Weißer Bildschirm nach Anmeldung (Windows XP)
 

Hallo!

Ein Kollege von mir hat seinen Rechner irgendwie gegen die Wand gefahren, und mich gebeten, das zu fixen. Folgende Symptome:

Nach dem Einloggen (BS ist Windows XP) erscheint für ein paar Sekunden der Desktop, danach wird der Bildschirm weiß und gut ist. Nix geht dann mehr.

Ich hab die Kiste also mal im Abgesicherten Modus gebootet und OTL.exe drüber laufen lassen;
Logfiles im Anhang.

Viele Grüße,
Halbi

Hi,

hänge die Logfiles bitte nicht an (das erschwert mir das Auswerten massiv), sondern füge deren Inhalt direkt innerhalb von Codetags ein: [code]Inhalt Logfile[/code]. (Anleitung)

Startet der Rechner nach diesem Fix wieder normal?


Erstelle zuerst auf einem Zweitrechner das Fixskript:

• Drücke dazu bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, schreibe "notepad" in das Ausführen Fenster und drücke OK.
  
• Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
  (Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.)
  
  Code:

  ---

  :OTL
O20 - HKU\S-1-5-21-1085031214-1606980848-1957994488-1004 Winlogon: Shell - (C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\cache.dat) - C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\cache.dat ()
[2013.12.17 15:43:40 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\cache.ini

:commands
[emptytemp]

  ---

• Speichere dann die Datei als fix.txt auf den USB-Stick, wo die OTL.exe liegt.

Danach führe folgendermassen den Fix aus:

• Schliesse den USB-Stick wieder an den infizierten Rechner an und starte diesen in den abgesicherten Modus mit Eingabeaufforderung.
• Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:

  e:\OTL.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  Es sollte sich nun das Fenster von OTL öffnen.
• Klicke auf den Fix Button.
• Drücke dann OK, um den Fix von einem File zu laden.
• Wähle die erstellte fix.txt auf dem USB-Stick aus. Ihr Inhalt wird in die Textbox eingefügt.
• Klicke nun erneut auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach einem Neustart versuche wieder in den normalen Modus zu booten.
• Auf deinem USB-Stick sollte im Ordner _OTL ein Log-File (\_OTL\MovedFiles\<time_date>.txt) erstellt worden sein.
• Kopiere nun dessen Inhalt hier in deinen Thread.

Hej nochmal!

danke für die schnelle Antwort, ich werde das gleich ausprobieren.

Es würde mich nur eines Interessieren:
Was hat den Fehler deiner Meinung nach verursacht?
Und wie ist das aus dem Log-Skript zu entnehmen?

Gerne auch etwas ausführlicher, ich komm mit Fachausdrücken klar ;-)

Grüße,
Halbi

Hej,

du hast dir Malware eingefangen, welche sich als Shell eingetragen hat (siehe Logzeile im Fix).
Dass der Bildschirm nach Anmeldung weiss wird, ist so von der Malware nicht beabsichtigt. Eigentlich sollte dort ein Sperrbildschirm erscheinen im Still von: BKA hat den Rechner gesperrt wegen irgendwas und man kann 100 Euro per Paysafecard bezahlen..

Hej!

Sodele, Anmelden klappt jetzt wieder ohne Probleme.
Danke für die Hilfe ... bis zum nächsten Mal :dankeschoen:

Ach ja ... wieso die temporären Daten löschen?
Gibt es Malware die sich dort einnistet und reinstalliert,
wenn sie merkt, dass sie noch nicht in der Registry und im Dateisystem klebt?

Grüße,
Halbi

OTL Log vom Löschen: