dann as defekte System von dieser bootfähigen CD starten?

(sorry für die doofe Frage, ich kenne mich nicht so gut aus...)

Hallo,

ich habe wie beschieben, versucht von der CD zu booten.

Zunächst kam ein Schwarzer Bildschirm mit weißer Schrift:

Starting Reatogo-X-PE

bis der weiße Balken voll war und nach einer Weile wurde der Bildschim schwarz und WindowsXP begann zu starten. Plötzlich wurde das unterbrochen und im Bios kam die Meldung:

A problem has been detected and windows has been shut down to prevent damage to your computer. etc.

auch beim zweiten Mal kam das Gleiche... was kann ich jetzt tun?

Hi,

die HW ist aber Okay (alle Lüfter funktionieren (CPU, Netzeil, ...), GraKa)?

zwei Varianten...

a.) Kommst Du in den abgesicherten Modus mit Eingabeaufforderungen?
wenn ja:
OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...
Wichtig:Du musst mit dem verseuchten Konto booten!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

b.) Wir basteln uns eine Boot-CD und versuchen von der aus zu scannen:
Dr. Web-Live-CD
Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: Dr.Web CureIt! —

chris

vielen Dank für deine Hilfe!

Die Hardware ist ok. Alles funktioniert.

Ich habe es über die Eingabeafforderung im abgesicheten Mods gemacht.
Die beiden TXT Dateien sind leer? Habe ich etwas falsch gemacht?

Hi,

hast Du OTL auf den Rechner kopiert und dann gestartet, oder vom USB-Stick aus ausgeführt? Das wäre sehr seltsam...
Sind nach dem OTL-Lauf Fenster mit den Logs aufgegangen?
Wo hast Du ihn auf der lokalen Platte hinkopiert, die Logs sollte im OTL-Verzeichnis abgelegt sein...

chris

Ich habe den copy Befehl in der Eingabaufforderung durchgeführt und als es hieß, dass eine Datei kopiert wurde, habe ich es ausgeführt nd den Scan gemacht. Danach sind zwei TXT - mit den Namen wie du beschrieben hast - aufgegangen. Die waren beide leer.

Wie komme ich in das Verzeichnis?


Im Moment läuft die zweite von dir beschriebene Methode auf dem Rechner. Aber nicht wie auf den Bildern unter dem Link, sondern mit einem schwarzen Bildschirm mit weißem Text. Es läuft und läuft schon seit über einer Stunde. Ist das normal?

Dr. Web lief etwa 3 Stunden und blieb irgendwann stehen. Als ich die Pfeil Tasten drückte (oben) kamen irgendwelche Buchtabenkombinationen (zum Löschen dieser Backspace, wonach noch mehr Buchstabenkombinationen entstanden) bei Enter begann der Scan wieder und ging weiter...
Irgendwie hatte ich das Gefühl, dass da was nicht stimmte und habe es dann ausgemacht. Es war kein Betriebssystem, sondern ein schwarzer Hintergrund mit weißer Schrift. War das doch richtig?

Hi,

das sieht so aus, als ob sich die SW mit Deiner HW nicht verträgt...
Dr. Web läuft normalerweise sehr lange, einige Stunden....

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

chris

Hey Chris!

Das hat funktioniert und ich konnte Windows wieder hochfahren, um die Daten und Einstellungen zu sichern.

Vielen vielen Dank!

Kann ich Windows jetzt einfach fomatieren, um die Malware loszuwerden? Das wollte ich schon seit ein paar Wochen sowieso machen...





Die Shell-Datei enthält folgendes:


WIN_7 X64 Service Pack 1
Running from I:\

Modified HKLM shell extension. Current Shell File = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe
.
.
File C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe moved to I:\\infected or not found
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
services.exe
lsass.exe
lsm.exe
winlogon.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
conhost.exe
ctfmon.exe
srep.exe


HKLM\..\Run [] =
HKLM\..\Run [PlusService] = C:\Program Files (x86)\Yuna Software\Messenger Plus!\PlusService.exe
HKLM\..\Run [CanonSolutionMenuEx] = C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE /logon
HKLM\..\Run [GrooveMonitor] = "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
HKLM\..\Run [HPUsageTracking] = C:\Program Files (x86)\HP\HP UT\bin\hppusg.exe "C:\Program Files (x86)\HP\HP UT\"
HKLM\..\Run [avgnt] = "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [APSDaemon] = "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
HKLM\..\Run [iTunesHelper] = "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
HKLM\..\Run [Yd92ZRE9ASh2qtG] = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe

HKCU\..\Run [SalaatTime] = C:\Program Files (x86)\Salaat Time\SalaatTime.exe
HKCU\..\Run [msnmsgr] = "C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background
HKCU\..\Run [FreeAC] = C:\Program Files (x86)\FreeAlarmClock\FreeAlarmClock.exe -autorun
HKCU\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKCU\..\Run [1&1_1&1 Upload-Manager] = "C:\Program Files (x86)\1&1\1&1 Upload-Manager\DAVSRV.EXE" /hide
HKCU\..\Run [StrmServer.exe] = C:\Program Files (x86)\Common Files\PCTV Systems\StreamingServer\StrmServer.exe
HKCU\..\Run [Yd92ZRE9ASh2qtG] = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Winlogon; Shell = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe
HKU\S-1-5-21-3335673284-2702078080-3435976155-1001_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [SalaatTime] = C:\Program Files (x86)\Salaat Time\SalaatTime.exe
HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [msnmsgr] = "C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background
HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [FreeAC] = C:\Program Files (x86)\FreeAlarmClock\FreeAlarmClock.exe -autorun
HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [1&1_1&1 Upload-Manager] = "C:\Program Files (x86)\1&1\1&1 Upload-Manager\DAVSRV.EXE" /hide
HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [StrmServer.exe] = C:\Program Files (x86)\Common Files\PCTV Systems\StreamingServer\StrmServer.exe
HKU\S-1-5-21-3335673284-2702078080-3435976155-1001\..\Run [Yd92ZRE9ASh2qtG] = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe


x64
HKLMx64\..\Winlogon; Shell = explorer.exe [ 2871808- ]
No action taken
HKCUx6464\..\Winlogon; Shell =
No action taken
HKLMx64\..\Winlogon, Shell = explorer.exe
HKCUx64\..\Winlogon, Shell = C:\Users\MEIN NAME\AppData\Roaming\rx5iur6idx.exe

==== FINISH 14.01-16.56 ====

Hi,
ja, dabei bitte die Partitionen prüfen (sollte eine kleine Partition mit nur wenigen MB dabei sein ->loeschen) und Bootblock (MBR) neu schreiben...
chris

Ich kenne mich nur mit Recovery-Formatierungen ein wenig aus.
Meinst du die Partitionen prüfen kurz vor der Formatierung und dort mit C löschen? Wie überschreibe ich MBR? Wird das auch angezeigt als Option bei der Recovery-Lösung? Oder sollte ich das anders machen?

Hallo Chris!

Ich habe den Auslieferungszustand mit Cyberlink Power Recover wiederhergestellt. Ist die Malware dadurch schon beseitigt?

Bei der Datenträgervewaltung sind 4 "Volumes" gelistet. Ich habe nie eine Partition oder so etwas erstellt:

Recover D - 30 GB - 31% frei
Boot C - 1366,17 GB - 97% frei
ohne Name - 1GB - 100% frei
ohne Name - 100 MB - 71% frei

Kann ich die beiden Namenlosen bedenkenlos löschen?

Ist eine Bootblock-Überschreibung noch notwendig? Ich habe eine Beschreibung im Netz dafür gefunden und sicherheitshalber gemacht. Kann ja nicht schaden, oder?

hxxp://www.techspread.de/808/bootsektor-und-bootloader-von-windows-7-wiederherstellen

Grüße,
mar246