Polizei Trojaner weder abgesicherter Modus noch Boot von USB/CD
 

Liebe Community,
bin ein wenig verzweifelt.

Habe mir auf meinem Win7 ThinkPad einen "Polizei Trojaner" eingefangen.
Folge: Computer gesperrt.

Hab versucht im abgesicherten Modus zu starten. Kein Erfolg.

Habe versucht den "WindowsUnlocker" von Kaspersky über einen USB Stick zu verwenden. Hat nicht funktioniert.

Dann bin auf das Trojaner Board gestoßen und habe versucht die Schritte zu befolgen, die vorgesehen sind. Leider bootet der Rechner nicht von USB/CD, deshalb kann ich auch keine LOGFiles erstellen.

Aktuell startet der Rechner hoch und wenn ich nicht ins BIOS gehe, lande ich in der "Windows Fehlerbehebung" , welche mir die Auswahl zwischen:

1) Starhilfe starten und
2) Windows normal starten vorgibt.

Wähle ich 1) Starthilfe versucht zu reparieren, dauert ewig (hab Stunden lang gewartet, abrechen nicht möglich, letzten Endes abgewürgt und Neustart

Wähle ich 2) WinStart beginnt, dann Blue Screen und wieder von vorn.

Ich Id**t hab schon länger kein backup mehr gemacht und Sorge mich um die Daten. Ich weiß eh, selber Schuld. Trotzdem sehr ärgerlich.

Bitte um Rat, was ich machen kann um wieder in Richtung funktionierendem Rechner zu kommen.

Tausend Dank und bitte um Hilfe,
Christoph

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen: Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast. Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst. Bitte kein Crossposting (posten in mehreren Foren). Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert. Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst. Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten. Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss. Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt. Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM. Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden. Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Scan und Unlock mit SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Hallo Ryder,
danke schön für die Hilfe!

Erster Schritt -> Erstes Problem:

Ich komm in das "Erweiterte Starthilfe Menü" rein. Kann dort auch "Abgesicherter Modus mit Eingabeaufforderung" auswählen.

Es werden dann einige Verzeichnisse geladen, bis ein Bluescreen erscheint. Dann ist aus.

Würde dir gern schreiben, welcher Fehler angegeben wird. Aber der Screen ist nur ne knappe Sekunde zu sehen. So schnell kann ich nicht lesen.

Es gelingt mir allerdings in die Eingabeaufforderung zu gelangen.

Wenn ich dort den USB Stick anwähle und start srep.exe eingebe, kommt der von dir prophezeite scan button.
Klicke ich diesen an, dauert es ein paar Sekunden und dann kommt: AutoIt Error / Error: Variable used without beeing declared.


Was soll ich tun?


Genieße deinen Ruhtag:) Warte ganz geduldig auf weitere Instruktionen.

Lg,
pumosch

Hach es hätte so einfach sein können.

Ist das Windows 7 32 oder 64 bit?

Win7 32 bit. Hätt ich auch schon vorher schreiben können:pfeiff:

Ja hättest du mal ...

Scan mit Farbar's Recovery Scan Tool (FRST 32bit)

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hey Ryder,
hat geklappt.

Thx,
pumosch

OK dann weg damit :)

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---

HKU\Christoph\...\Run: [MSSMSGS] rundll32.exe winkha32.rom,xJCOHEGay [x]
C:\Users\Christoph\wgsdgsdgdsgsd.exe
C:\Users\All Users\dsgsdgdsgdsgw.pad

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hey Ryder,

done!


Das schaut schon besser aus als vor zwei Tagen.

Ich brenne auf weitere Anweisungen:)

Lg,
pumosch

Dann schau mal ob du wieder normal booten kannst - dann gehts weiter.

Hey Ryder,
leider immer noch Blue Screen:(

Da hats noch was.

Was tun?

Bin wohl ein schwer Fall. Sorry!

Lg,
Pumosch

Bluescreen heißt nicht, dass es Malware sein muss.

Mach bitte nochmal ein neues FRST-Logfile und notiere dir bitte mal die Fehlercodes.

Voila!

hey ryder,

hab mir das log file jetzt länger angesehen und kann keine Fehlercodes identifizieren.

Meist du die Fehlercodes auf dem Bluescreen?


Lg,
pumosch

hier die informationen vom bluescreen:


0x0000007B (0x80786B50, 0xC0000034, 0x00000000), 0x00000000)


sind diese infos brauchbar?


lg,
pumosch

Genau das meine ich.

Fragen:
Kannst du abgesichert Booten?
Funktioniert booten mit der "letzten bekannten funktionierenden Konfiguratation" ?
Verwenden der letzten als funktionierend bekannten Konfiguration

leider nicht! selbe fehlermeldung auf dem bluescreen:(

was hab ich da nur angerichtet?:stirn:

tut mit leid, dass ich so viel arbeit mache.

lg,
pumosch