Virenbefall - Bildschirm blockiert
 

Hallo

Mein Vater hat sich leider wieder einen Virus eingefangen. Ein Screenshot ist im Anhang. Leider musst er dringend am Computer arbeiten und ich könnte es bis jetzt nicht hinbiegen, also den Computer wieder entsperren. Ich habe es auch schon im abgesicherten Modus probiert aber da startet der PC einfach neu.

Da mein Vater den PC schnell wieder braucht, sehe ich als einfachste Möglichkeit per Boot-CD eine Antivirensoftware zu starten, die den PC wieder so hinbiegt, dass er wenigstens wieder benutzbar ist. Die detaillierte Reinigung kann dann später erfolgen.

Was für ein Programm könnt ihr mir da empfehlen?

Hoi,

ist nicht das erste Mal, dass du deinem Vater einen solchen Sperrbildschirm runternehmen musst, oder..? ;)
Wenn dieses Mal die Bereinigung und anschliessende Absicherung des Systems bis zum Ende durchgezogen würde, dann passiert das in Zukunft auch nicht mehr...

Du kannst ja mal den Hitman versuchen:


Versuchen wir, den Sperrbildschirm mit HitmanPro.Kickstart zu entfernen.
Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen! Sichere sie zuvor an einen anderen Ort, wenn du sie noch brauchst.

• Bereite deinen USB-Stick vor wie in dieser Anleitung beschrieben: Anleitung: HitmanPro.Kickstart
• Schliesse dann diesen Stick an den infizierten Rechner an und boote ihn vom USB-Stick. (Anleitung: Starten vom USB-Stick)
• Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.
• Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint, warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).
• Klicke jetzt: Weiter -> "Nein, ich möchte nur einen Einmalscan ..." -> Weiter
• Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.
• Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.
• Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.
• Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.

Hallo aharonov

Vielen Dank für deine Hilfe. Das Starten und scannen hat mit der Methode 1 wunderbar geklappt. Das Logfile konnte ich auch speichern. Es ist im Anhang, als zip gepackt.

Leider konnte ich aber die Sachen nicht in die Quarantäne verschieben, da ich einen Produktschlüssel hätte eingeben sollen. Daher habe ich nach dem Scannen einfach abgebrochen.

Salü,

der Hitman hat alles Mögliche erkannt, aber nur nicht den Sperrbildschirm.. :D
Teste bitte mal, ob der abgesicherte Modus mit Eingabeaufforderung noch funktioniert, so dass du dort auf das schwarze Konsolenfenster kommst.

Der abgesichterte Modus geht leider nicht mehr. Wenn ich den PC im abgesichterten Modus starte, startet der PC automatisch wieder neu.

Kaspersky soll ja auch so ein Boot-Tool haben. Wäre das vielleicht eine Möglichkeit?

Wir finden immer einen Weg, das ist kein Problem. Per Boot-CD zu scannen kann auch ganz bös ins Auge gehen.. Darum versuchen wir das zu vermeiden.

Entschuldige, wenn ich nochmals nachfrage, aber ich bin nicht ganz sicher, ob das richtig rübergekommen ist: Dass der normale abgesicherte Modus nicht funktioniert, ist klar. Aber wie sieht es mit demjenigen "mit Eingabeaufforderung" aus? Es gibt ja drei abgesicherte Modi (Anleitung) und der genannte funktioniert bei diesem Befall oft als einziger noch.

Beim abgesichterten Modus mit Netzwerktreibern startet er immer direkt neu. Beim normalen abgesichterten Modus und bei dem mit Eingabeaufforderung kann ich mich allerdings nicht anmelden, da wohl keine Netzwerkverbindung besteht. Wir haben hier einen kleinen Server (Domäne) stehen und der PC ist mit dem Server verbunden.

Auf dem Zweitrechner:
Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote den infizierten Rechner von der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien OTL.Txt und Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von OTL.Txt und Extras.Txt.

Ich habe jetzt alles so gemacht wie du geschrieben hast. Die Frage "Do you wish to load the remote registry" erschien allerdings nicht.

Es wurde eine OTL.txt erstellt, diese ist im Anhang, allerdings wurde keine Extras.txt erstellt.

Hoi,

passt so.
Schritt 1 entsperrt den Rechner. Die weiteren Schritte dann bitte wieder im normalen Modus von Windows durchführen.


Schritt 1

• Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Klicke jetzt auf den Fix Button.
• Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von OTLpe
• Log von AdwCleaner
• Logs von OTL

Hallo aharonov

Vielen Dank für die Hilfe. Der PC ist nun wieder entsperrt. Im Anhang sind befinden sich die Logs.

Hi,

wie läuft der Rechner?


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

• Öffne das Programm Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Schritt 5

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck
• Log von OTL

Hi aharonov

Der Rechner läuft jetzt so wie vorher. Im Anhang befinden sich wieder die logs. Malwarebytes Anti-Malware hat nichts festgestellt.

Hi,

ok prima. Aber jetzt muss noch all die alte Software verschwinden, sonst landet der Rechner bald wieder hier.


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 21.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 3

Dein Firefox ist nicht mehr aktuell.
Starte deinen Firefox als Administrator, klicke Hilfe --> Über Firefox und führe das angebotene Update durch.
Wiederhole diesen Schritt, bis Firefox als aktuell angezeigt wird.



Schritt 4

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

• Deinstalliere bitte deine aktuelle Version von Adobe Reader über

  Start --> Systemsteuerung --> Software (bei Windows XP)
  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Schritt 5

Dein Flashplayer ist veraltet. Installiere folgendermassen die aktuelle Version:

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Schritt 6

• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von SecurityCheck

Vielen Dank. Die Dateien sind wieder im Anhang.

Den Plugin Check für den Flash Player konnte ich nicht durchführen da ich Java nicht mehr installiert habe. Was kann man da machen?

Zudem habe ich gesehen, dass in Sophos 5 Objekte in der Quarantäne sind. Siehe screenshot sophos.jpg. Soll ich die von Sophos bereinigen lassen?