Trojaner-Board - Rechner neu gestartet, läuft nicht mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Rechner neu gestartet, läuft nicht mehr (https://www.trojaner-board.de/104092-rechner-neu-gestartet-laeuft-mehr.html)

Rechner neu gestartet, läuft nicht mehr

Hi zusammen,

ich habe vorhin den Link zu einem Bild geschickt bekommen. Als ich diesen zuerst angewählt habe kam auf der entsprechenden Seite "Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later. "

Nach Aktualisieren der Seite konnte ich das Bild runterladen.

Dateiname: IMG863789538.JPG.scr

Hätte mir eigentlich verdächtig vorkommen müssen, da es mir aber ein Freund geschickt hat habe ich leider keinen Verdacht geschöpft. Ich habe die Endung .scr entfernt und das Bild geöffnet. Daraufhin erschien ein kleines verpixeltes Bild. Dummerweise habe ich dann die Endung wieder angefügt, weil ich dachte, dass das Bild dann mit einem anderen Programm richtig geöffnet wird. War aber nicht so. Mein Rechner (Windows 7) wurde einfach neu gestartet. Danach kam immer wieder die Systemreparatur von Windows. Rechner läuft immer noch nicht, ich lasse gerade eine Knoppix CD mit Virenscanner laufen.

Die scheinbar verseuchte Seite liegt hier
Link: hxxp://www.maximilian-adam.com/images/gallery.php?img=IMG1690.JPG

Die Datei habe ich mir auf diesen Rechner gespeichert und poste sie im Anhang als Textdatei. Solange man sie nicht ausführt scheint nichts zu passieren. Meine Virenscans haben bisher nichts ergeben. Was kann ich machen?

Vielen Dank,
Sebastian

---

Nachtrag: Ich glaube es ist einer der per Facebook verschickten .scr Viren

Ich habe einen Onlinescan der Datei (bin auf einem anderen Rechner) per virustotal.com gemacht:

Ergebnis:

Zitat:

AhnLab-V3 2011.10.12.00 2011.10.12 -
AntiVir 7.11.15.238 2011.10.12 -
Antiy-AVL 2.0.3.7 2011.10.12 -
Avast 6.0.1289.0 2011.10.12 -
AVG 10.0.0.1190 2011.10.07 -
BitDefender 7.2 2011.10.12 Gen:Variant.Zusy.193
ByteHero 1.0.0.1 2011.09.23 -
CAT-QuickHeal 11.00 2011.10.12 -
ClamAV 0.97.0.0 2011.10.12 -
Commtouch 5.3.2.6 2011.10.12 -
Comodo 10431 2011.10.12 -
DrWeb 5.0.2.03300 2011.10.12 -
Emsisoft 5.1.0.11 2011.10.12 -
eSafe 7.0.17.0 2011.10.11 -
eTrust-Vet 36.1.8615 2011.10.12 -
F-Prot 4.6.5.141 2011.10.12 -
F-Secure 9.0.16440.0 2011.10.12 Gen:Variant.Zusy.193
Fortinet 4.3.370.0 2011.10.12 -
GData 22 2011.10.12 Gen:Variant.Zusy.193
Ikarus T3.1.1.107.0 2011.10.12 -
Jiangmin 13.0.900 2011.10.12 -
K7AntiVirus 9.115.5267 2011.10.10 -
Kaspersky 9.0.0.837 2011.10.12 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.10.12 -
McAfee-GW-Edition 2010.1D 2011.10.12 -
Microsoft 1.7702 2011.10.12 TrojanDropper:Win32/Fignotok.gen!A
NOD32 6537 2011.10.12 -
Norman 6.07.11 2011.10.12 -
nProtect 2011-10-12.01 2011.10.12 Gen:Variant.Zusy.193
Panda 10.0.3.5 2011.10.12 -
PCTools 8.0.0.5 2011.10.12 -
Prevx 3.0 2011.10.12 -
Rising 23.79.02.02 2011.10.12 -
Sophos 4.70.0 2011.10.12 Mal/EncPk-AAQ
SUPERAntiSpyware 4.40.0.1006 2011.10.12 -
Symantec 20111.2.0.82 2011.10.12 -
TheHacker 6.7.0.1.320 2011.10.11 -
TrendMicro 9.500.0.1008 2011.10.12 -
TrendMicro-HouseCall 9.500.0.1008 2011.10.12 -
VBA32 3.12.16.4 2011.10.12 -
VIPRE 10740 2011.10.12 Trojan.Win32.Generic.pak!cobra
ViRobot 2011.10.12.4715 2011.10.12 -
VirusBuster 14.1.7.0 2011.10.11 -

Den virulenten Anhang hab ich mal entfernt, bevor irgendein Dussel das runterlädt und ausführt. Falls du sowas hast und Dateien uns zur Verfügung stellen willst, lädst du das bitte in den Uploadchannel hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Startet Windows jetzt garnicht mehr? Auch nicht im abgesicherten Modus? Vom Virenscanner unter Knoppix würde ich dir erstmal abraten, damit kannst du noch mehr kaputtmachen bei unsachgemäßer Bedienung.

Leider startet er nicht mehr. Am Anfang kommt immer ein vermeindlich von Windows stammender Versuch, das System zu reparieren. Habs dreimal laufen lassen, endet aber immer mit nem erfolglosen neustart. Wenn ich versuche im abgesicherten Modus zu starten endet es genauso. Virenscanner läuft derzeit noch (ist mein Rechner im Büro). Muss ich morgen gucken, ich denke von alleine wird nichts entfernt.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

So,

die Virenscanner über Nacht haben nichts gefunden, obwohl ich ja bereits per Check der Datei im Netz den Trojaner entlarven konnte. Der Boot von OTLPE klappt leider nicht, es bleibt einfach alles schwarz.

Ich habe jetzt beschlossen das System neu zu installieren, da auch Systemwiederherstellung auf einen Sicherungspunkt nichts gebracht hat. Ich habe per Knoppix meine Anwendungsdaten auf eine USB Platte kopiert. Wie kann ich sicherstellen, dass dort keine Schädlinge drauf sind?

Vielen Dank schonmal für Deiner Hilfe

Zitat:

Der Boot von OTLPE klappt leider nicht, es bleibt einfach alles schwarz.

Dann bootest du nicht von der CD oder AHCI legt mal wieder Steine in den Weg.

Zitat:

Ich habe per Knoppix meine Anwendungsdaten auf eine USB Platte kopiert. Wie kann ich sicherstellen, dass dort keine Schädlinge drauf sind?

Garnicht. 100% Sicherheit gibt es nicht.
Beschränke dich auf persönliche Dateien, Musik, Bilder, Videos, Dokumente, etc aber KEINE Programme/Spiele/Setups oder Bestandteile davon.

Okay, vielen Dank.

Kann ich die Profilordner von z.B. Firefox, Thunderbird, Miranda Fusion aus AppData/Local und AppData/Roaming kopieren, um meine Einstellungen und Passwörter wiederherzustellen?

Ja die Profildaten kann man sichern aber auch da gibt es keine 100% Sicherheit