Gelbe Gefahrenmeldung beim Booten
 

Ich hoffe, ich bin hier in diesem Sub-Forum richtig.

Seit 2 Jahren surfe ich fast nur noch mit eingeschaltetem Acronis TrueImage im Probiermodus (Try&Decide). Nach dem Surfen fahre ich den PC runter, und alle Änderungen (auch Viren, meine ich) sind weg. Resultat: Seit dieser Zeit hatte ich keinen einzigen Schädlingsbefall mehr.

Bis gestern. Beim Surfen hängte sich Firefox 4.01 plötzlich auf. Nichts ging mehr. Ich wollte Firefox mit dem Taskmanager beenden. Beim Drücken von Strg Alt Entf kam die Meldung "Windows wird heruntergefahren", und tatsächlich fuhr mein XP Prof. herunter und startete neu.

Beim Booten zunächst kurz die übliche weiße Schrift auf schwarzem Grund mit Systemmeldungen, dann aber, neu, eine Meldung in _gelber_ Schrift auf schwarzem Grund (noch nie dagewesen!):
Trend ChipAwayVirus has detected a boot virus on your hard disk!
Press <Enter> for more information (recommended). <C> to continue booting.
"Complete Virus Protection for the Enterprise" Trend Micro - hxxp://www.antivirus.com

Ich habe nach ähnlichen Meldungen gegoogelt, aber nur immer Meldungen gefunden, die von einem "Guard" sprachen, also einer ständigen Überwachung durch das Bios. Das Wort "Guard" fehlt jedoch in meiner Meldung.

Mich macht stutzig, dass hier von antivirus.com die Rede ist. Ich meine, mal irgendwo gelesen zu haben, dass "Antivir" seriös ist, "Antivirus" jedoch nicht.

Ich habe "C" gedrückt und den Rechner hochgefahren. Dies dauerte eine gefühlte Ewigkeit. Der Desktop schien unverändert bis auf eine Verknüpfung, die doppelt erschien: Aufruf der Postbank-T-Online-Software, die auf dem PC installiert ist. Die Kopie wies jedoch dieselben Verknüpfungen auf wie das Original. Nach Löschen der zweiten Verknüpfung und Neustart war die Kopie wieder da. Erst beim erneuten Versuch wurde keine Kopie mehr erzeugt.

Das Surfen geht jetzt viel langsamer. Und jetzt, beim Schreiben dieser Anfrage, fehlt im Eingabefeld der Cursor, was das Schreiben etwas erschwert.

Avira Antivir hat nichts gefunden, trotz aktueller Definitionsdatei. Keine MBR-Fehler, jedoch 1 verstecktes Objekt, im Report an allerletzter Stelle, unter der Rootkitsuche.

Im Bios (Award) könnte ich die Virussuche auf "Disabled" stellen, habe es aber noch nicht getan. Ob die gelbe Meldung damit verschwindet, weiß ich noch nicht. Mein Board ist von Asus.

Hat jemand eine Idee zum schnellen Finden des Fehlers, falls es überhaupt einen gibt? Ist die gelbe Meldung vertrauenswürdig oder eine fälschung? Alternativ würde ich ein älteres Acronis-Image aufspielen.

Gruß
Ulli

P.S. Obwohl ich im Beitrag immer "http" geschrieben habe, wird das geändert in "hxxp". Ich kann nichts dafür und kann es nicht nachträglich ändern.

das ist sicher ne malware, du nutzt zwar true image, ich würd mich aber freuen wenn du ne stunde zeit hast, ich will mir mal die dateien hohlen die zu der malware gehören und an antivirus hersteller einsenden.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Hallo Markus,

hier sind die beiden Dateien:

OTL.txt:OTL Logfile:
--- --- ---


Extras.txt:OTL Logfile:
--- --- ---


Kannst Du damit schon was anfangen? Meinst Du, bei der gelben Meldung handelt es sich um eine Fälschung? Ich habe sie übrigens inzwischen im Bios auf "disabled" gestellt, hat geklappt. Der Cursor ist übrigens wieder da. Vielleicht ist da doch nix verseucht.

Gruß
Ulli

kann jetzt auf die schnelle nichts entdecken, setze mal zurück und schau ob das problem gelöst ist

Wodurch sollte es denn jetzt gelöst sein? Ich habe doch bisher nichts geändert.

Ob es gelöst ist, das kann ich nicht mit Sicherheit feststellen. Ich habe schon den Eindruck, daß das System jetzt langsamer arbeitet und auch langsamer bootet, aber irgendwelche Messungen habe ich kurz vorher nicht gemacht und kann folglich keine hieb- und stichfeste Aussage machen. Bis sich nach dem Aufbau des Desktop die ersten Programme in der Fußzeile zeigen, dauert es jetzt jedoch viel länger.

Mit "setze mal zurück" meinst du sicher Neustart, oder? Das habe ich gemacht. Die gelbe Meldung kommt nicht mehr; wenn ich im Bios allerdings die Virensuche auf "enabled" stelle, dann ist die Meldung gleich wieder da.

nein ich meinte mit zurück setzen true image nutzen und ein backup einspielen.
dauert ja nicht lange.
und ist wesendlich schneller als die suche nach dem problem
ich kann dir dann noch n paar tipps geben mit denen du das system noch sicherer machst.

Ach so, das meinst Du. Das schaffe ich heute aber nicht mehr. Da ich seit dem letzten Backup doch ein paar Änderungen gemacht habe, müßte ich erst ein neues Backup von dem jetzigen System machen für alle Fälle und dann ein älteres Backup einspielen. Das dauert doch zu lange für heute. Und morgen und fast die ganze nächste Woche ist schon ausgebucht mit der Familie und diversen Terminen. Aber ich werd's bestimmt machen!

Kannst Du nicht die beiden Dateien von so einer Antivirus-Firma prüfen lassen, so wie Du es angekündigt hast? Oder bringt das jetzt nichts? Wenn ich mit Deiner Hilfe das System ohne größeren Aufwand sauber kriegen könnte, ware es mir eigentlich am liebsten. Und auch Deine Tips für ein sichereres Systen würden mich sehr interessieren.

naja ein komplettes system backup von nem infizierten system ist ja n bissel sinnlos.
du kannst höchstens deine wichtigen dateien sichern.
ich hab noch keine malware gesehen, wir können halt noch prüfen.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

So, hier ist das Combofix-log:

Combofix Logfile:
--- --- ---


Übrigens: Nach dem Combofix-Scan ist mein Desktop jetzt mit schwarzem Hintergrund statt beige.

ja, ich sehe hier auf jeden fall einen fake alert, du hast malware auf dem pc.
nun ist zu überlegen, weiter scannen oder backup zurück spielen.
desktop hintergrund mal manuell endern.
wenn du scannen willst:
download malwarebytes:
Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Wo siehst Du diesen fake alert? Ich würde gern durch die Korrespondenz mit Dir etwas dazulernen; nur deshalb frage ich. Und gibt diese Meldung einen Hinweis, in welchen Dateien oder Ordnern diese Malware sich befindet? Hat man eine Chance, den Schädling mit diesem Hinweis loszuwerden? Oder sind weitere endlose und zeitaufwendige Scans nötig?

Ich habe mich fast dazu entschlossen, einfach ein Backup zurückzuspielen. Dazu muß ich aber vorher noch von vielen Programmen erzeugte Daten sichern, die nach dem Backup entstanden sind. Leider liegt das Backup schon 2 Monate zurück.

Kann man eigentlich mit Acronis nur die Systemdateien zurückspielen, so daß die Daten unangetastet bleiben? Oder ist die Malware außerhalb der Systemdateien? Ist die gelbe Meldung beim Booten eigentlich ein fake oder echt?

Du siehst, ich kann noch viel lernen, und das möchte ich auch, deshalb habe ich mich zuerst gegen den einfachsten Weg, das Backup, gesträubt. Aber wenn es so zeitraubend ist und vermutlich auch noch unsicher, dann gehe ich den Backup-Weg.

A propos Backup: Würde es auch mit dem Zurückspielen eines Wiederherstellungspunkts gehen?

Schönen Sonntag!
Ulli

Übrigens: Der korrigierte Desktophintergrund läßt sich nicht abspeichern; nach jedem Booten erscheint er erneut schwarz. Es gibt wohl noch mehr Ungereimtheiten...

-------\Legacy_SSHNAS
dies ist ein bestandteil eines fake alerts, der spielt werbung ein zb.
Trend ChipAwayVirus scheint tatsächlich eine legitime funktion zu sein, aber ich weis nicht, wie gut diese ist.
ja, gehe den backup weg, das ist das sicherste.
ich nutze leider kein Acronis und kann dir das deswegen nicht genau beantworten.
aber ich denke nicht das es so eine funktion gibt, die gesammte partition wo windows drauf ist wird zurück gesetzt.
warum erstellst du denn keinen zeitplan für automatische backups, 1x pro woche oder so? für die zukunft vllt ne überlegung wert.
true image kann das auf jeden fall.

Danke. An die automatischen Backups habe ich auch schon gedacht, doch dann müßte ich dauernd bzw. zum Zeitpunkt des autom. Backups meine ext. Backup-Festplatte eingeschaltet haben, die ich sonst fast nie brauche.

So, jetzt mache ich die Rückspielung, wohl am sichersten mit einer extra dafür angefertigten DVD.

Rückspielung mit Acronis hat endlich geklappt. Hat 6 Stunden gedauert für 37 GB Image-Datei. Ich konnte nur die zeitaufwendige Sektor-für-Sektor-Methode anwenden; alles andere war gescheitert. Dann stundenlanges Rückspielen der persönlichen Daten, aber jetzt bin ich fertig.

Jetzt ist wenigstens die Desktopfarbe so, wie ich sie möchte, dauerhaft eingestellt. Nach wie vor existieren jedoch folgende Probleme:

1. Beim Booten erscheint nach wie vor diese gelbe Fehlermeldung, die ich oben beschrieben habe. Natürlich kann ich die abstellen, aber sie weist wohl doch auf einen Fehler hin.

2. Firefox
a) Nach jedem Beenden von Firefox erscheint ein Fenster mit folgender Meldung: "Entschuldigung, ein Problem ist aufgetreten und Firefox ist abgestürzt. "Es wird versucht, Ihre Tabs und Fenster bei einem Neustart wiederherzustellen." Dabei ist Firefox gar nicht abgestürzt.

b) Bei jedem Aufruf der Seite www.postbank.de stürzt Firefox ab. Natürlich erscheint auch danach diese Meldung. www.postbank.de ist problemlos mit dem Internet Explorer und Google Chrome erreichbar.

Ich sehe schon kommen, daß ich Firefox de- und wieder neuistallieren muß. Vermutlich habe ich mit MozBackup einen Schädling mitgesichert und wieder zurückgespielt. Was meinst Du?

wie alt war das backup denn? hattest du früher solche probleme schon mal?