Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: bstr55uhjzd.exe Weisser Bildschirm

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.04.2012, 13:07   #1
Bohnenmann
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hallo liebe trojaner-board Gemeinde,

habe mir leider einen Schädling eingefangen und kann nun mein Betriebsprogramm nicht mehr nutzen. Ich würde mich sehr freuen, wenn mir jemand dabei helfen könnte.

Nach dem Hochfahren und einloggen am Laptop kommt, wie schon öfter hier beschrieben, ein weisser Bildschirm mit der deutschen und englischen Aufforderung " Bitte warten bis die Verbindung aufgebaut wurde..".

Wie in anderen Threads beschrieben, habe ich am Zweitrechner die OTLPENet.exe runtergeladen und mit IsoBurner eine Boot CD erstellt, in den infizierten Rechner eingelegt und übers Bios mit dieser CD gebootet.

Nun zum Problem, anstatt der Benutzermaske des Programmes erscheint nach einiger Ladezeit ein anderer Ladebalken mit Windows XP Logo darüber (habe Windows 7) und der PC stürzt mit Bluescreen ab.

Habe ich das falsche Programm runtergeladen ? wenn ja wo bekomme ich das passende.

Viele Grüße
Andi

Alt 12.04.2012, 14:53   #2
Chris4You
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hi,

nein, wahrscheinlich werden spezielle Treiber benötigt (RAID-System?), daher:

OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...
Wichtig:Du musst mit dem verseuchten Konto booten!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)
  • Poste die Logfiles hier in den Thread

chris
__________________

__________________

Alt 12.04.2012, 15:55   #3
Bohnenmann
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hallo chris.

habe die otl.exe im abgesicherten modus mit eingabeaufforderung vom usb stick auf c:\windows\system32 kopiert und auch dort mit den optionen "safe list" und "Minimal-Ausgabe" gestartet. als otl.txt und extras.txt erhalte ich leider leere dateien könnte es sein, dass wenn ich die exe über die Eingabeaufforderung starte, dies nicht mit Administratorrechten geschieht ?

Andi
__________________

Alt 12.04.2012, 16:22   #4
Chris4You
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hi,

ja, daher "runas benutzen":
runas /user:user_mit_admin_rechten "otl.exe"
user_mit_admin_rechten -> der user der bei dir adminrechte hat...
Und das Ganze vielleicht nicht unbedingt im Systemverzeichnis...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 12.04.2012, 17:14   #5
Bohnenmann
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Er hat was ausgespuckt

die Offenbarung ist im Anhang. Extras.txt war zu groß, deswegen hab zwei daraus gemacht.



was wäre jetzt der nächste Schritt?
Danke !

Angehängte Dateien
Dateityp: txt OTL.Txt (82,7 KB, 145x aufgerufen)
Dateityp: txt Extras1.Txt (94,2 KB, 149x aufgerufen)
Dateityp: txt Extras2.txt (31,4 KB, 182x aufgerufen)

Alt 12.04.2012, 17:31   #6
Chris4You
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hi,

Glück gehabt, bin gerade am abdüsen...


Bitte folgende Files prüfen (nach dem OTL-Fix und bevor sich MAM auf die Suche macht; das Teil kann zu Windows gehören oder ein Backdoor sein):

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Windows\SysNative\acovcnt.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix auf den USB-Stick kopieren, OTL über CMD wie gehabt als Admin starten, dann notepad starten, fix öffnen abkopieren und in OTL einfügen...

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:
ATTFilter
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [lmfvMDBr3jNvGGM] C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKCU Winlogon: Shell - (C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe) - C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe ()
O20 - HKCU Winlogon: UserInit - (C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe) - C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe ()
012.03.29 11:53:53 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\UAs
[2012.03.29 11:53:39 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\08020
[2012.03.29 11:53:28 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\xmldm
[2012.03.29 11:51:47 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\kock
[2012.04.08 23:43:04 | 000,274,432 | ---- | M] () -- C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe
[2012.03.29 11:53:35 | 000,000,016 | ---- | M] () -- C:\Users\Bose Studio\AppData\Roaming\blckdom.res
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:15024E60
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:734E442A
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:4CF61E54
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:B88E99C8
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:A724744F

:reg
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AutoUpdateDisableNotify" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Danach sollte der Rechner sich normal booten lassen...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris
__________________
--> bstr55uhjzd.exe Weisser Bildschirm

Alt 13.04.2012, 13:33   #7
Bohnenmann
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hi,
also erstmal ein riesiges Danke für die Hilfe und der damit verbundenen Mühe !!

Nachdem ich den Fix gestartet habe, ist das Programm nach kurzer Zeit stehengeblieben und ließ sich auch nicht mehr bedienen.. In der Prozesszeile ganz unten stand der bei "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center..." fest. hab das ganze mit dem selben Ergebniss noch einmal probiert. Es gab keinen Hinweis dass der Prozess abgeschlossen war weder einen Fix-Log. Habe dann versucht Windows normal zu starten und es ging !!

Virus total sagte zur acovcnt.exe :
Code:
ATTFilter
SHA256: 	aaf659e3d38ad04848a9c3ed6250b30dc13acc8ac9f527a11f0c14e6ec8735b2
SHA1: 	6d5a81e3cf59832d73f28d6e87f51d073c3e4095
MD5: 	6bcaf46e2b7fa9ace92b4d39f3037c5c
File size: 	44.0 KB ( 45056 bytes )
File name: 	acovcnt.exe
File type: 	Win32 EXE
Detection ratio: 	0 / 42
Analysis date: 	2012-04-12 16:21:21 UTC ( 0 Minuten ago )
         

und MAM fand folgendes:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.12.05

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Bose Studio :: BOSESTUDIO-PC [Administrator]

Schutz: Aktiviert

12.04.2012 20:31:57
mbam-log-2012-04-12 (20-31-57).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 625540
Laufzeit: 4 Stunde(n), 32 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6764C5ED-CEE4-42ae-8F31-23F02A3A661F} (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\itunes.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Hijack.Shell.Gen) -> Daten: c:\users\bose studio\appdata\roaming\bstr55uhjzd.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Program Files\Trend Micro\Internet Security\Temp\VS2QKB0G.LOG (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\ENLVP0NN\pack[1].exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Temp\coymnonigzwtyac.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Temp\cwnkwjgiupdkyuvhmizo.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Temp\kfbthyjlirzpflxi.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Temp\vvmkjuqjrkirnsbsuvzselbwl.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nicole\AppData\Roaming\bstr55uhjzd.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\04122012_194206\C_Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
kannst du etwas zum Bedrohungsgrad sagen?

werde von nun an vorsichtiger mit "dem Internet" umgehen und hab mir gleich mal Norton Internet Security (hältst du das für ausreichend?) zugelegt.

Alt 13.04.2012, 22:51   #8
Chris4You
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hi,

Norton dürfte so gut wie jede andere sein ;o)...

Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und
"NoScript" (http://filepony.de/download-noscript//)) verwenden,
einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online,
Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen.

Das Verzeichnis C:\_OTL kannst du komplet löschen...

Hat Norton noch was gefunden?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 14.04.2012, 14:21   #9
Bohnenmann
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hi,
ja doch:

infizierte Datei : c:\users\bose studio\appdata\local\temp\main.class

Bedrohungsname : Trojan.Maljava

Andi

Alt 14.04.2012, 22:43   #10
Chris4You
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hi,

Fund von Norton bei Virustotal.com prüfen lassen...

Was treibt der Rechner?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 16.04.2012, 11:41   #11
Bohnenmann
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hi,

der Quarantäne Ordner müsste ja unter c:/documents and settings zu finden sein... nur wird mir komischerweise trotz Adminrechten der Zugriff auf diesen ordner verweigert.. kann den ordner auch mit rechtsklick freigabe nicht freigeben...

Andi

Alt 16.04.2012, 14:13   #12
Chris4You
 
bstr55uhjzd.exe Weisser Bildschirm - Standard

bstr55uhjzd.exe Weisser Bildschirm



Hi,

das wird wahrscheinlich von Norton überwacht und geht daher nur über diesen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu bstr55uhjzd.exe Weisser Bildschirm
anderen, anderer, bildschirm, bios, bluescreen, boot, deutsche, eingefangen, einloggen, erstellt, falsche, gen, hochfahren, infizierte, laptop, nicht mehr, problem, rechner, schädling, threads, trojaner-board, verbindung, windows, windows 7, windows xp, übers



Ähnliche Themen: bstr55uhjzd.exe Weisser Bildschirm


  1. Weisser Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (10)
  2. Weisser Bildschirm bei Windows 7 64 Bit
    Log-Analyse und Auswertung - 11.07.2013 (4)
  3. weisser bildschirm
    Plagegeister aller Art und deren Bekämpfung - 31.05.2013 (10)
  4. Bundestrojaner o.ä. - weisser Bildschirm
    Log-Analyse und Auswertung - 02.05.2013 (57)
  5. Bundestrojaner, weisser Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 21.03.2013 (16)
  6. Weisser bildschirm bei win 7
    Log-Analyse und Auswertung - 18.03.2013 (3)
  7. weisser bildschirm
    Plagegeister aller Art und deren Bekämpfung - 26.02.2013 (15)
  8. weisser bildschirm vista
    Plagegeister aller Art und deren Bekämpfung - 06.10.2012 (3)
  9. ukash und nun weisser Bildschirm
    Log-Analyse und Auswertung - 23.09.2012 (5)
  10. Weisser Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (3)
  11. weisser Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (20)
  12. Weisser Bildschirm
    Log-Analyse und Auswertung - 25.05.2012 (1)
  13. Weisser Bildschirm "warten sie bis die Verbindung erstellt wurde" Virus Weisser Bildschirm "warten s
    Log-Analyse und Auswertung - 17.04.2012 (13)
  14. Weisser Bildschirm "warten sie bis die Verbindung erstellt wurde" Virus Weisser Bildschirm
    Log-Analyse und Auswertung - 15.04.2012 (1)
  15. Weisser Bildschirm
    Log-Analyse und Auswertung - 29.03.2012 (28)
  16. weisser bildschirm & please wait ...
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (8)
  17. Weisser Bildschirm, Trojaner
    Log-Analyse und Auswertung - 06.03.2012 (3)

Zum Thema bstr55uhjzd.exe Weisser Bildschirm - Hallo liebe trojaner-board Gemeinde, habe mir leider einen Schädling eingefangen und kann nun mein Betriebsprogramm nicht mehr nutzen. Ich würde mich sehr freuen, wenn mir jemand dabei helfen könnte. Nach - bstr55uhjzd.exe Weisser Bildschirm...
Archiv
Du betrachtest: bstr55uhjzd.exe Weisser Bildschirm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.