Trojaner-Board - Windows System blockiert

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows System blockiert (https://www.trojaner-board.de/105921-windows-system-blockiert.html)

Windows System blockiert

Hallo,

habe mir auch den Virus eingefangen, der den bekannten Bildschirm mit der Meldung "Windowssystem blockiert" startet. Habe dann in einem Eurem Board hier verschiedene Threads zu dem Thema gelesen und die dort angeführten Schritte durchgeführt.

+ auf einem sauberen PC die OTL.EXE heruntergeladen
+ auf einen USB Stick geladen
+ im betroffenen Notebook (abgesicherter Modus ohne Netzwerk) auf den Desktop kopiert
+ OTL.EXE gestartet und mit den angeführten Parametern gestartet
+ beide LOG-Files kopiert

Zuvor habe ich im abgesicherten Modus mit Symantek Antivirus und Lavasoft ADAWARE komplette Scans durchgeführt, jedoch ohne Erfolg.

Ich hoffe, Ihr könnt mir hier helfen.

Nachfolgend die Log Files

Gruß

Walter

hi

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKCU..\Run: [{5B1F121C-AE22-11DC-8531-806D6172696F}] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svhcost.exe (Mozilla Foundation)
 

:Files

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svhcost.exe

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]
 

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Hallo,

anbei die Text-Datei die nach dem Fix angezeigt wurde.

Ist das Ding jetzt weg ?

Habe noch keine Web-Verbindung installiert und poste dies über den sauberen PC.

Gruß

Walter

bitte den upload machen wie beschrieben, wir machen dann sowieso noch einige scans, aber bringe das gerät ruhig ins inet.

Hallo,

bin jetzt auf dem bereinigten System. Habe den Upload wie beschrieben ausgeführt und die Datei MOVED.ZIP hochgeladen.

Hoffe das Problem ist nun beseitigt.

Gruß

Walter

ok weiter gehts:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo,

COMBOFIX ist durchgelaufen und die LOG-Datei ist im Anhang beigefügt.

Bin mal gespannt, wie es weiter geht.

Gruß

Walter

Hallo,

stelle gerade fest, die Datei ist zu groß. Soll ich über den Upload Channel gehen ?

Gruß

Walter

PS : Habe die Datei gezippt und angefügt.

nö, mit winrar packen oder das log aufteilen bitte

Habe ein ZIP-Datei angefügt.

kannst du mal arbeitsplatz öffnen c: öffnen rechtsklick qoobox, packen und dann im upload channel hochladen bitte?

Hallo,

bis dato scheint es zu funktionieren. Trotz i-net Verbindung kommt die Meldung nicht.

Hoffen wir mal, dass es so bleibt.

Gruß

Walter

ok bitte wie gesagt den upload machen

Hallo,

der Upload ist hoch. War eine 20 MB Datei und es olltenb mehr als 4.800 Dateien im Archiv sein. Am Ende des Archiv erstellens kam eine Meldung "Zugriff verweigert".

Gruß

Walter

sorry, 20 mb gehen nicht.
kannst du es bitte bei
File-Upload.net - Ihr kostenloser File Hoster!
hochladen und mir den link als private nachicht senden?
danke dir

Hallo,

PN ist versendet.

Gruß

Walter

hi, dass sieht nicht gut aus.
du machst onlinebanking stimmts?
da scheint jemand seit monaten deine daten mitzulesen.
du musst unbedingt das onlinebanking sperren!
danach müssen wir das system neu aufsetzen es ist nicht vertrauenswürdig.
sichere bilder, dokumente, musik filme, also alles persönliche.
dann zeige ich dir, falls nötig, wie du das system formatierst und windows neu instalierst
dann erkläre ich dir, wie du das system absicherst.
dann musst du alle passwörter endern.
dann sag ich noch was zum sicheren online banking

Hallo,

mache gerade eine Datensicherung.

Warum erkennt das Symantek eigentlich nicht ? Ich update ständig die Virendefinitionsdateien ab und habe das immer im Hintergrund laufen.

Melde mich dann gleich wieder.

Gruß

Walter

das kann ich dir nicht sagen, aus den logs sehe ich das der trojaner dort mindestens 6 monate aktiv ist
gucke auch mal in deine privaten nachichten, hab dir da noch was geschrieben

Hallo,

die Daten habe ich auf eine externe Festplatte gesichert. Wie geht es weiter ?

Gruß

Walter

nutzt du ne windows cd recovery cd oder recovery partition, falls letzteres benötige ich den hersteller und gerätetypen deines pcs

Hallo,

das kann ich noch nicht einmal sagen. Das Notebook ist von meiner letzten Firma aufgesetzt worden als ich gegangen bin. Das Notebook habe ich mitgenommen.

Gruß

Walter

wie heißt es steht doch drauf oder an der unterseite

Ist ein HP NC4200 und auf der Unterseite ist ein XP Product Code.

Hallo,

habe einen neuen PC geholt. Hat als BS Windows 7. Wie kann der geschützt werden, dass dies nicht wieder passiert ?

Wie kann ich das Notebook so formatieren, dass alle Daten weg sind ?

Gruß

Walter

ok kümmern wir uns erst um das neue gerät, einverstanden?
dann sichern wir jetzt mal das system ab:
ok, erst mal anmerkungen:

die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!
- als antimalware empfehle ich emsisoft.
dieses ist zwar eine bezahl software, aber sie bietet meiner meinung nach den besten schutz.
du kannst es 30 tage lang testen, und ich kenne shops wo man es für 9 € bekommt was eig sehr günstig ist.
bei den kostenlosen würde ich zu avast greifen, zwar nicht ganz so gut, aber ok.
- wenn du onlinebanking machst, lasse dich von deiner bank beraten, ein card reader, klasse 3 (komfort reader) + starmoney um onlinebanking zu machen.
kostet zwar was, die banken zahlen da aber dazu, sollte sich also in grenzen halten.
-
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen.

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.

Als nächstes kommen wir zu dem Antimalware Programm.
Dieses ist ein wichtiger Bestandteil des Sicherheitskonzeptes, deswegen sollte man sich gut überlegen, welche Wahl man trifft.
Bei den kostenlosen Scannern halte ich Persönlich Avast! für die beste Wahl.
Als kostenpflichtiges würde ich Emsisoft empfehlen
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
Weitere Vertreter .
kaspersky:
Kaspersky Lab: Antivirus software
Symantec (Norton)
Symantec - AntiVirus, Anti-Spyware, Endpoint Security, Backup, Storage Solutions

Browserwahl:
Da wir häufig mit dem Browser arbeiten, ist diese Wahl natürlich ebenfalls wichtig, die wichtigen Vertreter befinden sich in dem Verlinktem Thema.
ich würde zu chrome greifen:
https://www.google.com/chrome?hl=de

Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/
anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
http://filepony.de/download-sandboxie/
bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Anleitung: Backup mit Windows 7-Bordmitteln - NETZWELT
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Hallo,

bei EMISOFT das Internet Security Pack oder nur die Anti-Malware ?

Walter

antimalware reicht.
aber nutze erst mal die 30 tage testversion, wäre ja blödsinn die nicht zu nutzen.
http://www.trojaner-board.de/103809-...i-malware.html
schau mal da, da gibts das dann für 9,95 €, shop ist vertrauenswürdig.

Hallo,

habe jetzt alles so ausgeführt und umgesetzt wie beschrieben.

Was ist nun der nächste Schritt ?

Walter

alles komplett umgesetzt? die ganze empfohlene software instaliert? dann wirds zeit für ein erstes backup.
achte immer darauf das spur 0 und mbr beim backup erstellen aktiev sind.
kommst du mit sandboxie und den update checkern klar oder gibts unklarheiten?

Alles installiert und eingerichtet, eine erste Sicherung mit Windows 7 erstellt. Virenscanner installiert und Updates auf automatisch gestellt. Sandbox installiert und getestet, Browser läuft aktuell in Sandbox (gutes Tool).

Was meinst Du nun mit Backup ?

Walter

Hallo,

habe alles umgesetzt und eingerichtet. Habe auch eine erste Sicherung mit der Funktion von Windows 7 erstellt. Browser läuft in Sandbox.

Was meinst Du mit Spur 0 und MBR beim Backup ?

Gruß

Walter

hi, ich dachte du hast das backup programm aus der anleitung, windows 7 backup ist aber auch ok.
wenn ich mich recht erinnere hast du auf dem andern pc noch office lizenzen, muss es denn office sein, dann müssten wir die lizenz sichern, oder geht auch ne kostenlose alternative, open office zb:
OpenOffice.org: Startseite (deutsch)
noch ne anmerkung, wenn auf dem pc ein antimalware programm vor instaliert war und du dieses nicht nutzt, dann musst du es bitte deinstalieren.

update checker:
dazu noch ne anmerkung, diese suchen englische updates.
wenn also der browser mit updates versorgt werden soll, bitte nicht über die update checker laden, sondern am besten in den favoriten die homepage des herstellers speichern und dann von dort laden.
das solltest du mit jedem programm machen, wo du auf die oberfläche zugreifst.
hast du jetzt emsisoft oder ein anderes av genommen, frage nur wegen konfigurationshinweisen die ich dir geben kann

Hallo,

das Backup habe ich gemäß Deiner Beschreibung mit Win 7 gemacht. Kann man hier noch die Zeiteinstellung ändern ? Steht auf Sonntag 19:00 h und ich würde es gern umstellen auf etwas wie "bei jedem abschalten von Windows".

EMISOFT ist installiert und läuft. Für Office habe ich mir eine Home-Edition von Office 2010 gekauft und installiert. Den vorinstallierten Kaspersky Virenschutz habe ich selbstverständlich deinstalliert. Den UpdateChecker habe ich nur für Windows installiert.

Gruß

Walter

das hier verstehe ich nicht:
Den UpdateChecker habe ich nur für Windows installiert
kannst du das mal erklären.
wenn du meinst das du nur windows updates machen lässt, dann ist das falsch.
überleg mal, du hast adobe reader, flash player browser, java usw.
alle diese anwendungen sind internet anwendungen, alle diese anwendungen können sicherheitslücken aufweisen und müssen mit updates versorgt werden.
instaliere dir zumindest file hippo damit du dein gesammtes system aktuell hältst, es ist wichtig, und zwar genauso wichtig, windows und dritt anbieter software aktuell zu halten
naja das man das av deinstaliert befor nen neues drauf kommt ist für viele nicht so selbstverständlich, deswegen sagte ichs ja :-)
öffne mal emsisoft, einstellungen.
geplanter scan:
wähle dort aus, wie häufig du prüfen möchtest. einmal monatlich dürfte reichen, wähle ne passende uhrzeit bzw tag, und hake an, verpassten scan nachhohlen.
gehe jetzt auf updater
wähle intervall, täglich
alle stunde, von 0 uhr bis 23.59
das heißt, jede stunde wird auf aktualisierung geprüft.
nächster punkt:
wähle, am antimalware network teilnehmen
haken weg bei zusätzliche sprachen downloaden.
dass hätten wir.
klicke jetzt auf wächter dort auf wächter:

verhaltensanalyse aktivieren, diese erkennt programme an festgelegten verhaltensmustern, heißt, wenn es keine signaturen erkennung gibt wird geprüft, verhält sich das programm verdächtig.
hier klicke auf alles selektieren.
gehe jetzt auf wächter: alarme.
wenn dir die abfragen von emsisoft zu kompliziert sind, dann aktiviere bitte comunety basierte alarm reduktion.
wie du jetzt sehen kannst, wird jetzt angezeigt, blockieren bzw ausführen, 90 %
dies heißt emsisoft fragt seine datenbank, wie viele user haben sich bei programm x für welche aktion entschieden, wenn 90 % sich dann so oder so entschieden haben, wird diese entscheidung bei dir automatisch getroffen.
falls du das nicht willst, lass es bei den einstellungen wie gehabt.
gehe jetzt auf surf schutzwähle überall blockieren mit info.
wenn dich die einblendungen stören, musst du auf unsichtbar blockieren gehen, aber nicht vergessen, wenn mal ne seite nicht geladen wird, in dem emsisoft protokoll gucken ob die seite evtl. geblockt wurde.
falls ja kann man das unter hostregeln wieder frei geben.
das wars zur konfiguration.
wegen dem backup:
achte darauf das es extern gespeichert wird, nicht auf der selben festplatte.
unter zeitplan endern kannst du es so einstellen das es täglich gemacht wird.
ne funktion erstelle backup beim ausschalten gibts nicht so weit ich weis.
sind denn tägliche backups nötig, machst du so viel am pc, falls nicht ist wöchendlich ok denke ich.

Hallo,

da habe ich mich falsch ausgedrückt. Habe beide Programme (Update Checker) installiert und alle empfohlenen Updates ausgeführt. Beim Google Chrome Update hat er ein Problem und kann es bei beiden nicht beenden.

Den Link mit dem Backup Tool habe ich übersehen, hole ich aber noch nach. Ich hatte beim Notebook das Tool so eingestellt, dass er es jedesmal (incremental) ausführt, wenn das Notebook heruntergefahren wurde.

Emsisoft habe ich die Einstellungen, soweit erforderlich, angepaßt.

Gruß

Walter

hi,
eines der beiden backup tools würd ja reichen also win7 oder paragon backup.
wegen chrome, eig müsste es die aktuellste version hier geben:
https://www.google.com/chrome?hl=de
was wird denn angezeigt von file hippo bzw secunia?

Hallo,

wenn ich das Update für Chrome ausführe stellt der Installer den Fehler 3 fest und bringt folgende Meldung

"Ihr Profil konnte nicht ordnungsgemäß geöffnet werden. Möglicherweise stehen nicht alle Funktionen zur Verfügung- Überprüfen Sie, ob das Profil vorhanden ist und Sie die Lese- und Schreibzugriffe für das Profil besitzen."

Verstehe ich nicht ganz, da ich doch im Augenblick noch als Administrator angemeldet bin.

Das Backup stelle ich dann auf Paragon um.

Gruß

Walter
Gruß

machst du das backup in der sandbox? bitte außerhalb instalieren

Habe ich außerhalb installiert.

ok lade mal den installer, falls nicht vorhanden, erneut runter, pc mal neustarten so dass alle browser dann auf jeden fall zu sind.
rechtsklick auf den installer, als admin starten und gucken obs jetzt funktioniert

Hallo,

komme erst am Samstag dazu. Werde es versuchen und Dir dann ein Feedback geben.

Gruß

Walter