Guten Tag,

Ich habe auch das hier bereits mehrfach beschriebene Problem des weissen Bildschirms mit "Warten auf Verbindung", das keine weitere Aktion über Maus oder Tastatur zulässt.

Ich habe diese Phänomen allerdings nur bei einem Benutzer unter Windows 7 Home Premium (Ver. 6.1.7601), so dass ich über Neustart und als Administrator nach wie vor auf alle Daten zugreifen und auch Software installieren konnte.

Nach dem ersten Auftreten habe ich über Avira einen vollständigen Scan durchführen lassen und vier Viren gefunden:
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Visa.G

Jedoch wurden nur drei in das Quarantäne-Verzeichnis verschoben, zu EXP/CVE-2012-0507 gab es keinen weiteren Hinweis im Protokoll.

Aufgrund der Hinweise auf eine Sicherheitslücke mit älteren Javaversionen, habe ich JAVA ver. 6.18 deinstalliert und die neueste JAVA-Version 7 installiert. Das Problem mit dem weißen Bildschirm bei dem einen Benutzer blieb jedoch erhalten.

Die von Euch beschriebenen Analysetools (dds, gmer) habe ich installiert und die entsprechenden log-files sind ebenso wie die aus Avira angehängt.

An die Analyse mit OTLPENet habe ich mich noch nicht herangewagt, da dies im Forum immer nur bei PC's verwendet wurde, bei denen keine Programme mehr gestartet werden konnten.

Gibt es eine Möglichkeit, den "Benutzer" zu reparieren oder ist es das einfachste, die Daten über Admin zu sichern und den beschädigten Benutzer komplett zu löschen.

Für Eure Hilfe bereits im voraus besten Dank

Beste Grüße

Robbo

hi
mache die analyse mit und poste die logs, dankeOTLPENet

Guten Abend,

ich habe OTLPE auf die CD gebrannt und den Rechner von der CD aus gebootet. Zuerst blauer Bildschrim. Nach Umstellung im bios auf "ide" lief der REATOGO-X-PE desktop hoch, dann allerdings keine Fragen nach remote registry etc. Bei der Auswahl eines Laufwerks bricht der scan mit "kein windows 2000 oder höher" ab, so dass ich nun kein otl.log file erzeugen kann.

Kann man das OTL-tool ggf. auch unter windows 7 von der Festplatte aus starten?

danke

Robbo

hi, klappe mal bei der laufwerks auswahl alles nacheinander auf, bis du den ordner windows finest, da drauf klicken, dann gehts los.

Guten Abend Markus,

danke, hat geklappt, anbei das log file.

habe aber aus versehen, den haken bei "load all remaining users" drin gelassen. wenn das bei der analyse hinderlich ist, starte ich den vorgang nochmal (hätte mir vorher von der anleitung einen ausdruck machen sollen ).

(nachtrag 22:13h: habe eben nachgelesen, dass es mehrere log-files sein müssten - ich führe den scan mit den korrekten parametern nochmal durch und lade dann die anderen logfiles dazu)

kannst du mir noch einen hinweis geben, wie groß das risiko ist, bei einem backup den virus "mitzusichern", obwohl alle scans "no viruses found" ausgeben. ich würde mir ungern meine sicherungskopien infizieren.

danke für deine unterstützung

gruss

robbo

habe den scan jetzt mit dem deaktivierten haken nochmal durchgeführt:
beim drüberscrollen entdecke ich keine großen unterschiede in der struktur des log-files und das file ist nur 1kB kleiner.
habe aber nur eine otl.txt gefunden (habe mit der desktopsuche kompletten PC durchsuchen lassen).

Zitat:

Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

ist es möglich, dass es bei mir nur ein log file erzeugt wurde?

danke + gruss

robbo

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\Robert_ON_G..\Run: [5kS43ADO0bzprWo] G:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe (Programma Gestionale)
O4 - HKU\Gast_ON_G..\RunOnce: [HKCU] G:\Windows\System32\oobe\info\HKCU.vbs ()
O4 - HKU\Robbo_ON_G..\RunOnce: [HKCU] G:\Windows\System32\oobe\info\HKCU.vbs ()
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\Robert_ON_G Winlogon: Shell - (C:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe) - G:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe (Programma Gestionale)
O20 - HKU\Robert_ON_G Winlogon: UserInit - (C:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe) - G:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe (Programma Gestionale)

:Files
G:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe
G:\Windows\System32\oobe
g:\Users\Robert\AppData\LocalLow\Sun\Java\Deployment\cache
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hi,

danke für den fix, aber bevor ich starte habe ich noch eine verständnisfrage:
warum 2. pc?

Zitat:

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort

muss ich fix.txt von einem 2. pc aus auf einen stick kopieren oder kann dies auch von meinem "problem-PC aus geschehen? Der funktioniert ja noch, nur den einen user kann ich nicht mehr benutzen.
den input beim scan habe ich direkt von der festplatte reingeladen.

danke + gruss

Robbo

du führst doch otl von cd aus, du musst das ja für das betroffene konto machen, also dann fix auf nen stick kopieren

Hallo Markus,

vielen Dank für deine kompetente, zügige und professionelle Unterstützung!

Upload habe ich ausgeführt. Ich habe aber keine Rückmeldung erhalten, ob erfolgreich ageschlossen wurde. Soll ich den Ordner movedfiles nun löschen (enthält ja infizierte Dateien)?

Mein user ist nun wieder zugänglich. Ich mußte die fix.txt allerdings über edit von der Festplatte aus einfügen, weil das mit dem stick nicht funktionierte.

Habe allerdings immer noch Probleme: Beim Ausführen der Funktion "Benutzer wechseln" wird der Bildschirm schwarz und nichts geht mehr.

Ich bin jetzt sehr verunsichert, inwieweit mein Rechner nun noch für online banking geeignet ist.

Die Beiträge zeigen deutlich, dass ich zumindest meine Sicherheitsvorkehrungen verbessern muss und auch die Kosten hierfür nicht scheuen sollte (freeware ist hier auf dauer nicht "billiger"). Hier würde ich mich an das halten, was du LPit am 31.03.12 emfohlen hast (s Zitat untern).

Unklar bin ich mir jedoch noch, ob ich meinen Rechner "plattmachen" muss und was genau darunter zu verstehen wäre.

Danke für deine Empfehlung, damit ich wieder sicher sensible Daten transferieren kann.

Danke + Gruß

Robbo

Zitat:

hi,
danach den pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
Computeractive Software Store - discounted downloadable software
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen.
avast! Free Antivirus

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

Anleitung: Maßnahmen zur Absicherung des Rechners
bitte beginne mit dem abschnitt, windows xp.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.66

anleitung:
Anleitung: Sandboxie
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

guten morgen,

habe gestern noch malware laufen lassen und nun andere trojaner gefunden, die ich vorher laut scan nicht hatte. habe ich mir hier während der reparatur etwas eingefangen?

anbei die log files:
gestern abend:

Zitat:

alwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.18.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Robbo :: BLACKADDER [Administrator]

Schutz: Aktiviert

18.04.2012 21:42:05
mbam-log-2012-04-18 (21-42-05).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 412327
Laufzeit: 44 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 13
C:\Users\Robert\AppData\Local\Temp\woczmqyhrugvhexpgo.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\umwfduvwnvivkru.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\alipjzsxrexadvlmhocvy.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\bqmextcwvkphph.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\cuqhubjlptqvzeeesp.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\ealbqnkfffn.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\fnlupxxtgascdyg.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\qojfzoolrxpt.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\sppyqdnslajzykil.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\hmwbsxtvasbouwecrglcvetre.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\hocyozubwydmxc.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Robert\AppData\Local\Temp\klvnirxxznf.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\04182012_222444\G_Users\Robert\AppData\Roaming\soundblaster_fx648.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

zum vergleich vorgestern am anfang der reparatur:

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.16.01

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Robbo :: BLACKADDER [Administrator]

Schutz: Aktiviert

16.04.2012 12:41:31
mbam-log-2012-04-16 (12-41-31).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 249653
Laufzeit: 3 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Bin für Hinweis dankbar, wie ich nun weitermachen soll (s. auch bei beitrag von gestern abend)

danke

Robbo

na bei uns hast du dir die sicher nicht eingefangen :-)
du hast aber einmal vollständig und einmal quick scan ausgeführt.
danke für den upload, führe aber keine scans auf eigene faus durch.
moved files bleibt erst mal.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi,

ich hoffe, ich habe jetzt keinen mist gebaut :

1. combo fix auf desktop installiert und ausgeführt
2. commandfenster ging auf
3. lief durch bis schritt 50
4. anschließend wurden mehrere dateien gelöscht,
5. plötzlich verschwinden die icons vom desktop und nichts tut sich mehr
6. habe 15min gewartet (gesamtdauer der aktion nun ca. 30min)
7. habe dann computer neu gebootet
8. kann nun keine combofix.txt auf festplatte finden

computer verhält sich normal, scheint alles zu funktionieren, sogar der benutzerwechsel geht wieder

soll ich combofix nochmal starten?

danke + gruss

Robbo

ja, versuche es mal im abgesicherten modus mit netzwerk, starte neu, drücke f8 wähle abges.modus mit netzwerk, melde dich im betroffenen account an.
wenn combofix nen neustart verlangt, im normalen modus unter dem selben nutzernamen anmelden, log posten

war gar nicht so einfach bis ans log-file zu kommen:

1. komme mit F8 nicht in den abgesicherten modus. bei drücken von F8 kommt booten von HDD oder CD als auswahl. komme in den abgesicherten modus nur durch "ausschalten + neustart".
2. im abgesicherten modus konnte ich combo nicht starten, weil rechner meldet avira sei noch aktiv, obwohl ich avira deaktiviert hatte.
3. hab es dann nochmal im normalen modus probiert, allerdings ohne aktive internetverbindung, da ja kein virenschutz aktiv war - kein erfolg
4. beim nächsten versuch mit internetverbindunger (allerdings eingeloggt als admin) wurde automatisch auf eine neuere version von combo aktualisiert und programm lief dann ordnungsgemäß bis ende durch - dieses log-file ist im anhang hochgeladen
5. habe es dann nochmal unter dem "problemaccount" probiert: wieder nur bis step 50 - dann hängt combo - ohne log file.

gruss Robbo