Trojaner Ransom-D / Weißer Bildschirm: "Diese Website kann nicht angezeigt werden"
 

Hallo,

ich habe ein ähnliches Problem wie hexchen06.

Habe mir laut Avast einen Tojaner Ransom-D eingefangen. Bin sofort aus dem Internet gegangen und alle Verbindungen gekappt.

Wenn ich den Computer neu starte, erscheint ein weißer Bildschirm mit "Diese Website kann nicht angezeigt werden ..."

Bisher habe ich Folgendes gemacht:

1. Habe den Computer wieder runtergefahren und im abgesicherten Modus neu gestartet (habe Windows 7). Dann alle Dateien auf externer Festplatte gespeichert.

2. Computer normal wieder gestartet und über Avast eine komplette Überprüfung durchführen lassen. Es wurde nichts gefunden. Der Trojaner Ransom-D war bei Avast im Virus-Container und den habe ich dann gelöscht.

3. Nach erneutem Neustart konnte Firefox nur noch im abgesicherten Modus gestartet werden und manchmal wurde der Desktop nicht mehr angezeigt. Daher habe ich dann Windows 7 komplett neu installiert.

Nach der Neuinstallation von Windows 7 habe ich nun folgende Situation:
- Desktop sieht aus wie im abgesicherten Modus gestartet (habe ich jedoch nicht)
- Es kann keine Verbindung zum Internet hergestellt werden (erkennt keine Netzwerke).

Was muss ich jetzt tun? Ist der Trojaner noch bei mir drauf?
Und soll ich die gleichen Schritte wie hexchen06, wie von t'john beschrieben, durchführen?

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Danke.

Habe einen Vollscan mit malwarebytes durchgeführt. Anbei der Log:


Leider kann ich mit dem infizierten Rechner nicht mehr online gehen und daher auch nicht den ESET Online Scan durchführen.

Gibt es noch eine weitere Möglichkeit? Z.B. anderes Programm auf USB-Stick speichern und einen Offline-Scan durchführen?

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Leider geht es auch im abgesicherten Modus mit Netzwerktreibern nicht.

Habe auch mal ein LAN-Kabel angeschlossen, aber auch damit kann ich nicht ins Internet.

Gibts noch andere Möglichkeiten?

Mach erstmal ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ok. Habe nun OTL durchgeführt.

Da er aber nach einiger Zeit sagte "Out of memory" habe ich den OTL Scan in "Minimaler Ausgabe" + Scan (links oben) durchgeführt.

Da hat er dann wieder nach einiger Zeit "Out of memory" angzeigt.

Schließlich habe ich dann den OTL Scan in "Minimaler Ausgabe" + Quick Scan durchgeführt. Hat leider auch nicht geklappt - hat wieder "Out of Memory" angzeigt. Screenshot dazu im Anhang.

Ist das in allen Modi so, hast du das also auch im abgesicherten Modus (mit Netwerktreibern) ausprobiert?

Ja. Habe es in allen Modi (normal, abgesicherter Modus, abgesicherter Modus mit Netzwerktreibern) in allen drei Varianten ausprobiert.

Es erschien immer bei "Manual File Scan - Getting folder structure" nach einigen Minuten die Meldung "Out of memory".

Dann mach es so

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Habe Folgendes gemacht:

Normaler Modus
1. Standard-Ausgabe + Quick Scan
-> out of memory

2. Minimal Ausgabe + Scan
-> out of memory

3. Minimal Ausgabe + Quick-Scan
-> out of memory


Abgesicherter Modus
1. Standard-Ausgabe + Quick Scan
-> out of memory

2. Minimal Ausgabe + Scan
-> out of memory

3. Minimal Ausgabe + Quick-Scan
-> out of memory


Abgesicherter Modus mit Netzwerktreibern
1. Standard-Ausgabe + Quick Scan
-> out of memory

2. Minimal Ausgabe + Scan
-> out of memory

3. Minimal Ausgabe + Quick-Scan
-> out of memory

Hat bei jedem Modus leider nicht funktioniert. Auch nicht in miniamaler Ausgabe.

Dann müssen wir OTL sein lassen, bitte mach nun ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

ComboFix hat geklappt.

Hier der Log dazu:

Hm, wirklich viel steht da auch nicht gerade drin :wtf:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Ok. Habe den TDSS Killer wie beschrieben ausgeführt.

Das Log dazu anbei: