Heyho,

wie schon im Titel erwähnt bekomme ich mein Windows XP nicht mehr im normalen Modus gestartet.
Zum Glück geht es noch über den abgesichten Modus, was mir die Hoffnung gegeben hat das es vielleicht noch eine Möglichkeit zum "wieder grade biegen" gibt.

Also zu dem wie es dazu kam:
Ich war auf der Suche nach einem US Stream von D-9 (ich weiß so was macht man nich aber ich kann wirklich nicht erst drauf warten bis er hier raus kommt)
Naja beim stöbern auf Google bin ich dann auf ein Link gestoßen, der noch bei Google vielversprechend zu lesen war.
Ich bin auf die Seite und mitten beim aufbauen der Seite meldet sich mein Avira mit einem versuchten Zugriff, ich habe sofort auf Zugriff verweigern gedrügt und sofort versucht von der Seite weg zu kommen aber bevor ich auch nur irgendwas machen konnte kam die gleiche Meldung, also habe ich wieder den Zugriff verweigert.
Naja als Resultat darauf ist alles für 3-4 Sec. eingefroren und dann hat sich der Rechner neu gestartet.
Er ist bis zum Windows Ladebildschirm gekommen, hat den durchgeladen und sich direkt danach wieder neu gestartet. Das macht er jetzt nur noch durchgehend wenn ich versuche ihn im normalen Modus zu starten.
Wie gesagt geht zum Glück noch der abgesicherte Modus, wo ich jetzt schon seit ca. Vier Std rumwerkel aber ich habe langsam keine Idee mehr.
Das hier soll mein letzter Versuch sein bevor ich es aufgebe.

Versucht habe ich Google, Systemwiderherstellungspunkte, Spybot, Avira und HijackThis aber es hat mir alles nicht geholfen -.-

Die Aktuelste HijackThis Auswertung:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Steam\Steam.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\mom.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=h9Mz0vRU3EWn6nJTBjfKGSml8UgTRy6tNMoyBgFwTkV5akK0%2fNDwYbOCLTx9fNnBfHpLTJ9Db%2bjIuMuXXUaxF7Oq7Rg2ae1gqM3pxj%2fvXp2c%2fyeNcDWxoE80R2enkK% 2f0DO4CWURk1egPUVdCKyzFLi%2foN%2fc4UY1WcKO0Xp3ZBHJMwYnp2BpwQBOJKNDhIfs4PnI%2b0fztlTjTS3UeqqM%2fFozkWzeReY2gXjTwcwVC9K%2fsDklfMdctud4aXWpzeVn0z4zKgshGF %2fJmPgEYbxQ1LBrnUVRL%2byFftDoBUI19XYg%3d
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.6.0_10) -
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\

Ich hoffe vielleicht hat einer eine Idee was es sein könnte

Hallo und Herzlich Willkommen!

vlt die folgenden Methode kann Dir helfen. Auf jeden Fall einen Versuch wert:

Den Computer mit der letzten als funktionierend bekannten Konfiguration starten
Methode D: Letzte als funktionierend bekannte Konfiguration aufrufen
Auf jeden Fall positive als auch negative Rückmeldungen erwünscht

gruß
Coverflow

Hi Coverflow,
danke für die Hilfe aber leider hat es nicht den gewünschten Effekt gebracht.

"Den Computer mit der letzten als funktionierend bekannten Konfiguration starten" - Hat den alten Neustart Fehler beibehalten.

"Automatischen Neustart bei Systemfehler deaktivieren" - Da gab es leider eine Bluescreen fehlermeldung, die auch kein hilfreichen Text beinhaltete.

hi

Zum einen kannst Du ausprobieren:

1.
- Gehe in den abgesicherten Modus
Drücke beim Hochfahren des rechners [F8] , bis du eine auswahlmöglichkeit hast:

-Abgesicherter Modus
wähle hier -Abgesicherter Modus mit Netzwerktreibern
versuche ein scan mit kaspersky durchzuführen:
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

2.
auf jeden Fall den Bericht von Antivir suchen und posten

3.
kannst Du noch versuchen ein Programm SUPERAntiSpyware installieren und laufen lassen:

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

- falls keine Erfolg, melde dich erneut

Zitat:

Zitat von Badger

Da gab es leider eine Bluescreen fehlermeldung, die auch kein hilfreichen Text beinhaltete.

Diese Bluescreens beinhalten sehr wichtige Informationen!
Wenn Du diesen noch einmal bekommst, schreib ihn bitte ab uns poste ihn hier.

@BataAlexander:
Das werde ich beim nächsten machen aber es ist keiner mehr aufgetaucht.

Zu meinem Lagebericht:
Also den SUPERAntiSpyware FREE Edition konnte ich leider nicht installieren, es hieß da ich im abgesicherten Modus unterwegs bin.
Die größere Hilfe kam durch den Kaspersky Online - Scanner, der hat wiederum mir Drei treffer gegeben:

C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP294\A0097981.exe Infizierte Objekte: Backdoor.Win32.Bredolab.nx übersprungen

C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP295\A0097994.exe Infizierte Objekte: Backdoor.Win32.Bredolab.nx übersprungen

C:\Documents and Settings\Badger\My Documents\EXE\CryptLoad_1.1.6\router\FRITZ!Box\nc.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.NetCat.a"

Den letzten konnte ich problemlos per Hand löschen aber die anderen waren in dem versteckten Ordner "System Volume Information", der mir wiederrum den zugriff komplet verweigerte.
Dazu habe ich dann ein sehr hilfreiches Tutorial gefunden --> System Volume Information - Viren entfernen - Artikel von www.it-academy.cc - Verein für Informationstechnologie
Dieses hat mir geholfen den Zugriff zu bekommen womit ich dann die Problemdatein per Hand Löschen konnte, nachdem ich das dann auch gemacht habe, kam mein Neustart versuch, der auch sehr erfolgversprechend war.
Mein Rechner ist Problemlos hochgefahren und es sah alles wieder Normal.
Die Geschichte hat sich gestern noch bis ca. 3 uhr morgens hingezogen und ich hab mich nach dem erfolgreichen Versuch schlafen gelegt.
Heute habe ich beim Rechner hochfahren genau das selbe alte Problem wiederbekommen.
Nach dem ich wieder den Kaspersky Online - Scanner durchlaufen lassen habe kamen diese Drei Treffer:

C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP296\A0099677.exe Infizierte Objekte: Backdoor.Win32.Bredolab.nx übersprungen

C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP296\A0099678.exe Infizierte Objekte: Backdoor.Win32.Bredolab.nx übersprungen

C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP296\A0099680.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.NetCat.a übersprungen

Es scheint das es noch irgendwo sowas wie ein Hauptvirus gibt der die gelöschten datein wiederherstellt.
Ich werd jetzt diese Drei wieder löschen und versuchen im normalen Modus weiter zu arbeiten.

Edit: OK, hat auch nicht gefunzt, die 3 Dateien sind gelöscht und sind auch nicht mehr nach dem Neustart aufindbar aber der Rechner hat wieder mal das gute alte selbe Problem.
Ich werde jetzt nochmal den Kaspersky Online - Scanner durchlaufen lassen und schauen ob er wieder was neues findet.

hi

1.

Code: Alles auswählenAufklappen

ATTFilter

C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP296\A0099680.exe Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.NetCat.a
         

"not-a-virus:RemoteAdmin.Win32.NetCat..." - hier kannst Du nachlesen...Info/CA und hier - Hast Du VNC auf deinen Rechner installiert?
Potentiell gefährliche Anwendungen (Riskware):
Solche Programme verfügen nicht über schädliche Funktionen, können aber unter bestimmten Umständen von Angreifern als Hilfskomponenten eines schädlichen Programms verwendet werden, weil sie Schwachstellen und Fehler enthalten. Unter bestimmten Umständen entsteht durch das Vorhandensein solcher Programme auf dem Computer ein Sicherheitsrisiko für Ihre Daten. Zu dieser Kategorie zählen beispielsweise bestimmte Dienstprogramme zur entfernten Administration, Programme zum automatischen Umschalten der Tastaturbelegung, IRC-Clients, FTP-Server, unterschiedliche Dienstprogramme zum Erstellen oder zum Verstecken von Prozessen.
VNC/RemoteAdmin (sogenannte `Fernunterstützungssoftware via Internet`) gehört Kategorie: RiskWare, weil nicht perfekt in Punkto Sicherheit ist...
wenn Du `absichtlich installiert`hast, dann weißt Du auch wofür du sie brauchst...

2.
Größere Sorge macht die anderen Sachen:

Code: Alles auswählenAufklappen

ATTFilter

C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP296\A0099677.exe Infizierte Objekte: Backdoor.Win32.Bredolab.nx 

C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP296\A0099678.exe Infizierte Objekte: Backdoor.Win32.Bredolab.nx
         

schaue bitte mal nach: Systemsteuererung/System/Systemwiederherstellung
das Kontrollkästchen Laufwerk "C" und "D" aktiviert ist?

- Genauso gut kann sowohl bei Virusbefall, als beim z.B Absturz des Systems, dass der Registrierungsschlüssel "HKEY_CLASSES_ROOT\exefile" beschädigt wird (Wie du auch erläuterst hast, bei *kurz einspring* deines Virenscanners, zu einem systemabsturz gekommen ist)
aber ich würde mal vorshclagen, dass Du erstmal nur anschauen sollst bzw versuchen, ob Du in der Registry gehen kannst
Start --> Ausführen --> regedit --> dann navigiere zum besagten Schlüssel und Schaue Dir genau an
Tipps hier:
*EXE-Dateien können nicht mehr gestartet werden*
*winfaq.de*-> *EXE-Dateien lassen sich nicht mit Doppelklick starten*

Erfolg!

Ich habe nach der letzten löschung der von Kaspersky angegeben Dateien wieder einen Durchlauf gemacht und während dessen nach dem "Backdoor.Win32.Bredolab.nx" bei Google gesucht.
Die Suche hatte bei dem genauen Titel kein Erfolg aber es gab noch ähnliche mit anderen Endungen, somit habe mir dann die "Backdoor.Win32.Bredolab.fu" rausgesucht und danach gestöbert.
Ich habe sofort bei Google ein Eintrag im Trojaner-Board gefunden, an den ich mich dann erst mal gehalten habe (www.trojaner-board.de/76331-backdoor-win32-bredolab-fu.html), ich habe mir den Malwarebytes Anti-Malware gezogen und den durchlaufen lassen (nebenbei auch ein Rat von Coverflow).

Auswertung:
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\Badger\APPLIC~1\MACROM~1\Common\2903a0281.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\Badger\APPLIC~1\MACROM~1\Common\2903a0281.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\Badger\APPLIC~1\MACROM~1\Common\2903a0281.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\Badger\APPLIC~1\MACROM~1\Common\2903a0281.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\Badger\APPLIC~1\MACROM~1\Common\2903a0281.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\Badger\APPLIC~1\MACROM~1\Common\2903a0281.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\Badger\APPLIC~1\MACROM~1\Common\2903a0281.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\Badger\APPLIC~1\MACROM~1\Common\2903a0281.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP296\A0099702.exe (PUP.KeyLogger) -> No action taken.
C:\WINDOWS\system32\videocore.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Badger\Application Data\Macromedia\Common\2903a0281.dll (Hijack.Sound) -> No action taken.
C:\Documents and Settings\Badger\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.sys) -> No action taken.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.

Ich habe natürlich alles entfernen lassen und den Kaspersky durchlaufen lassen.

Kaspersky Treffer:
C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP296\A0099700.exe Infizierte Objekte: Backdoor.Win32.Bredolab.nx übersprungen

C:\System Volume Information\_restore{08D77FFD-389A-4052-B1D6-335282B2A266}\RP296\A0099701.exe Infizierte Objekte: Backdoor.Win32.Bredolab.nx übersprungen

Diese 2 konnte ich von Hand löschen.

In der Hoffnung das alles weg ist habe ich den Rechner im normalen Modus gestartet und siehe da, er ist problemlos hochgefahren
Natürlich konnte ich das nicht auf dem einen Versuch belassen, also gleich den nächsten Neustart gemacht und welch Freude, keine Probleme (bis auf das mein Avira nicht mehr zu gebrauchen, ist aber das ist ein minimales Prob.).

Es scheinen alle Probleme verschwunden zu sein und somit konnte ich ein neues Windows umgehen

Ich hoffe dieses eröffnete Thema kann noch jemanden in Zukunft helfen!

Vielen Dank Coverflow, für deine schnelle Hilfe (btw. ohne dein Post in dem anderen Thema wäre ich auch nicht so schnell drauf gekommen).
Vielen vielen Dank!!!

Case closed!

hi

Ich würde an deiner Stelle trotz erster Erfolge noch nicht behaupten, dass dein System damit sauber ist.
Denn es handelt sich hier vielmehr, als um eine harmlose Schädling:
- Trojan.Silentbanker:
Das ist eine vergleichsweise neue Art der *Malware*, mit *Backdoor* / *Hintertür* und *Rootkit* funktionalität. Malware, die versucht die Anmeldedaten für das Online-Banking zu stehlen. Zudem ist eine Erkennung (fast) nicht möglich, weil der Quelldateinamen ändert sich ständig (willkürlich aufgebautes Muster `random tiling`,Buchstaben und Zahlen, also Macromedia\Common\`Random`.dll).
Machst du onlinebanking?
Ändere deine Passworte und Zugangsdaten überall! - auf deinem Computer auch, aber um sicher gehen, von einem sauberen System aus!
Malwarebytes ist ein sehr gutes Programm, findet und entfernt auch viel, aber mal ehrlich, welches Programm kann denn alles finden?
Eine gründliche Untersuchung, meiner Meinung nach sollte Dir nicht erspart bleiben. Also falls du auf Nummer sicher gehen willst, dann melde dich bitte erneut!