Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Bildschirm wird Weiss

Walter Lehtre1 / 20 Antworten / Baumansicht Nickles

PC WIN XP SP3 Start Abfolge: Einschalten - Windows fährt hoch - Monitor zeigt Hintergrundbild und alle Icons ca. 10 Sekunden - dann wird ein weisser Schirm gezeigt mit dem Maussymbol. Klammergriff ohne Funktion ebenso Alt F4. Beenden von Windows nur mit der Ausschalttaste. Beim Betätigen der Taste kommt kurz das Hintergrundbild und alle Icons. Dann wird abgeschaltet. Im abgesicherten Modus fährt Windows einwandfrei hoch natürlich jetzt ohne Hintergrundbild in Windows Grundeinstellung.
Speichertest im DOS Modus OK - Grafikkarte gewechselt - Funktion wie oben beschrieben - weisser Bildschirm im Normalmodus.
CPU OK im Test auf anderem PC - Virentest mit Kaspersky von CD gestartet - OK
Was ist zu machen?
Vielen Dank für eine sachkundige Hilfe, schlauschwätzen kann ich alleine!
MIt freundlichen Grüßen Walter

celsius Walter Lehtre1 „Bildschirm wird Weiss“
Optionen

Da wird wohl ein Schädling noch mitgeladen, der deinen PC lahmlegt.

Lade dir HiJackThis und poste mal das Protokoll. Das ist ja kein Zustand.

hac004 celsius „Da wird wohl ein Schädling noch mitgeladen, der deinen PC...“
Optionen
Lade dir HiJackThis und poste mal das Protokoll. Das ist ja kein Zustand.

wie denn ???
Walter Lehtre1 celsius „Da wird wohl ein Schädling noch mitgeladen, der deinen PC...“
Optionen

Hallo Celsius - voll ins Schwarze getroffen! HiJackThis vom anderen PC auf Diskette geladen und getestet.
Die log Datei sende ich Dir gerne zu, muß nur noch heraus finden wie. Der PC ist von meinem Neffen.

Zum Fehlerprotokoll: Mit meinem PC von Kaspersky Start-Rettungs CD erstellt.
Vom CD Laufwerk gestartet - Kaspersky macht Update des Virenscanners - findet 29 Objekte -
Trojanisches Pferd Trojan-Ranson.HTML.Agent.n - Trojan-Downloader.win32.Dapato.myy -
Trojan.win32.weelsof.ny !!!
Alle Objekte isoliert und gelöscht - danach Neustart Windows mit Win HDD Scan und Wiederherstellung
von ca. 25 Dateien. PC Läuft wieder ok.
Aber - Der Rechner ist an Unitymedia angeschlossen (Komplettpaket DSL Telefo und TV) mit Systemstart ist das Unitymedia Sicherheits Paket 9.01 in Betrieb!!! Zeigt auch nichts im Speicher an.
Dieser Schrott hat nichts gemeldet, vor einiger Zeit war schon mal ein Trojaner der ähliches verursacht hat.
Ich werde die Unity Software abmelden lassen und Kaspersky installieren. Habe seit Jahren keine Viren Probleme mit dieser Software.
Vielen Dank für die Hilfe (Erfahrung macht tatsächlich klug)
Grüße Walter L.

celsius Walter Lehtre1 „Hallo Celsius - voll ins Schwarze getroffen! HiJackThis vom...“
Optionen

Hallo,

schön dass es geklappt hat. Ich rate dir trotzdem, dein System neu zu installieren, da es nicht mehr vertrauenswürdig ist. Flash und Java sind Haupteinfallstore für Malware.

Versuch doch mal den Inhalt der log-Datei hier reinzuschreiben (falls es passt) - nur so aus Interesse.


celsius

Walter Lehtre1 celsius „Hallo, schön dass es geklappt hat. Ich rate dir trotzdem,...“
Optionen

Hallo Celsius das wäre geschafft - Grüsse Walter
Gut daß der PC meinem Verwandten gehört, den möchte ich nicht neu installieren puhh.
Ich bin auch nach der Reinigung skeptisch, was Dein Rat bestätigt.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:26:37, on 06.11.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
A:\HiJackThis204(1).exe
C:\WINDOWS\system32\ctfmon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: LitmusBHO - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Programme\Unitymedia\Sicherheitspaket\NRS\iescript\baselitmus.dll
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Programme\Unitymedia\Sicherheitspaket\NRS\iescript\baselitmus.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - Unknown owner - C:\Programme\Unitymedia\Sicherheitspaket\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Unitymedia\Sicherheitspaket\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\Unitymedia\Sicherheitspaket\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programme\Unitymedia\Sicherheitspaket\ORSP Client\fsorsp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 3554 bytes

celsius Walter Lehtre1 „Hallo Celsius das wäre geschafft - Grüsse Walter Gut daß...“
Optionen

Hi,

ist das der komplette Bericht? Mir kommt es so vor, als würden vor allem wichtige Autostartorte fehlen, in denen sich die Malware eingenisten hätte können.

Walter Lehtre1 celsius „Hi, ist das der komplette Bericht? Mir kommt es so vor, als...“
Optionen

Ich konnte die HiJackThis nurim abgesicheten Modus starten.Die Meldung kann deshalb unvollständig sein? Meldungen von Kaspersky Rettungs CD habe ich fotografiert das konnte ich unmöglich abschreiben.
Jedenfalls hat die Rettung 29 schädlich Objekte gefunden.
Ich sende Dir eine Private Nachricht.
Grüsse Walter

IRON67 celsius „Hi, ist das der komplette Bericht? Mir kommt es so vor, als...“
Optionen
als würden vor allem wichtige Autostartorte fehlen

HijackThis ist als Analyse-Tool nicht mehr zu empfehlen, da veraltet und fehlerhaft. O.T.L. ist besser und wesentlich umfangreicher.
celsius IRON67 „HijackThis ist als Analyse-Tool nicht mehr zu empfehlen, da...“
Optionen

Alles klar, danke für den Hinweis. Bei mir hat HJT trotzdem mehr angezeigt.

IRON67 celsius „Alles klar, danke für den Hinweis. Bei mir hat HJT trotzdem...“
Optionen
Bei mir hat HJT trotzdem mehr angezeigt.

Vielleicht hast du ja auch nicht an der richtigen Stelle der langen Logs geguckt. Bei der Masse kann man schon mal was übersehen.
Alpha13 Walter Lehtre1 „Hallo Celsius das wäre geschafft - Grüsse Walter Gut daß...“
Optionen

Ist OK, Ich würde da aber noch Malwarebytes laufen lassen:
http://www.hijackthis-forum.de/tipps-tricks/27959-malwarebytes-anti-malware-anleitung.html

gelöscht_305164 Walter Lehtre1 „Hallo Celsius - voll ins Schwarze getroffen! HiJackThis vom...“
Optionen
...und Kaspersky installieren.
Auch Kaspersky kann der Realität nur hinterher laufen.
shrek3 gelöscht_305164 „Auch Kaspersky kann der Realität nur hinterher laufen.“
Optionen

Auch Kaspersky kann der Realität nur hinterher laufen.
Und manchmal noch nicht einmal das:
http://www.nickles.de/thread_cache/538953140.html#_pc

Gruß
Shrek3

shrek3 Walter Lehtre1 „Bildschirm wird Weiss“
Optionen

Rufe im abgesicherten Modus über Start -> Ausführen -> msconfig das Systemkonfigurationsprogramm auf und nehme auf der Registerkarte "Autostart" die Haken aus allen Autostarts heraus.

Fahre dann den Rechner wieder normal hoch.
Bleibt dann der Desktop so, wie er sein sollte, setze nach und nach wieder die Haken in den Autostart, bis der weiße Bildschirm wieder erscheint.

Teile uns dann den Prozess und dessen Dateipfad mit, der diesen Bildschirm auslöst.

Gruß
Shrek3

Walter Lehtre1 shrek3 „Rufe im abgesicherten Modus über Start -> Ausführen ->...“
Optionen

Hallo Shrek3 die Lösung ist nicht schlecht da hab ich wieder was dazu gelernt.
Werde mir das für ein anderes Mal abheften.
Es hatte sich ein Trojan-Ransom.html.Agent.n und Trojan.win32.weelsof.my eingenistet.
Trotz eingechalteter Virenscan Software von Unitymedia. Dieser Schrott hat beim Scannen nichts erkannt.
Konnte nur mit einer Notfall CD (mit einem anderen PC) von Kaspersky die Trojaner löschen und das System zum Laufen bringen.
Trotztdem vielen Dank für Deine Hilfe,
Grüsse Walter L.

IRON67 Walter Lehtre1 „Bildschirm wird Weiss“
Optionen

Schon bei "weißer Bildschirm" war mir klar, dass das eine Variante des BKA-Trojaner sein muss und der Fund (Ransom) bestätigt das.

Dass die "Bereinigung" geklappt hat, bezweifle ich aber ganz entschieden. Du hast nur ein Symptom erfolgreich beseitigt, nämlich die Sperre.

Was noch an Malware installiert wurde, schon drauf war bzw. welche Systemdateien und Einstellungen manipuliert wurden, kann dir kein AV zuverlässig mitteilen, insb. dann nicht, wenn es auf dem kompromittierten PC läuft.

Aber auch die sog. Rescue-CDs finden nur einen Bruchteil.

Diese Malware konnte sich installieren, weil die Browser-Plugins wie Java, Flash oder Adobe Reader veraltet bzw. unsicher sind. Dadurch gelingt eine Drive-by-Infektion.

Das System ist komplett neu aufzusetzen, da mit Parallel- und Folge-Infektionen über dieselbe Sicherheitslücke zu rechnen ist.

Nachträgliche Datenrettung vor einem Neuaufsetzen sollte nur über eine Linux-Live-CD erfolgen. Am infizierten System sind keine Datenträger mehr anzustöpseln.

Walter Lehtre1 IRON67 „Schon bei "weißer Bildschirm" war mir klar, dass das eine...“
Optionen

Danke IRON67 wenn das so ist wie beschrieben (Celsius sagte auch, das eine Neuinstallation richtiger wäre) steht meinem Verwandten viel Arbeit ins Haus. Ich werde mal eine Linux CD suchen, aber die Kaspersky Rettungs CD hat so wie gestartet wird ohnehin das System Linux. Da wird was mit Laufwerke mounten und killing Signal usw. gezeigt. Genügt das vielleicht nicht doch????
Grüße Walter

celsius Walter Lehtre1 „Danke IRON67 wenn das so ist wie beschrieben (Celsius sagte...“
Optionen
steht meinem Verwandten viel Arbeit ins Haus
Stimmt. Hätten sie ihr System besser abgesichert, hätten sie diese Arbeit jetzt nicht. Bedenke auch den moralischen Aspekt: Der nächste, dessen PC angegriffen werden könnte, hätte vielleicht durch ein sauberes System deiner Verwandten verschont bleiben können.

Da wird was mit Laufwerke mounten und killing Signal usw. gezeigt.
Genügt das vielleicht nicht doch?
Nein, nein und nochmals nein. Wir helfen gerne, aber du/deine Verwandten müssen es durchziehen. Wenn Fragen sind, versuchen wir eine Antwort zu suchen. Ansonsten könnte es auch gut sein, dass ihr "freundliche Post" von der Telekom/eurem ISP bekommt.

Ubuntu ist z.B. eine sehr einsteigerfreundliche Linuxdistribution. Mit der CD kannst du die Daten sichern und Windows plattmachen. Mounten und killen muss man da eigentlich nicht (manuell).
Walter Lehtre1 celsius „Stimmt. Hätten sie ihr System besser abgesichert, hätten...“
Optionen

Hallo, höre ich da leichte Vorwürfe von wegen Leichtsinnig? Deshalb an alle guten Helfenden diese Nachricht. Das befallene SYSTEM war zu jeder Zeit an das Sicherheits Paket von Unitymedia angeschlossen die auch die Internet Verbindung stellt!!! Bei jedem Start von Windows wurde die gestartete Software angezeigt und bei Verbindung zum Internet automatisch aktualisiert. Der PC ist nicht ständig am Netz und wird nach Beendigung des Betriebs komplett auch vom 220V Netz per Steckerleiste genommen.Warum dieser Schrott eine Infizierung zugelassen hat ist mit nicht bekannt. Er hat auch nichts im abgesichertem Modus gefunden. Mein PC ist seit Benutzung von Kaspersky (ca. 6 Jahre) Virenfrei.

IRON67 Walter Lehtre1 „Danke IRON67 wenn das so ist wie beschrieben (Celsius sagte...“
Optionen
Ich werde mal eine Linux CD suchen

http://forum.chip.de/viren-trojaner-wuermer/notfall-live-system-datenrettung-webzugang-etc-1453431.html

Arbeite mal obige bebilderte Anleitung ab bzw. reiche das an den Bekannten weiter.