Guten Tag,

Ich habe auch das hier bereits mehrfach beschriebene Problem des weissen Bildschirms mit "Warten auf Verbindung", das keine weitere Aktion über Maus oder Tastatur zulässt.

Ich habe diese Phänomen allerdings nur bei einem Benutzer unter Windows 7 Home Premium (Ver. 6.1.7601), so dass ich über Neustart und als Administrator nach wie vor auf alle Daten zugreifen und auch Software installieren konnte.

Nach dem ersten Auftreten habe ich über Avira einen vollständigen Scan durchführen lassen und vier Viren gefunden:
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Visa.G

Jedoch wurden nur drei in das Quarantäne-Verzeichnis verschoben, zu EXP/CVE-2012-0507 gab es keinen weiteren Hinweis im Protokoll.

Aufgrund der Hinweise auf eine Sicherheitslücke mit älteren Javaversionen, habe ich JAVA ver. 6.18 deinstalliert und die neueste JAVA-Version 7 installiert. Das Problem mit dem weißen Bildschirm bei dem einen Benutzer blieb jedoch erhalten.

Die von Euch beschriebenen Analysetools (dds, gmer) habe ich installiert und die entsprechenden log-files sind ebenso wie die aus Avira angehängt.

An die Analyse mit OTLPENet habe ich mich noch nicht herangewagt, da dies im Forum immer nur bei PC's verwendet wurde, bei denen keine Programme mehr gestartet werden konnten.

Gibt es eine Möglichkeit, den "Benutzer" zu reparieren oder ist es das einfachste, die Daten über Admin zu sichern und den beschädigten Benutzer komplett zu löschen.

Für Eure Hilfe bereits im voraus besten Dank

Beste Grüße

Robbo

hi
mache die analyse mit und poste die logs, dankeOTLPENet

Guten Abend,

ich habe OTLPE auf die CD gebrannt und den Rechner von der CD aus gebootet. Zuerst blauer Bildschrim. Nach Umstellung im bios auf "ide" lief der REATOGO-X-PE desktop hoch, dann allerdings keine Fragen nach remote registry etc. Bei der Auswahl eines Laufwerks bricht der scan mit "kein windows 2000 oder höher" ab, so dass ich nun kein otl.log file erzeugen kann.

Kann man das OTL-tool ggf. auch unter windows 7 von der Festplatte aus starten?

danke

Robbo

hi, klappe mal bei der laufwerks auswahl alles nacheinander auf, bis du den ordner windows finest, da drauf klicken, dann gehts los.

Guten Abend Markus,

danke, hat geklappt, anbei das log file.

habe aber aus versehen, den haken bei "load all remaining users" drin gelassen. wenn das bei der analyse hinderlich ist, starte ich den vorgang nochmal (hätte mir vorher von der anleitung einen ausdruck machen sollen ).

(nachtrag 22:13h: habe eben nachgelesen, dass es mehrere log-files sein müssten - ich führe den scan mit den korrekten parametern nochmal durch und lade dann die anderen logfiles dazu)

kannst du mir noch einen hinweis geben, wie groß das risiko ist, bei einem backup den virus "mitzusichern", obwohl alle scans "no viruses found" ausgeben. ich würde mir ungern meine sicherungskopien infizieren.

danke für deine unterstützung

gruss

robbo

habe den scan jetzt mit dem deaktivierten haken nochmal durchgeführt:
beim drüberscrollen entdecke ich keine großen unterschiede in der struktur des log-files und das file ist nur 1kB kleiner.
habe aber nur eine otl.txt gefunden (habe mit der desktopsuche kompletten PC durchsuchen lassen).

Zitat:

Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

ist es möglich, dass es bei mir nur ein log file erzeugt wurde?

danke + gruss

robbo

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

:OTL
O4 - HKU\Robert_ON_G..\Run: [5kS43ADO0bzprWo] G:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe (Programma Gestionale)
O4 - HKU\Gast_ON_G..\RunOnce: [HKCU] G:\Windows\System32\oobe\info\HKCU.vbs ()
O4 - HKU\Robbo_ON_G..\RunOnce: [HKCU] G:\Windows\System32\oobe\info\HKCU.vbs ()
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\Robert_ON_G Winlogon: Shell - (C:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe) - G:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe (Programma Gestionale)
O20 - HKU\Robert_ON_G Winlogon: UserInit - (C:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe) - G:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe (Programma Gestionale)

:Files
G:\Users\Robert\AppData\Roaming\soundblaster_fx648.exe
G:\Windows\System32\oobe
g:\Users\Robert\AppData\LocalLow\Sun\Java\Deployment\cache
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hi,

danke für den fix, aber bevor ich starte habe ich noch eine verständnisfrage:
warum 2. pc?

Zitat:

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort

muss ich fix.txt von einem 2. pc aus auf einen stick kopieren oder kann dies auch von meinem "problem-PC aus geschehen? Der funktioniert ja noch, nur den einen user kann ich nicht mehr benutzen.
den input beim scan habe ich direkt von der festplatte reingeladen.

danke + gruss

Robbo

du führst doch otl von cd aus, du musst das ja für das betroffene konto machen, also dann fix auf nen stick kopieren

Hallo Markus,

vielen Dank für deine kompetente, zügige und professionelle Unterstützung!

Upload habe ich ausgeführt. Ich habe aber keine Rückmeldung erhalten, ob erfolgreich ageschlossen wurde. Soll ich den Ordner movedfiles nun löschen (enthält ja infizierte Dateien)?

Mein user ist nun wieder zugänglich. Ich mußte die fix.txt allerdings über edit von der Festplatte aus einfügen, weil das mit dem stick nicht funktionierte.

Habe allerdings immer noch Probleme: Beim Ausführen der Funktion "Benutzer wechseln" wird der Bildschirm schwarz und nichts geht mehr.

Ich bin jetzt sehr verunsichert, inwieweit mein Rechner nun noch für online banking geeignet ist.

Die Beiträge zeigen deutlich, dass ich zumindest meine Sicherheitsvorkehrungen verbessern muss und auch die Kosten hierfür nicht scheuen sollte (freeware ist hier auf dauer nicht "billiger"). Hier würde ich mich an das halten, was du LPit am 31.03.12 emfohlen hast (s Zitat untern).

Unklar bin ich mir jedoch noch, ob ich meinen Rechner "plattmachen" muss und was genau darunter zu verstehen wäre.

Danke für deine Empfehlung, damit ich wieder sicher sensible Daten transferieren kann.

Danke + Gruß

Robbo

Zitat:

hi,
danach den pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
Computeractive Software Store - discounted downloadable software
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen.
avast! Free Antivirus

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

Anleitung: Maßnahmen zur Absicherung des Rechners
bitte beginne mit dem abschnitt, windows xp.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.66

anleitung:
Anleitung: Sandboxie
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser