Verseuchtes WinXP macht die Nutzung unmöglich
 

Hallo, :)

seit einigen Tagen versuche ich den WinXP-Rechner eines Bekannten von Schadsoftware zu bereinigen. Ein vorhandenes Backup von 2014 bringt leider nicht den gewünschten Erfolg.

Bekannte Probleme sind: Google und diverse andere Seiten zu Virenscannern, Malware-Tools, etc. lassen sich im IE/Chrome anfangs teilweise aufrufen - irgendwann sind diese dann geblockt.

Kaspersky Internet Security 2013 ist installiert, meldet aber keine Bedrohungen.

MBAM (siehe Anhang) meldete nach dem einspielen des Backups diverse Bedrohungen. Diese sind aktuell noch vorhanden, weil eine Bereinigung keinen nennenswerten Erfolg bringt.

Mit fortschreitender Nutzung des PC, kann es auch sein, dass Programme (Outlook, Chrome, Skype,...) ihren Dienst einstellen und sich diese Prozesse auch nicht mehr beenden lassen. Auch ein herunterfahren des PCs ist dann nicht mehr möglich.

Wäre nett, wenn ich etwas Unterstützung bekommen könnte :)

Gruß

emc2011

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Schritt # 1: FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt # 2: Bitte Posten

• Die FRST.txt
• Die Addition.txt

Hallo Deathkid535,

vielen Dank für die Hilfe ... hier die Logs:

FRST.txt
Addition.txt

Hi,

Windows XP SP2 hat seit 9 Jahren keine Updates mehr erhalten. Alle Passwörter die auf dem System eingegeben wurden sind schon irgendwo verkauft. Onlinebanking überwachen, ob nicht irgendwas vorfällt.

XP bekommt allgemein keine Updates mehr. Da ist die Frage, wie sinnvoll eine Bereinigung da noch ist.

Hallo Dennis,

dass auf dem PC aktuell SP2 installiert ist, liegt nur daran, dass ich das letzte Backup aufgespielt habe und es bisher vermieden habe, weitere Microsoft-Updates zu installieren.

Dass XP allgemein nicht mehr ganz zeitgemäß ist, dürfte klar sein. Wenn es dem Besitzer möglich wäre, sich einen neueren PC zuzulegen (neuere Betriebssysteme laufen auf dem Relikt leider nicht), hätte er das sicherlich schon getan. Bis auf weiteres ist dieser PC, allerdings, das was ihm zur Verfügung steht (kostenlose Spenden neuerer PCs nimmt er aber sicherlich gerne entgegen) ;)

Onlinebanking wird darauf meines Wissens nach nicht betrieben. Darauf wird höchstens mal ein Brief geschrieben, Emails abgerufen und über Skype kommuniziert.

Hi,

also bereinigen? Bedenke, dass der PC mit XP immer und immer wieder infiziert werden wird. Als Alternative könnte man ein Linux installieren, aber ich weiss nicht wie der Besitzer dem gegenüber steht.

Ja, der PC soll trotz allem bereinigt werden.

Ziel dieser Aktion hier, soll ein sauberes Windows sein, das ich dann hinterher auf einen möglichst aktuellen Stand bringen möchte (das ist dann ja aber das kleinste Problem). Davon lege ich dann ein sauberes Backup für den Fall der Fälle an.

Leider ist der Besitzer des PCs ein schon etwas älteres Semester, das sich selbst mit so einfachen Anweisungen, wie dem aufrufen des Taskmanagers oder dem durchführen einer Systemwiederherstellung mehr als schwer tut.

Die letzte telefonische Anweisung mittels Acronis TrueImage das vorhandene (aber leider auch schon verseuchte) Backup aufzuspielen, dauerte bis zum Zeitpunkt, bis das Backup anfing, sich wiederherzustellen, ca. 32 Minuten (wenn man es selbst macht, eine Sache von max. 1-2 Minuten). Da sind alternativen, wie Linux eher ausgeschlossen. Ich kann ihm ja aber mal eine Live-Version zum testen an die Hand geben.

Hi, mal kurz reinhüpf.

Ich kann ja verstehen, dass ältere Menschen sich nicht umgewöhnen können bzw sich damit sehr schwer tun. Das darf dann aber nicht als generelle Ausrede herhalten, das End-Of-Life-Betriebsystem für alle Ewigkeiten zu benutzen und erst Recht kann man dann von so einem System keine Sicherheit mehr erwarten.

Eigentlich dürfte GARKEIN XP-Rechner mehr ins Internet! Ich sehe da acuh Null Sinn drin, ein derart altes System zu bereinigen...und dann musst du es noch auf den letzten aktuellen Stand bringen :balla:

Bis das SP3 und alle Tausend Folgepatches installiert sind hast du ein einteigerfreundliches Linux 10x installiert und dem älteren User auch erklärt wie es benutzt wird. Sowas wie Xubuntu, Lubuntu oder Ubuntu MATE ist von der Bedienung her Windows XP in vielerlei Hinsicht deutlich ähnlicher als ein aktuelles Windows wie zB 8.1 oder 10.

Wie gesagt - das was vorhanden ist, ist das womit man leben muss (ich selbst nutze Win7 o. Win10).

Vorschläge auf ein anderes OS umzuschwenken, mögen zwar nett gemeint sein, sind aber sinnlos.

Wer allerdings 14 Tage Zeit hat, ihm ein anderes OS näher zu bringen und zukünftig auch den Support bei Fragen dafür übernimmt, kann sich gerne melden. Dabei allerdings bedenken, dass das OS mit 1GB Speicher (!DDR1 non-Parity) und einem Celeron-Prozessor auskommen muss. Maus/Tastatur werden noch über PS/2 angeschlossen. Ganz zu schweigen von Treibern für das Board aus dem Jahre 2003. Alles extrem gute Vorrausetzungen für ein aktuelles OS ;)

Bei solchen Leuten muss man garnicht weiter diskutieren. Da kann man eher eine Merkbefreiung ausstellen wenn die nicht kapieren wollen, dass man so ein altes Zeugs mit WinXP nicht mehr ins Internet lassen darf.

Ich weiß auch nicht was solche Bilderbuch-Laien alles an ihrem PC immer umstellen müssen. Wenn die nur ihre Hand voll Programme ausführen müssen macht man zu denen eine Verknüpfung auf den Desktop, fertig.

Wo ist denn da immer das Problem was die da sehen?????? :balla:

Hab übrigens nem älteren Herrn vorletztes Jahr auch zu Linux verholfen. In zwei Jahren hab ich vllt zwei Anrufe von dem bekommen, sonst mit XP fast wöchentlich, tw. auch mehrmals in der Woche.

Hi,

Zukünftig die Programme bitte auf den Desktop ziehen und von dort ausführen.

Schritt # 1: MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


Schritt # 2: TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.


Schritt # 3: Bitte Posten

• Das Log von MBAR
• Das Log von TDSS Killer

Du solltest auf jeden Fall den Besitzer aufklären, warum WinXP eine schlechte Idee ist. Es ist im Endeffekt seine Entscheidung :)

MBAR Log 1 (mbar-log-2015-09-16 (18-34-48).txt):

MBAR Log 2 (mbar-log-2015-09-16 (21-42-25).txt):

TDSS-Killer Log:

Hi,

Schritt # 1: Combofix

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt # 2: Bitte Posten

• Die Combofix.txt

Combofix Logfile:

Hi,

Schritt # 1: FRST-Fix

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt # 2: MBAM

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt # 3: ESET


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt # 4: FRST

Bitte noch ein frisches FRST-Log :)



Schritt # 5: Bitte Posten

• Das Fixlog
• Das MBAM Log
• Das ESET Log
• Das FRST Log