Moin zusammen,

Gestern habe ich mir einen BKA / UCASH Trojaner eingefangen (Windosw XP prof. SP3).
Seitdem führt Starten im abgesicherten Modus zum Bluescreen.
Am liebsten würde ich nämlich meine Systemwiederherstellung im abgesicherten Modus bemühen.

Den BKA-Screen habe ich schon nach dem ersten Neustart nicht mehr gesehen, allerdings konnte ich keine Prozesse mehr im Task-Manager anzeigen lassen, den Internet Explorer nicht mehr starten und meine Netzwerktreiber werden wohl nicht mehr geladen.
Systemwiederherstellung im hochgefahrenen Zustand meldet unabhängig wie weit ich zurück gehe, dass eine Wiederherstellung zum angegeben Zeitpunkt nich möglich war.
Beim Runterfahren kann das System auch jede Menge Prozesse nicht beenden.

Ich habe auch schon die Kaspersky Rescue Disk 10 gebrannt und WindowsUnLocker laufen lassen, der auch was gefunden und behoben hat.

Seitdem kann ich im Taskmanager meine Prozesse wider sehen, bekomme aber immer noch den Bluescreen wenn ich im abgesicherten Modus booten will.

Deshalb hänge ich den Pro's von Euch mal die OTL-Logs an mein Geschreibsel.


Würde mich freuen, wenn mir jemand helfen könnte,
Hamburger

...übrigens kann ich Malwarebytes nicht laufen lassen. Mein Rechner ist total gebremst und Systemauslastung immer auf 100%, weil der Prozess Services den Rechner zumacht.
Auch kann ich in msconfig unter Allgemein nicht auf Normal- oder Diagnose-Booot stellen, weil ich als Administartor angeblich keine Administrator-Rechte habe .

Malwarebytes hat für 40.000 Objekte über 3 Stunden gebraucht


Vielleicht fällt Euch ja was ein.
Hamburger

Liebe Helfer,

ist mein Problem so kompliziert oder habe ich etwas falsch gemacht mit meinem Request nach Hilfe??

...wahrscheinlich habt Ihr aber einfach nur zuviele Requests.


Sagt mir doch wann ich vielleicht mit Hilfe rechnen kann, komme selbst einfach nicht weiter.

Anbei findet Ihr nochmal aktuelle Logs gezippt (Log.txt war zu groß), da ich zwischenzeitlich auch nicht untätig war.


Viele Grüße
Hamburger

Liebe Leute

heute ist der 4te Tag und da wollte ich docj mal nachfragen ob mir noch jemand helfen würde??


Viele Grüße
Hamburger

Zitat:

ist mein Problem so kompliziert oder habe ich etwas falsch gemacht mit meinem Request nach Hilfe??

Das liegt daran, dass du die selbst auf deinen Strang antwortest. Beantwortete Stränge werden schon als versorgt angesehen und von Helfern nicht mehr beachtet

Zitat:

Malwarebytes hat für 40.000 Objekte über 3 Stunden gebraucht

Kam da ein Log bei raus? Bitte alle posten

Danke!!

Ok, ich habe versanden.

Malwarebytes habe ich nach 3 Std abgebrochen, da es Tage gedauert hätte, wenn nach 3 Std. nur 40.000 Dateien untersucht wurden.

Auch habe ich kein Netzwerkzugriff mehr und meine Version ist seit 10 Tagen nicht upgedatet worden.


Hamburger

Trotzdem müsste ein Log bei rumgekommen sein
Oder hat MBAM in den untersuchten 40.000 Dateien nichts gefunden?

Hatte dann doch nochmal in msconfig Diagnosesystemstart eingestellt und alles scannen lassen. Ging dann auch wesentlich schneller.

Hier das Log:
Malwarebytes Anti-Malware (PRO) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.01.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xx :: xxxxxxxx [Administrator]

Schutz: Deaktiviert

08.06.2012 15:54:32
mbam-log-2012-06-08 (15-54-32).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 494303
Laufzeit: 2 Stunde(n), 15 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc|Start (Disabled.Cryptsvc) -> Bösartig: (4) Gut: (2) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Zitat:

Datenbank Version: v2012.06.01.02

Ging das Update vorher nicht oder haste's vergessen?

Hallo Arne

hab so alle 2 - 3 Tage manuell ein update gemacht.
Deswegen wars wohl nicht wohl noch vom 1. Juni.

In den logs steht entsprechend:
Scheduled update failed: Host not found failed with error code 0


Gruß
Karsten

Probier das Update manuell mal aus

ich komm doch nicht mehr an meine Netzwerktreiber und habe keinen Internetzugriff mehr.

Hm, abgesicherter Modus "zerstört", Netzwerktreiber gekillt, das klingt nicht gerade nach einem System, dass man noch sinnvoll reparieren könnte

Habe offline mit Datei nen updae gefahren und gescannt.
Hier das Log:

Malwarebytes Anti-Malware (PRO) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.11.05

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
kb :: KBMOBIL1 [Administrator]

Schutz: Deaktiviert

11.06.2012 19:54:16
mbam-log-2012-06-11 (19-54-16).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 496862
Laufzeit: 2 Stunde(n), 13 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc|Start (Disabled.Cryptsvc) -> Bösartig: (4) Gut: (2) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Bitte mal CF ausführen

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo Arne

vielen, vielen Dank für Deine Hilfe, aber mittlerweile habe ich mein System total zerschossen und das erste Mal muss ich aufgeben.

Aber ein System nach 7 Jahren neu aufzusetzen hat auch Vorteile.

Also mea culpa!

Aber sag mir doch bitte warum eine Vollversion Malwarebytes und Antivir mich nicht schützen konnten?

Toll, das Malwarebytes hinterher was findet, trotzdem frage ich mich warum der Befall nicht verhindert werden konnte?


Gruß
Karsten

Zitat:

Aber sag mir doch bitte warum eine Vollversion Malwarebytes und Antivir mich nicht schützen konnten?

Das ist so die typische Denke bei vielen Leuten, fast alle glauben man kauft irgendwas oder installiert irgendwas und dann braucht man sich um nichts mehr Gedanken zu machen weil man dem Irrglauben "der Virenscanner erkennt ja alles" unterliegt

Verrat mir mal woher diese Einstellung kommt!
In anderen Lebensbereichen glaubt man doch auch nicht an 100%iger Sicherheit
Oder glaubst du, dass man einen Autounfall trotz Airbag und anderen Sicherheitseinrichtungen in jedem Fall überlebt? Warum schützen diese nicht immer?

Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Geld ausgeben muss man nicht für einen Scanner, sowas wie Avast oder Microsoft Security Essentials sind für die privaten Gebrauch völlig ausreichend.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sicherere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
9. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
10. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?