Trojaner-Board - VirusProtectPro Vorfall, jetzt schwarzer Bildschirm

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - VirusProtectPro Vorfall, jetzt schwarzer Bildschirm (https://www.trojaner-board.de/41685-virusprotectpro-vorfall-schwarzer-bildschirm.html)

VirusProtectPro Vorfall, jetzt schwarzer Bildschirm

hallo,

heute morgen habe ich mir den Virusprotectpro eingefangen. Habe zunächst die Prozessstruktur von auffälligen Prozessen wie iesmin,imsmain usw beendet, sodass sie dauerhaft blockiert wurden.
Anschließend habe ich Virusprotectpro unter /programme/ gelöscht. Dann noch weitere auffällige Registry-Einträge gelöscht. Des weiteren habe ich alle veränderten Dateien die zum
Zeitpunkt des Befalls verändert wurden gelöscht. Nun lief der PC ein weniger flotter, denoch lief unten in der Taskleiste noch die einggeschleuste Warnung, dass Virusprotectpro heruntergeladen werden solle, um
Virenbefall zu stoppen. Habe dann im abgesichterten Modus escan drüberlaufen lassen, der fand noch einen Virus, konnte ihn aber nicht löschen. Also hab ich dann noch den SmitFraudFix ausgeführt. Die Fehlermeldung in der Taskleiste erschien nicht mehr. Dann ließ ich noch Spyhunter drüberlaufen, der aber wieder nichts beheben konnte, sondern nur finden konnte. Außerdem fand antivir auf meinem anderem PC spyware in Spyhunter. Dann deinstallierte ich
nod32 und meine Firewall, mit gekappter inet-verbindung und installierte kaspersky 7 inetsecurity auf dem normalen MOdus, da unter dem abgesicherten Modus wegen Richtlinien die der Administrator vorgab Kaspersky nicht zu installieren sei. Nach der Installation startete ich den Computer neu und nun startet er garnicht mehr.
Weder im abgesicherten Modus noch im normalen. Er bleibt nach dem disk und cd boot hängen mit schwarzen Bildschirm.

Ich danke im voraus,
shir

EDIT: Wichtig ist dass ich unbedingt noch einmal auf die C:// Festplatte zugreifen kann, da dort Dateien von meiner Mutter sind.

EDIT2: HIJACK und ESCAN Protokolle sind auf dem defekten Computer, sodass ich sie nicht senden kann. Ich war mir nicht im klaren, dass der Computer dann auch nicht mehr zu starten ist

Hallo.

Zitat:

Nach der Installation startete ich den Computer neu und nun startet er garnicht mehr. Weder im abgesicherten Modus noch im normalen.

Hört sich an, als wurde das System "kaputtbereinigt". :(

Zitat:

Er bleibt nach dem disk und cd boot hängen mit schwarzen Bildschirm.

Er startet auch von keiner CD mehr? :confused:

Zitat:

Wichtig ist dass ich unbedingt noch einmal auf die C:// Festplatte zugreifen kann, da dort Dateien von meiner Mutter sind.

Hm also das wär das erste was ich vorm Bereinigen gemacht hätte, alle wichtigen Daten erst wegbrennen oder auf ext. Platte sichern oder so.

Sofern der Rechner noch von CD bootet könntest du Daten mit Knoppix oder BartPE sichern. Notfalls Platte ausbauen und in anderen Rechner einbauen, Daten rüberschieben.

Habe mit Knoppix, nur ein Teil der Daten retten können. Die externe Festplatte habe ich zwangsgemountet mit ntfsfix und ein Teil der Dateien rübergezogen. Als die ext. Platte voll war, hab ich sie auf dem anderen Computer abgeladen und nochmals Knoppix gestartet. Nun funktioniert das zwangsmounten jedoch nicht mehr und es kommt folgender Fehler:

Zitat:

Mounting volume...
Failed to startup volume: Invalid argument
FAILED
Attempting to correct errors ... FAILED
Failed to startup volume: Invalid argument
Volume is corrupt. You should run chkdsk

Die hijackthis.log habe ich retten können:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:35, on 2007-08-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.virusprotectpro.com/?aff=1012
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroScoutOptions.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3857 bytes

Und einen zum Teil ausgeführten escan, dessen Protokoll (mwav.log) ich aufgrund seiner Größe von 7mb auf einem uploadserver geladen habe:
http://www.uploadpower.com/de/download.php?id=7AD173CC1

Zitat:

Die externe Festplatte habe ich zwangsgemountet mit ntfsfix und ein Teil der Dateien rübergezogen.

Argh...hast du mit Knoppix auf NTFS geschrieben oder nur gelesen?
Das Schreiben auf NTFS ist mit Knoppix m.W. nicht besonders sicher...:dummguck:

Was du mit der externen Platte tun musst ist klar => You should run chkdsk!
Benutz den Befehl chkdsk auf der ext. Platte mit den Optionen /f /r /v also chkdsk x: /f /r /v

Wenn du mit Knoppix auf die externe Platte schreiben willst, solltest du das Dateisystem FAT32 benutzen, das können Windows und Linux problemlos schreiben und lesen. Andere Möglichkeit wäre gewesen ein BartPE als Rettung zu benutzen, da BartPE auf Windows XP basiert ist schreiben auf NTFS problemlos möglich.

Im Logfile kann ich immernoch Reste vom Zlob erkennen, ich würde dir hier aber keine weitere Bereinigung mehr empfehlen, da das System anscheinend durch die anderen Bereinigungsaktionen zerschossen wurde, das lohnt nicht mehr ein halbtotes OS, das nicht mehr bootet, von Schädlingen zu befreien.

=> Nach Datensicherung neu aufsetzen.

Zitat:

Argh...hast du mit Knoppix auf NTFS geschrieben oder nur gelesen?

Also ich habe von meiner befallenenn platte dataeien auf die ext. platte gezogen, und ich glaube auch einmal eine datei vom deskop knoppix auf d. ext. platte gezogen zu haben.

habe nun chkdsk dev/sda1 /f /r /v in die konsole eingeben, doch die konsole erkennt den befehl nicht.

Zitat:

Wenn du mit Knoppix auf die externe Platte schreiben willst, solltest du das Dateisystem FAT32 benutzen

geht das auch noch mit knoppix das dateisystem auf fat32 umzustellen?

Zitat:

habe nun chkdsk dev/sda1 /f /r /v in die konsole eingeben, doch die konsole erkennt den befehl nicht.

Das ist auch ein Windows-Befehl ;)

Zitat:

geht das auch noch mit knoppix das dateisystem auf fat32 umzustellen?

Da ist mir keine Möglichkeit bekannt. Du könntest aber mit einem geeigneten Programm (z.B. Partition Magic) eine NTFS-Partition nach FAT32 konvertieren. Ist aber mit Vorsicht zu genießen, alle wichtigen Daten auf dieser Partition sollten vorher gesichert werden.

Andere Möglichkeit wäre es, die Partition auf der externen Platte mit FAT32 zu formatieren - auch hier Daten nat. vorher sichern ;)