Virus: PC fährt nicht mehr hoch - Abgesicherter Modus, Systemwiederherstellung etc. Nicht möglich
 

Hallo alle miteinander! :)
Ich hoffe ihr könnt mir bei meinem Problem helfen!

Ich hatte schon lange vor diesem Problem Virus/Trojaner auf dem Pc. Diese waren aber durch das Virenprogramm "AntiVir" in die Quarantäne verschoben worden!
Vorgestern hab ich nun ein anderes Virenprogramm installiert! Es heißt "Zone Alarm AntiVirus"! Ich habe es mir von Chip.de runtergeladen.
Schon bei der Installation von Zone Alarm, hat das Programm gemeldet das der Computer geschädigt ist, und hat daraufhin versucht den Computer zu reparieren. Das hat dann mehrere Versuche gedauert, denn das Programm hat sich immer wieder dabei aufgehangen! Zu diesem Zeitpunkt hatte ich schon "Antivir" vom Computer deinstalliert!
So, nun hatte ich "Zone Alarm Antivirus" installiert, konnte aber mit dem Programm keine Virusüberprüfung machen, da dabei immer die Fehlermeldung kam, das bei der Installation von "Zone Alarm Antivirus" etwas schief gelaufen wär und eine Neuinstallation von Nöten wär!
Da ich mich nich mehr mit diesem Problem beschäftigen wollte, wollte ich mich am nächsten Tag nochmal mit diesem Problem befassen!
Nun startet mein Pc nicht mehr! Das heißt, ich komme nicht mehr auf den Desktop von Windows!
Nach dem Starten komm ich zu einem Fenster, bei dem ich mich zwischen der "Starthilfe" und einen "normalen Start" entscheiden kann!
-> Bei der Starthilfe versucht der Computer sich selbst zu reparieren, jedoch vergeblich - Er startet dann wieder neu!
-> Bei der Option "Normal Starten" startet der Pc sofort neu, und ich gelange wieder auf den selben Screen wie zuvor!
-> Bei den Abgesicherten Modusen startet der Pc auch immer wieder neu!
-> Eine Systemwiederherstellung schlägt immer fehl!

Nun weis ich nicht mehr was ich machen soll! Gibt es eine Möglichkeit die Viruse zu entfernen, ohne meine Daten zu verlieren?

Da ich ein Anfänger auf diesem Gebiet bin, hoffe ich das ihr mir nich böse seit!
Ich hoffe ihr habt alles verstanden! Ich freue mich über jede Hilfe!

Danke! :)

:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Alle anderen Windowsversionen ab hier:

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Erledigt!


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

[/CODE]

Prima ... ein Rootkit hast du auch noch. Ich kann dir gar nichts versprechen, aber wir versuchen mal den ersten Schritt.




Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---


HKLM\...\RunOnce: [*Restore] - C:\Windows\system32\rstrui.exe /RUNONCE [262656 2009-07-14] (Microsoft Corporation)
HKLM\...\InprocServer32: [Default-cscui]  <==== ATTENTION!

HKU\Medion\...\Run: [DriverMax] -  [x]
HKU\Medion\...\Run: [DriverMax_RESTART] -  [x]
HKU\Medion\...\Run: [UpdateStar Drivers] - C:\Program Files\UpdateStar Drivers\drivers.exe [x]


S3 Profos; \??\C:\Program Files\BullGuard Ltd\BullGuard\antirootkit\profos.sys [x]


TDL4: custom:26000022 <===== ATTENTION!

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Schritt 2:
Achtung dies war ein Entsperrversuch:
Das bedeutet, dass wir nicht fertig sind. Sondern: Wenn du wieder normal booten kannst müssen wir noch alle Reste entfernen, sonst wird eine Wiederinfektion eintreten. Berichte also, ob du wieder booten kannst und mache sonst nichts.

Ich würde gern versuchen mit dir mein PC wider auf die Reihe zu kriegen!
Wenn ich wieder auf den Desktop komme, werd ich meine wichtigen Dateien auf ein USB-Stick speichern, und den PC definitiev wieder neu aufsetzten!

Der Fixlog:


Ich habe den PC ohne den USB-Stick gestartet, jedoch komm ich immernoch auf den Screen, bei dem ich zwischen der Option "Windows normal starten" und "Starthilfe benutzen" entscheiden muss!
Oder habe ich was falsch gemacht?

Nichts, das kommt wenn der letzte Bootvorgang nicht vollständig war.

Probiere normal starten.

Wenn du ohnehin Neuaufsetzen willst, dann mache es so:

Herstellen eines USB-Sticks mit der Kaspersky-Rescue-Disk

Du braucht dazu einen USB-Stick (am besten leer) mit mindestens 1 GB Platz.

• Bitte downloade dir YUMI von dieser Webseite auf deinen Desktop.
• Schliesse deinen USB-Stick an, starte YUMI und akzeptiere die Lizenzvereinbarung.
• Step 1: Wähle den Laufwerksbuchstaben deines Sticks aus.
• Step 2: Wähle aus der Liste "Kaspersky Rescue Disk (Antivirus Scanner)" aus (relativ weit unten)
• Hake an "Download the img (Optional)", YUMI fragt dich ob du jetzt herunterladen willst. Klicke Ja.
• Speichere die *.iso auf deinem Desktop.
• Step 3: Falls das *.iso nicht schon ausgewählt wurde (grüne Farbe) klicke Browse, suche das Image und wähle es aus.
• Klicke jetzt auf Create und beantworte die Sicherheitsabfrage mit Ja. Dein USB-Stick wird jetzt vollautomatisch vorbereitet. Warte bis der Vorgangabgeschlossen ist.

Starten des Kaspersky Rescue Sticks zur Datensicherung

• Schliesse den USB-Stick an das infizierte System an. Starte den Rechner (neu).
• Während des Starts drücke die Taste mit der du das Bootmenü aufrufen kannst (oft ist das F8) und wähle den USB-Stick zum booten aus.
• Es erscheint das YUMI-Menü. Wähle hier Antivirus Tools >Kaspersky Rescue CD > Run ... from this USB
• Das Rettungssystem startet jetzt. Wenn du mehrere Betriebssysteme installiert hast erscheint ein Menü in dem du auswählen kannst auf welches du zugreifen willst.
• Deine Windowslaufwerke C: bis Z: (wenn vorhanden) werden als Ordner auf dem Desktop erzeugt.
• Kopiere also alle wichtigen Dateien von deinen Windowslaufwerken auf deinen USB-Stick zur Sicherung.
• Zum Herunterfahren klicke auf das K-Symbol unten links und wähle shutdown.

Ich habe gerade den PC mit der Option "Normal Starten" gestartet!

Es war erfolgreich und ich bin nun auf Desktop!

Was soll ich jetzt tun? Und danke für deine Hilfe bis hier hin! :)

Also bitte :)


Aber entscheide dich bitte VORHER ob du Neuaufsetzen willst oder nicht!!

Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Wenn du mir dabei hilfst denn PC neu Aufzusetzten, dann würd ich das gerne sofort machen!

Jedoch würd ich davor noch gern ein paar Fotos/Dateinen behalten/sichern. Kann ich diese zb. einfach auf einen USB-Stick kopieren? Oder können diese Fotos/Dateinen auch infiziert sein?

Nein Fotos und Textdokumente sind in den seltensten Fällen kontaminiert.

Okay, dann würd ich jetzt gern alle wichtigen Dateien sichern!
Gibt es noch was, was ich beachten sollte?

Wenn ich mit dem sichern fertig bin, wie soll ich dann weiter machen? :)

Trotzdem mal TDSSKiller machen, dass wir diesen Schädling noch loskriegen, muss da noch was nachsehen.

Okay, Hier ist die Logfile von TDSSKiller

Ja so hab ich mir das gedacht.

Also:
- Nachdem du wirklich alles gesichert hast machst du
- Nochmal TDSSKiller und lässt das TDSS File System killen.
- Boote jetzt mit deinem Installationsmedium.
- In der Installation: Lösche alle vorhandenen Partitionen.
- und lass dann neue vom Setup anlegen
- dann sollte alles von selbst gehen.

Okay, hab alles gesichert!
Aber muss ich vor dem Scan, ein Häckchen vor das "TDSS File System" machen oder nicht?
Ich hatte es einmal ohne das Häckchen durchlaufen lassen, und es hatte nix verdächtiges gefunden!