[Vista] TR/Crpyt.ZPACk.Gen2 schwarzer Bildschirm, Mauszeiger vorhanden
 

Hi @ all,

mich hat wahrscheinlich genannter Trojaner erwischt.

Gegen Ende letzten Jahres ist es passiert.
Mein Firefox ist auf einmal eingefroren, mehrere Neustarts
und das Neuaufspielen des Netzwerktreibers haben nicht geholfen.
Es passierte immer wieder daselbe, eines Tages war es dann "soweit":
Ich konnte bei der Anmeldung nur noch einen schwarzen Bildschirm
ausmachen, bei dem der Mauszeiger seltsamerweise noch ging.
Ein Anmelden ging weder unter dem normalen, noch unter dem abge-
sicherten Modus.

Glücklicherweise habe ich ein Dualbootsystem mit Windows 7 eingerichtet.
Ein Scan über eine heruntergeladene Bootcd (Trinity) brachte dann das Er-
gebnis, dass mein System mit diesem Trojaner verseucht ist (genaueres könnt
ihr über die Textdateien erfahren).
Mittels dem Avira Rescue System ist es mir vermutlich gelungen, diesen Trojaner
zu entfernen - dafür habe ich 3 Weitere Infektionen drauf.

Da ich mich auf meinem infizierten System nicht mehr anmelden kann, hoffe ich, das
ihr mir da weiterhelfen könnt.

Anmerkung:

Mir ist aufgefallen, dass sich auf der Vistapartition 2 services.mui Dateien befinden.

Vielen Dank schon im Voraus :daumenhoc

Startet das befallene Vista garnicht mehr? Auch im abgesicherten Modus nicht?

Hallo,

leider ist bei beiden Modi keine Anmeldung möglich.
Es unterscheidet sich lediglich die Auflösung des Mauszeigers.

Ich würde dir gerne mal den Auszug der ntbt.log zuschicken.

Mach mal bitte vom sauberen Win7 einen Vollscan mit Malwarebytes - unbedingt die Vistapartition scannen lassen und VOR dem Scan ans Update denken!

Malwarebytes hat im vollständigen Scan nichts gefunden.

Leider sind die Datenbanken nicht ganz aktuell, da es vor zwei Tagen
einen kleinen Zwischenfall mit der userinit.exe auf meinem Win7 System
gab.
So musste ich über einen anderen Weg die Datenbanken manuell aktualisieren.
Leider waren diese Datenbanken vom Stand Anfang März.

Welchen Zwischenfall genau? :wtf:

Es kam - kurz nach der Anmeldung - von Windows die Meldung, dass die
userinit.exe einen Application Error verzeichnete.
In der vorherigen Sitzung habe ich meinen FF (zu diesem Zeitpunkt V 3.6.1.6)
mit der Tabfunktion "etwas" überstrapaziert, sodass mir das Programm
erstmalig einfror - was sonst nur mit der typischen FF-Fehlermeldung
beendet wurde.
Nach der nächsten Anmeldung habe ich sofort auf Viren checken lassen
und die Netzfunktion erstmal deaktiviert. Doch es wurde kein Virus gefunden.
Es gibt allerdings den Hinweis, dass es seit Anfang Februar einen Konflikt mit
Wininit gibt.


Wenn du willst, könnte ich dir einen Auszug aus dem Protokoll schicken (pm).

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Kaum habe ich die Internetverbindung freigegeben, kam mir wieder
dieser Hinweis von Windows (siehe jpg-Datei) mit der Signatur: 0a9e.

Dafür ist jezt ein Log vorhanden mit der neuesten Datenbank.

Die Logdateien von der Vistapartition habe ich gekennzeichnet.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Logfile:

OTL

Extras

Anmerkung:

Seit 3 Tagen ist auch die Windowsuhrzeit um 2 Stunden verschoben.

Bitte deinstallieren. Security Suites sind kontraproduktiver Unsinn, verwende die Windows-Firewall.

Und das lässt sich nicht ändern?

Mich hat nur verwundert, DAS es sich geändert hat.
Ich dachte schon, dass es viellecht an der Bios-Batterie liegen könnte.

So Firewall terminiert, allerdings wäre ich dir sehr dankbar, wenn
du mir eine Seite nennen könntest wo die Konfiguration dieser Firewall
umfassend beschrieben ist. Über die Erstellung von Filter-/Paketregeln, verfüge
ich leider nicht umfassende Kenntnisse.
Diese Threads bin ich schon durchgegangen:

www.trojaner-board.de/37495-windows-firewall-gegen-auf-internet- zugreifende-programme.html
www.trojaner-board.de/14286-aktivierte-windows-firewall-ersetzt-personal- firewall.html
hxxp://www2.fz-juelich.de/jsc//sicherheit/docs/win/inf-xp/xp-firewall.htm


(Ja über Comodo hat man in den letzten Tagen einiges gehört *Zertifikate* Hust.)

Was sind die nächsten Anweisungen? :)

Dann kannste die Comodo oder eine andere PFW eh nicht konfigurieren. Mit der Windows-Firewall bist du bestens dran.


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Wurde ausgeführt.

Ich fürchte damit kriegen wir das Vista nicht repariert. Willst du an Vista unbedingt festhalten? Win7 ist das bessere Vista. Wenn du Win7 hast brauchst du eigentlich kein Vista.

Sagen wir es so, es sind so viele Date(ie)n auf der Platte,
dass es für mich ein ungeheueren Verlust bedeuten würde,
für den Fall, dass ich die Partition nun im Stich ließe. ;)

Wenn es Zeit und Arbeit in Anspruch nehmen wird, dann bin
ich bereit, dies durchzustehen.

Zwei Lösungsansätze konnte ich schon finden.
Zum Einen das Tool FixWin und zum Anderen ein von MS
bereitgestelltes Hotfix (!)

hxxp://www.thewindowsclub.com/repair-fix-windows-7-vista-problems-with-fixwin-utility (Seite hat etwas viel Werbung)
hxxp://support.microsoft.com/kb/977675

Naja - die Dateien selbst kann man noch sichern über das installierte Win7 oder notfalls über ein Live-Linux.

Es sind ja auch benutzerspezifische Einstellungen ;)
Ich habe herausfinden können, dass die Benutzerprofile noch
existieren - es muss also an den Starteinstellungen oder an
manipulierten (korrupten) Startdateien liegen.
Ich habe mir mit Hilfe des WAIK, eines Vista Isos (msdnaa) und der
Recovery DVD des Herstellers ein eigenständiges Vista Home Premium
basteln können. Mein nächster Schritt war, zumindest die für den abgesicherten
Modus benötigten Dateien, mit denen aus der erstellten Vista DVD zu ersetzen -
keine Sorge, die betreffenden Daten habe ich vorher gesichert.
So gelang es mir immerhin von einem Blackscreen zu einem Bluescreen zu
kommen, mit der Meldung, dass autochk nicht einverstanden war.
Um auf das MS-Hotfix zu kommen: darin wird ein Problem zwischen dem
Dateisystemtreiber und autchk beschrieben, allerdings mit einem Blackscreen als
Folge.

Es muss sich entweder um einen Eintrag in der Registry handeln oder um die für die
Anmeldung benötigten Dateien. Vielleicht könntest du mir eine Info per PM zukommen
lassen, welche Einstellungen und Dateien für die Anmelderoutine erforderlich sind.
Um eventuelle Bedenken zu entkräftigen: wenn der Angreifer weiß, um welche Dateien
es sich dabei handelt, wieso sollte es auch nicht der Verteidiger wissen? ;)

btw:

Ich habe auf der Vistapartition immer noch einen Schädling finden können.
Er wurde wohl nicht entfernt.

Wir müssen mit OTLPE ran. Erstell die CD mal auf einem laufenden Windows.

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.

Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote den Rechner mit kaputtem Vista von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

OTL
Leider wurde keine Extras.Txt erzeugt.
Ich bin die Anweisung zum Erstellen dieses Mediums durchgegangen und
bis dahin gab es keine Probleme.
Als der Scan aber durchgeführt wurde, tauchte mehrmals folgende Meldung auf:
"The procedure entry point [Name des Objekts] could not be located in the dynamic link library msvcrt.dll"

Das Programm wurde bei mir im klassischen Win98 Stil geladen.
Bei dem Punkt "Remote User Profile" war mein Win7 Administrator angewählt -
das Häkchen war natürlich gesetzt, es waren desweiteren meine zwei anderen
Benutzerprofile von Win7, ein LocalService, ein NetworkService und ein systemprofile aufgelistet.

Hat man das Programm ein zweites Mal gestartet, war nun der MacOs Stil vorhanden.

Du hast mit OTLPE dein Win7 gescannt - wir wollen aber doch dein Vista untersuchen!

Das ist ja das Merkwürdige.
Korrigiere mich wenn ich falsch liege aber nimmt Windows nicht
die Partition als default, von der zuletzt gebootet wurde?
Ich habe vor dem Scan zweimal von der kaputten Vistapartition (den Eintrag)
booten lassen, bis zum blackscreen.
Anhand des Logfiles konnte ich auch feststellen, dass C: in dem Fall
die betreffende Problempartition war. Das Komische daran war die Tatsache, dass
ich bei OTL nur meine Win7 Profile auswählen konnte.

Ferner wurde der Inhalt der hosts-Datei von Vista angezeigt, nachfolgend kommen aber
Einträge von FF 4, das auf meiner Win7 Partition eingerichtet ist :confused:

Da muss ich jetzt aber auch passen.
OTLPE hab ich schon mehrmals selbst an Windowsrechnern gestartet, aber noch nie an einem PC auf dem zweimal Windows installiert war :nixda:

ich hab den Eindruck dein Vista bekommt man nicht mehr repariert. Von der Vista-DVD zwecks Computerreparatur hast du schon gebootet? Wenn nicht und du das machen willst, wäre ein Komplettbackup ratsam, nichts dass nachher Win7 auch nicht mehr läuft :crazy:

Ok, ich werde nochmals den Vistadatenträger drüber laufen lassen.

Ich muss dabei erwähnen, dass mein Vista auf dem Patch-Stand von Okt 2010
sein dürfte, der Datenträger aber nur auf dem Stand von SP2.
Er hatte schon einmal Fehler erkannt und repariert aber weiter als bis zum blackscreen
kam es leider nicht.

Für eine genauere Analyse kann ich dir die Auszüge aus dem ntbt.log und dem
Ereignisprotokoll schicken, das wäre kein Problem :daumenhoc

Anbei: Es haben doch Viele Win7 mit Xp parallel laufen oder täusche ich mich da ;)

Ist mir selten bis garnicht untergekommen. Es eh schon recht selten, dass welche 2x Windows installiert haben. Wenn zwei Betriebssysteme, dann IMHO eher Windows und Linux.

Ok, ich habe bfvsec nochmal drüber laufen lassen und es kam nur ein Hinweis
mit der Meldung: Das Problem wurde möglicherweise durch nicht angegebene
Systemkonfigurationsänderungen verändert. :rolleyes:

Die Fehlermeldung von OTLPE kann man jetzt eingrenzen, sie taucht
standargemäß bei "AeLookupSvc", "Firefox4" und Windows\Fonts\Global..." auf.
Eine Extra.Txt wird nicht ausgegeben.

Ich habe noch mir nochmal die Vistapartition unter die Lupe genommen, dabei ist mir
aufgefallen, dass der Inhalt von Windows\installer (ein Ort wo ein Virus drauf war)
über 1 GB groß ist. Ist das normal?
Ferner befinden sich im catroot Ordner 2 bak Ordner mit catalog-Dateien und eine Tempdatei.

Desweiteren habe ich schonmal versucht das Hotfix anzuwenden, was unter Bootbetrieb
ohne WuAuSvc ja schwer fällt (mus-Datei).
Ich habe daraufhin mal einige dll-Dateien neu registrieren lassen (den Inhalt findest du unter IEreg.bat.txt), dabei wurde die "wulctui.dll" nicht gefunden.
Bei der "shdocvw.dll" gab es ebenfalls Probleme, scheint für den Explorer wichtig zu sein.

Soviel dazu ;)

Okay, wie es aussieht werde ich Vista nochmal neuinstallieren müssen,
hätte allerdings vorher nochmal die Möglichkeit diverse Dateien von meinem
Wim-Abbild, mittels Bootbetrieb, mit denen der Vistapartition auszutauschen
und neu registrieren zu lassen :D

Ich habe von der Win7-Partition nochmal einen Scan machen lassen.
Die Uhrzeit funktioniert zwar wieder, jedoch öffnen sich die Ordner immer in
einem neuen Fenster.

Kann man das fixen oder sollte ich mal einen Scan mit Gmer machen?


Das Problem liegt darin nicht Schadcode unwissentlich auszuführen, sondern
darin, dass die verwendeten Programme z.T. erhebliche Sicherheitslücken aufweisen.

Natürlich muss man seine Programme ständig aktuell halten. Aber man muss auch eingeschränkte Rechte verwenden, damit falls so eine Lücke usgeführt wird, der Schädlinge nicht gleich ohne Weiteres Adminrechte hat.

An diesem kaputten Vista und 7 würde ich ehrlich nicht mehr viel rumdoktorn, aus der Ferne kann ich die Stabilität und Funktionstüchtigkeit nicht richtig abschätzen, hört sich aber echt nicht gut an.

Ich würde Daten sichern und das OS sauber neu aufsetzen. Es gibt eigentlich auch keinen Grund Vista und 7 parallel zu betreiben oder hast du einen bestimmten Grund? :dummguck:

Das ist ja der springende Punkt: ich habe mir extra für den Internetzugang einen
Standardbenutzeraccount eingerichtet. :uglyhammer:

Die Vistapartition war meine Videobearbeitungs und Spielepartition, von daher kann ich mich nur
schweren Herzens davon trennen. Win7 war mehr für Internet und andere Anwendungen gedacht.
Ich wäre dir sehr dankbar, wenn du dir nochmal die OTL-Dateien von Win 7 anschauen
könntest.

btw:
Das ist der große Unterschied zwischen Windows und Linux: bei Linux kann man, dank
Paketmanagment, selbst bestimmen, was aktualisiert werden soll, während man bei
Windows gleich die komplette Anwendung aktualisieren muss.
Bestes Beispiel ist Firefox, anstatt die Programmteile (dll?) auszutauschen, die für XSS
anfällig waren, muss man gleich auf die komplette 4er Version umsteigen.
So war ich z.B. davon überzeugt, dass der einzige Unterschied zwischen der 3.6.1.6er Version und der 4er Version derjenige war, dass das Programm mit einem neuen Design und einer neuen Javascriptengine bestückt wurde...

Wenn ich die Partition neu einrichte, macht es Sinn sie als virtuelle Festplatte anzulegen?
Und zu welchem Emulator würdest du mir raten, Wine for Windows oder Sandboxie?

Wieso lässt sich beides nicht mit Win7 regeln? :confused:

Ähm, Windos hat kein Paketmanagement. Aus diesem Grund muss man so ziemliche jede nicht-MS-Anwendung manuell updaten. Was dabei ausgetauscht wird, ist im Prinzip egal. Über das Paketmanagement von Linux kann eine neue Software-Version auch mehr als nur eine Datei enthalten ;)

Wer hat dich denn gezwungen auf FF4 umzusteigen? :wtf:
Über die interne Updatefunktion des FF3.6 hättest du die aktuellste Version des FF aus dem 3.6-Zeit bekommen...

Was verstehst du du unter virtueller Festplatte?

Wine und Sandboxie sind keine Emulatoren.
Sandboxie kann die Sicherheit etwas erhöhen, aber Browser würde ich doch "normal" mit eingeschränkten Rechten ausführen. Jedenfall hab ich es bsiher immer so gemacht und noch keine Probleme bekommen. Natürlich kann man IE, FF und Opera über Sandboxie ausführen ;)

Der PC war Ende 2008 in den Läden, zu diesem Zeitpunkt gab
es noch kein Windows 7.

Genau DAS ist doch der Unterschied zu Linux. Während man bei Windows nur die
komplette Anwendung updaten kann/muss ( komplette Anwendung V. 1 --> komplette
Anwendung V. 2), kann man bei Linux wählen, welche Teile der Anwendung aktualisiert
werden sollen - auch wenn der Paketmanager entsprechende Hinweise ausgibt
(Anwendung Teil A V. 1 --> Anwendung Teil A V. 2
Anwendung Teil B V. 1 --> Anwendung Teil B V. 1).

hxxp://www.heise.de/security/artikel/Abhilfe-gegen-Cross-Site-Scripting-und-Clickjacking-1214277.html

Ferner lief zu diesem Zeitpunkt die aktuellste Version 3.6.1.6 auf dem PC.

Es gibt (erst seit Windows 7?) die Möglichkeit unter diskpart virtuelle Festplatten
einzurichten, dummerweise unterstützen Diese nur das hauseigene MS Virtual PC.

Da ich eigentlich gar keine Zeit dafür habe, jedes Update in ein wim-Abbild einzupflegen,
dachte ich, es sei das Beste, ein virtuelles Abbild einer Momentaufnahme zu erstellen,
welches gelegentlich gepatched wird.
Jetzt weiß ich allerdings nicht, ob ich Virtual PC oder ein anderes Virtualisierungssystem
nehmen soll.

Desweiteren stellt sich die Frage, ob es sinnvoll ist unter einem virtuellen System zusätzliche Programme
wie Sandboxie oder Wine zu verwenden - oder führt es am Ende nur zu Komplikationen (siehe gleichzeitige Verwendung mehrerer Firewalls)?

Was ist denn das für ein Zusammenhang? Was hat das damit zu tun, dass du im Grunde jede Vista-kompatible Anwendung auch auf einem Win7 ausführen kannst? Oder gibt es welche deiner Ansicht nach die das nicht können? :pfeiff:

Dann warst du doch gut gepatcht. Die Version aus diesem 3.6er Zweig hat bekannte Lücken geschlossen.

Wozu brauchst du überhaupt eine VM? Testest du so viel unsicheres Zeugs aus?
Was ist mit VMWare?

Siehe oben. Ich seh in einer VM eine Chance mal was etwas unsicheres/unbekanntes zu testen. Die Frage ist, was du dir unter VM vorstellst und was du vorhast mit ihr zu machen.
Übrigens kann man mit geeigneten Maßnahmen auch ohne VM oder Sandboxie sicher unterwegs sein...

Die Videobearbeitung hat bei mir mit dem Vistasystem angefangen, zeitlich gesehen
konnte ich noch gar nicht auf Win7 zugreifen.
Jetzt muss ich wohl oder übel, doch sämtliche Einstellungen auf
Win7 migrieren...

Genau das ist der Punkt: selbst wenn ich auf dem neusten Stand bin, sämtliche
Updates von MS und Programmaktualisierungen habe, mit eingeschränkten Rechten
surfe, so kann ich mir TROTZDEM Schädlinge einfangen, die in der Lage sind mein System zu manipulieren.

Ich vermisse langsam die 90er, wo es ausreichte mit einer Firewall und einem Virenscanner ausgerüstet zu sein.

Hast du dir mal einige Seiten angeschaut? Da ist die Zusammensetzung folgende:
10% Eigenbau und 90% externe Dienste (Statistiken, Werbung, ...).

Die da wären?
(Extrapartition für das Internet?)


Zusatz:
Ich habe meine Win7-Partition mit dem Kasperskytool checken lassen und es wurde fündig. Das Merkwürdige war, das ich diese Datei problemlos löschen konnte, Kaspersky aber nicht.

Virenscanner und Firewall allein haben noch nie ausgereicht. Nur werden die Schwachstellen, die von Sicherheitssoftware prinzpiell nicht abgedeckt werden können, heute sehr viel stärker ausgenutzt!

Alles genau erklärt steht hier => Kompromittierung unvermeidbar?