Windows Vista - kurz nach dem Hochfahren nur weißer Bildschirm und Cursor
 

Liebe Forum-Mitglieder!

Leider habe ich mir wohl wieder einen Trojaner eingefangen. Kurz nach dem Start wird ein weißer Bildschirm dargestellt und der Cursor ist sichtbar.
Strg+Alt+Enft funktioniert zwar, aber nach einiger Zeit wechselt er automatisch wieder zum weißen Bildschirm. Der Task-Manager lässt sich nicht öffnen (kurz Originaldesktop, dann wieder weiß) und grundsätzlich bleibt nur die Möglichkeit, den Laptop wieder herunterzufahren (dabei ebenfalls kurz wieder Orig.Desktop sichtbar, danach wird normal heruntergefahren).
Als der Laptop infiziert wurde, erschien kurz ein ähnliche Anzeige wie bei dem Bundespolizei-Trojaner (Wappen, Logos, Bundespräsident, IP-Adresse, div. Warnhinweise etc.). Genau kann ich mich aber nicht erinnern, da ich den Laptop sofort ausgeschaltet habe.

Ich schreibe von einem sauberen Zweit-PC und bin ratlos, wie ich den infizierten wieder zum Laufen bringe. Habe noch keine Anleitung für ähnliche Probleme versucht. Daher wende mich wieder an Euch als Profis, da ihr mir bereits einmal erfolgreich helfen konntet.

Mit der Bitte um Eure Unterstützung - vielen Dank im Voraus für die Hilfsbereitschaft!
MfG
Garth2003

Hi,
b
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Lieber markusg!

Danke, dass Du dich meines Problems angenommen hast! Ich habe deine Anweisungen (hoffentlich korrekt) befolgt und poste unten den Inhalt der erstellten .txt-Datei.

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

[/CODE]

Hi,
es sind 2 Logs zu erstellen, poste alles möglichst gleichzeitig.
1.
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Solltest du wieder normal starten können:
2.
Navigiere bitte zu:
C:\FRST\Quarantine
Rechtsklick, mit Winrar oder einem anderen Archvierer packen und im Uploadchannel hochladen.
Trojaner-Board Upload Channel

3.
Nachfolgend kommt ein FRST Log, zu beachten ist:
öffne die Additions.txt, navigiere zu:
==================== Installed Programs =======================
dort findest du eine Liste instalierter Programme.
Hinter jedes nötige, schreibe: Notwendig.
Hinter unnötige: Unnötig.
Hinter unbekannte: unbekannt.
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Zwischenfrage, bevor ich es durchspiele:
1. Ich hatte den Laptop über Nacht nicht an und musste daher die ersten Schritte nochmals durchführen, um zum Ausführen-Fenster zu gelangen.
2. Habe Deinen neuen Text zwar nun eingefügt, aber es wird statt \ das Yen-Zeichen angezeigt.
Ist das ein Problem?

hmm \ sollte schon angezeigt werden, hast du den text abgetippt oder eingefügt? wenn nicht mal das falsche Zeichen löschen und den \ selbst einfügen

Ich konnte nach Schritt 1 tatsächlich wieder normal starten (Danke!). Nun hänge ich aber leider bei Schritt 2 nach dem Hochladen der Datei "Quarantine".
Wie ist es zu verstehen "nachfolgend kommt ein FRST Log"? Tut mir leid, falls ich nur Geduld haben müsste. Es ist jedenfalls direkt nichts passiert und ich kann keine Datei Additions.txt finden.
Danke für Deine weiter Hilfe
P.S. Den -Wie du uns unterstützen kannst- Link hab ich mir schon notiert, egal wie diese Sache hier ausgeht ;-)

Hi,
na, schau mal, mit nachfolgend meinte ich, dass nach meiner zusätzlichen Anleitung für die additions.txt das frst kommt, welches du ausführen sollst.
schau mal, ob du evtl. schon eine
Addition.txt
hast
lösche die mal und dann sollte sie neu erstellt werden.

Lieber markusg,
ich hoffe wirklich alles richtig ausgeführt zu haben und poste unten fixlog, frst und additions.
Falls relevant bitte beachten, dass es sich nicht um die Dateien nach dem ersten, sondern darauffolgenden Scan handelt.

Fixlog.txt
FRST.txt

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Additions.txt (inkl. Anmerkungen: notwendig - unnötig - unbekannt)

Hi,
es sind 2 Logs zu erstellen, poste diese möglichst gleichzeitig.
1.
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen
bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Google Toolbar : verzichte bitte auf den Einsatz von Toolbars, sind nur ein zusätzliches Risiko.
Java: beide
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
Nokia : alle
VLC
VideoLAN - Official page for VLC media player, the Open Source video framework!
Auf Version 2.x Upgraden.

2.
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

neustarten.
3.
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Bitte poste:
- combofix.txt
- Malwarebytes Ergebniss.

Lieber markusg,

sorry für die späte Rückmeldung. Nach dem Urlaub und meinem Spendenbeitrag, hier nach den diversen De-/Installationen die beiden Logs:

Combifix:

Anti-Malware Ergebnis:
Danke!