Polizei Trojaner weder abgesicherter Modus noch Boot von USB/CD
 

Liebe Community,
bin ein wenig verzweifelt.

Habe mir auf meinem Win7 ThinkPad einen "Polizei Trojaner" eingefangen.
Folge: Computer gesperrt.

Hab versucht im abgesicherten Modus zu starten. Kein Erfolg.

Habe versucht den "WindowsUnlocker" von Kaspersky über einen USB Stick zu verwenden. Hat nicht funktioniert.

Dann bin auf das Trojaner Board gestoßen und habe versucht die Schritte zu befolgen, die vorgesehen sind. Leider bootet der Rechner nicht von USB/CD, deshalb kann ich auch keine LOGFiles erstellen.

Aktuell startet der Rechner hoch und wenn ich nicht ins BIOS gehe, lande ich in der "Windows Fehlerbehebung" , welche mir die Auswahl zwischen:

1) Starhilfe starten und
2) Windows normal starten vorgibt.

Wähle ich 1) Starthilfe versucht zu reparieren, dauert ewig (hab Stunden lang gewartet, abrechen nicht möglich, letzten Endes abgewürgt und Neustart

Wähle ich 2) WinStart beginnt, dann Blue Screen und wieder von vorn.

Ich Id**t hab schon länger kein backup mehr gemacht und Sorge mich um die Daten. Ich weiß eh, selber Schuld. Trotzdem sehr ärgerlich.

Bitte um Rat, was ich machen kann um wieder in Richtung funktionierendem Rechner zu kommen.

Tausend Dank und bitte um Hilfe,
Christoph

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen: Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast. Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst. Bitte kein Crossposting (posten in mehreren Foren). Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert. Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst. Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten. Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss. Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt. Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM. Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden. Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Scan und Unlock mit SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Hallo Ryder,
danke schön für die Hilfe!

Erster Schritt -> Erstes Problem:

Ich komm in das "Erweiterte Starthilfe Menü" rein. Kann dort auch "Abgesicherter Modus mit Eingabeaufforderung" auswählen.

Es werden dann einige Verzeichnisse geladen, bis ein Bluescreen erscheint. Dann ist aus.

Würde dir gern schreiben, welcher Fehler angegeben wird. Aber der Screen ist nur ne knappe Sekunde zu sehen. So schnell kann ich nicht lesen.

Es gelingt mir allerdings in die Eingabeaufforderung zu gelangen.

Wenn ich dort den USB Stick anwähle und start srep.exe eingebe, kommt der von dir prophezeite scan button.
Klicke ich diesen an, dauert es ein paar Sekunden und dann kommt: AutoIt Error / Error: Variable used without beeing declared.


Was soll ich tun?


Genieße deinen Ruhtag:) Warte ganz geduldig auf weitere Instruktionen.

Lg,
pumosch

Hach es hätte so einfach sein können.

Ist das Windows 7 32 oder 64 bit?

Win7 32 bit. Hätt ich auch schon vorher schreiben können:pfeiff:

Ja hättest du mal ...

Scan mit Farbar's Recovery Scan Tool (FRST 32bit)

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hey Ryder,
hat geklappt.

Thx,
pumosch

OK dann weg damit :)

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---

HKU\Christoph\...\Run: [MSSMSGS] rundll32.exe winkha32.rom,xJCOHEGay [x]
C:\Users\Christoph\wgsdgsdgdsgsd.exe
C:\Users\All Users\dsgsdgdsgdsgw.pad

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hey Ryder,

done!


Das schaut schon besser aus als vor zwei Tagen.

Ich brenne auf weitere Anweisungen:)

Lg,
pumosch

Dann schau mal ob du wieder normal booten kannst - dann gehts weiter.

Hey Ryder,
leider immer noch Blue Screen:(

Da hats noch was.

Was tun?

Bin wohl ein schwer Fall. Sorry!

Lg,
Pumosch

Bluescreen heißt nicht, dass es Malware sein muss.

Mach bitte nochmal ein neues FRST-Logfile und notiere dir bitte mal die Fehlercodes.

Voila!

hey ryder,

hab mir das log file jetzt länger angesehen und kann keine Fehlercodes identifizieren.

Meist du die Fehlercodes auf dem Bluescreen?


Lg,
pumosch

hier die informationen vom bluescreen:


0x0000007B (0x80786B50, 0xC0000034, 0x00000000), 0x00000000)


sind diese infos brauchbar?


lg,
pumosch

Genau das meine ich.

Fragen:
Kannst du abgesichert Booten?
Funktioniert booten mit der "letzten bekannten funktionierenden Konfiguratation" ?
Verwenden der letzten als funktionierend bekannten Konfiguration

leider nicht! selbe fehlermeldung auf dem bluescreen:(

was hab ich da nur angerichtet?:stirn:

tut mit leid, dass ich so viel arbeit mache.

lg,
pumosch

Windows DVD zur Hand?

noch nicht. hab ne version von der uni (studentlicense). muss morgen früh eine installationscd von der uni holen gehen. oder meine eigene wieder finden. meld mich sobald ich sie hab.

hoffe meine daten sind nicht unrettbar in den weiten der digitalen wüste verloren.

danke für die hilfe,
pumosch

Wir werden eine Reparaturinstallation versuchen du kannst vorher deine Daten aber alle sichern. Brauchst du die Anleitung dazu?

jep bitte anleitung! bin ein digitales greenhorn.

Herstellen eines USB-Sticks mit der Kaspersky-Rescue-Disk

Du braucht dazu einen USB-Stick (am besten leer) mit mindestens 1 GB Platz.

• Bitte downloade dir YUMI von dieser Webseite auf deinen Desktop.
• Schliesse deinen USB-Stick an, starte YUMI und akzeptiere die Lizenzvereinbarung.
• Step 1: Wähle den Laufwerksbuchstaben deines Sticks aus.
• Step 2: Wähle aus der Liste "Kaspersky Rescue Disk (Antivirus Scanner)" aus (relativ weit unten)
• Hake an "Download the img (Optional)", YUMI fragt dich ob du jetzt herunterladen willst. Klicke Ja.
• Speichere die *.iso auf deinem Desktop.
• Step 3: Falls das *.iso nicht schon ausgewählt wurde (grüne Farbe) klicke Browse, suche das Image und wähle es aus.
• Klicke jetzt auf Create und beantworte die Sicherheitsabfrage mit Ja. Dein USB-Stick wird jetzt vollautomatisch vorbereitet. Warte bis der Vorgangabgeschlossen ist.

Starten des Kaspersky Rescue Sticks zur Datensicherung

• Schliesse den USB-Stick an das infizierte System an. Starte den Rechner (neu).
• Während des Starts drücke die Taste mit der du das Bootmenü aufrufen kannst (oft ist das F8) und wähle den USB-Stick zum booten aus.
• Es erscheint das YUMI-Menü. Wähle hier Antivirus Tools >Kaspersky Rescue CD > Run ... from this USB
• Das Rettungssystem startet jetzt. Wenn du mehrere Betriebssysteme installiert hast erscheint ein Menü in dem du auswählen kannst auf welches du zugreifen willst.
• Deine Windowslaufwerke C: bis Z: (wenn vorhanden) werden als Ordner auf dem Desktop erzeugt.
• Kopiere also alle wichtigen Dateien von deinen Windowslaufwerken auf deinen USB-Stick zur Sicherung.
• Zum Herunterfahren klicke auf das K-Symbol unten links und wähle shutdown.

Berichte bitte ob das gut geklappt hat. Diese Anleitung ist noch neu.

lieber ryder,
hab das mit der kaspersky rescue disk probiert.


über stick booten hat geklappt.

dann versucht der rechner das kaspersky programm zu starten.
noch bevor der balken der den ladevorgang anzeigt zu seinem ziel gelangt
kommt folgende fehlermeldung:


mount: special device/dev/sr* does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist
mount: special device/dev/mapper/live-rw does not exist

dracut Warning: Can't mount root filesystem
dracut Warning: dracut: FATAL: Failed to mount block device of live image
dracut Warning: dracut: Refusing to continue
dracut Warning: dracut: FATAL: Failed to mount block device of live image
dracut Warning: dracut: Refusing to continue

dracut Warning: Signal caught!
dracut Warning: dracut: FATAL: Failed to mount block device of live image
dracut Warning: dracut: Refusing to continue
dracut Warning: dracut: FATAL: Failed to mount block device of live image
dracut Warning: dracut: Refusing to continue


Kernel panic - not syncing: Attempted to kill init!
Pid: 1, comm: init Not tainted 3.0.13-krd10#1

call Trace:
<c08e60c2> panic+0x50/0x141
<c0436f3d> do_exit_+0x92/0x68d
<c043759e> do_group_exit_group+0x66/0x8f
<c04375da> sys_exit_group_+0x13/0x17
<c08e80ec> syscall_call+0x7/0xb
<c08e0000> ? init_ intel+0x34f/0x34f/0x37e



langsam mach ich mir richtig sorgen, dass das nix mehr wird mit meiner kiste:(


geh ich richtig in der annahme, dass der nächste schritt die "reparaturinstalation" ist.

lg,
pumosch

Ja so langsam hast du Grund dazu...

Wir probieren aber erst noch einen Fix bevor wir aufgeben.

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---

DisableService: ewusbnet
DisableService: hwusbdev

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Bessert sich was?

heul! nein immer noch fatal error.

hab das teil geschreddert:confused:

könnte das mit der reparaturinstallation noch was bringen?

oder ist alles aus?

kann verstehn wenn dir das zu blöde wird.

glaubst du es bringt was die festplatte auszubauen und an nen anderen rechner anzuschließen.

oder soll ich zu nem computerdoktor gehen?

was tun lieber ryder? was tun?


danke schon mal für alles. echt großartig was du bzw. ihr hier macht!!!

lg,
pumosch

Ich möchte dich jetzt um etwas Geduld bitten, wir besprechen deinen Fall gerade intern. Ich melde mich :)

Frage: Sind mit dem Rechner irgendwelche USB Geräte ausser Tastatur und Maus verbunden? Welche?

Entferne mal alle und versuche ob das Booten besser läuft.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen