Schadsoftware auf Windows Vista verursacht Bluescreen ?
 

Hallo, bin von der TB-Abteilung "Blue Screen" in die Abteilung "Malware-Fraktion" geschickt worden (siehe Trojaner-Board-Thread hier: http://www.trojaner-board.de/158783-...ml#post1360502)

Der Rechner wurde soweit gecheckt, dass wohl die Festplatte und der Arbeitsspeicher OK sind, so die Einschätzung der Kollegen.

Die beiden Blue-Screen-Probleme ((1) Kernel_Data_Inpage_Error + (2) win32k.sys) sind aufgetreten, als ich mit dem Browser Google Chrome im Internet war. Das System schien zunächst wie eingefroren, bevor die Bluescreens auftauchten.

Nach den beiden BlueScreens konnte ich den Rechner wiedernormal starten. Und habe ihn komplett einem Malware-Scan unterzogen . Avira hat kein Ergebnis gebracht. Der Rechner ist in einem kleinen Computernetzwerk eingebunden, im Hintergrund luafen immer Malwarebites und Avira mit, die täglich aktualisiert werden.

Die Logfiles von Malwarebites aus 3 Scans sind Folgende:

Scan 1...


Scan 2...
Scan 3...

---

Hinweis: Ich habe nach dem ersten Scan-Ergebnis von Malwarebites die Registries mit CCleaner und TuneUp Utilities gereinigt.

Entpsrechend den Anweisungen der Kollegen wurde chkdsk ( mit dem Befehl sfc / scannow ) durchgeführt, und hat folgendes Ergebnis gebracht.

(Anm.: Wenn erforderlich, kann das 16-MB-grosse Original-CBS.Log-File kann als gezipptes Filer eingesehen werden auf meinem eigenen Dropbox-Server: hxxp://bit.ly/1m8pXMf - Ich habe es auch mit einem Ascii-Editor (NotePad) in ein TXT-File gewandelt und als PDF hochgeladen. Hier: hxxp://bit.ly/1pikEEQ )

Mit der Kennung "File is missing" gibt es in dem CBS-Logfile keine Fehlerergebnisse. Mit der Suche nach "Cannot repair member file" erscheint ein Ergebnis:

Hinweis: Auf dem Rechner liegen zwei tcpmon.ini Dateien, einmal im Verzeichnis:

c:\windows\system32\ und
c:\windows\winsxs\x86_microsoft_windows...

Im Weiteren bin ich Euren Anweisungen gefolgt: defogger_disable.txt, FRST.txt mit Additions.txt sind von mir bereits erstellt.

Aber mit Start von Gmer (Version 2.1.19357) gibt es wohl Probleme, so scheint es mir als Laie. Der Bildschirm ist wie "eingefroren". Oder ist das Normal ? - Der Mauszeiger lässt sich nicht bewegen. - Was tun ?

Im Voraus Danke.

Hallo ITSecurity14

:hallo:

Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf.

Dann lass uns erstmal schauen das wir nen klares Bild bekommen, etwaige Schadsoftware entfernen und dann mal schauen was die Bluescreens machen.

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo, Timo ! .... danke für die schnell Rückantwort und Deine Hilfe.

Wie ich bereits beschrieben habe, erscheint z.Z. der Rechner "eingefroren" mit Gmer (siehe GIF Datei als Anhang des Screenshots).

Ich bin ja bereits den Anweisungen der Kollegen gefolgt, und habe Farbar's Recovery Scan Tool schon durchgeführt, nach Defogger. - Und sicherheitshalber auch die FRST-Logdateien vom Desktop ausgelagert.

Das Posten im Thread (#-Symbol im Eingabefenster der Webseite anklicken) funktioniert nicht. Ich bekomme die Meldung:

Darum die beiden FRST-Logfile-Dateien frst.txt und Addition.txt im Anhang, gezippt....

Im Anhang der Screenshot zu GMER, wie bereits geschildert, erscheint der Rechner eingefroren. Auch die Maus geht nicht.

Die Logs bitte auf mehrere Antworten aufteilen, das erleichtert das Arbeiten und spätere Vergleichen immens.

Bei dem heutigen Update von Avira habe ich in den Logfiles doch noch eine Meldung entdeckt, vom 14.09.2014. Hier wurde ein Virus gefunden. Es handelt sich um den "APPL/Somoto.Gen". Er wurde in die "Quarantäne" verschickt. - Mit den nachfolgenden, täglichen Scans der letzten 3 Tage wurde aber kein Virus mehr gefunden.

Ich poste dazu das Logfile des Avira-Einzelberichtes...

Kannst du die FRST + Addition bitte noch posten und ggf. auf mehrere Antworten aufteilen ?

Hier nochmals der 2. Versuch die FRST.Txt Logdatei zu posten... :-)


FRST Logfile:
--- --- ---

Hier nochmals der 2. Versuch die Adition.txt Logdatei zu posten... :-)

Toolbar-Sammler ?



Software mit Revo Uninstaller deinstallieren Downloade Dir bitte den Revo Uninstaller

• Doppelklicke auf die revosetup.exe.
• Installiere das Tool in den vorgegebenen Pfad.
• Doppelklicke auf das Revo Uninstall Icon.
• Suche Dir nun folgende Software aus der Code-Box.
  Code:

  ---

  DAEMON Tools Toolbar
ExpressFiles
iMesh
Lollipop
Uniblue SpeedUpMyPC 2009
Winamp Toolbar
Adobe Flash Player 13 Plugin
Adobe Reader X
...und am besten alles was Toolbar ist, sowie sämtliche Registry Tuner/Cleaner

  ---

  Klicke darauf und bestätige mit Ja.
• Belasse die Einstellung der Deinstallationsroutine auf Moderat und klicke auf weiter.
• Das Tool wird nun nach allen Einträgen auf dem Rechner suchen. Klick auf weiter
• Klicke auf den Markiere alle Button und klicke auf löschen und bestätige mit Ja.

Bebilderte Anleitung Starte den Rechner neu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Guten Morgen ! ... ich schätze, ich soll alle Probleme melden. Nach der automatischen Aktualisierung von Malwarebites gestern Abend, 17.09.2014 und autom. Start des Systemscans, habe ich den Rechner heute Nacht angelassen.

... und treffe heute morgen "wieder" einen BlueScreen an. Der Dritte seit letzten Sonntag. Diesmal lautet die Meldung:

(Screenshot im Anhang)

In der Ereignisanzeige der Systemsteuerung - Unterrubrik "Windows-Protokolle -> System" - sind von letzter Nacht in dem Zeitraum von 01:00-06:00 Uhr eine Vielzahl von Fehlermeldungen dokumentiert (siehe Screenshot im Anhang). Ich schätze, der Bluescreen ist in den frühen Morgenstunden gg. 08:00 Uhr aufgetreten. An den Rechner kam ich gg. 08:30 Uhr.

In den letzten Tagen stelle ich auch fest, dass bei Start eines Anwendungsprogrammes in Klammer hinter dem Programmnamen "Keine Rückmeldung" verzeichnet wird. Immer öfter scheinen die Programme kurzfristig zu hängen/einzufrieren, wie bereits mit dem Start von Gmer vor zwei Tagen festgestellt (s.o.).

Ich warte dann auf weitere Anweisungen.

Sind die Proxy Einstellungen bekannt und gewollt ?

Eigentlich verwende ich keine Proxy-Server in meinem Netzwerk, auss den "defaults". In der Fritz!Box(-Firewall) habe ich nur einige wenige Ports freigegeben und route über Dynamic DNS.

Zugriff auf meinen FTP-Server, den ich mit einem www- und email-Server bei einem Internet-Provider hoste, habe ich nur über einen regulären FTP-Client, d.h. immer nur manuelle Einwahl. Ich habe auf meinem Server auch kein SSL-Zertifikat laufen, werden dort nur einfache Websites (Wordpress) gehostet

Ich habe einmal die Proxy-Settings für den Internet-Zugang auf meiner Linux-Maschine getestet, mit Chrome Browser. Folgendes Setting wird angezeigt:

Auch auf der Vista-Maschine heisst es: Use Direct connections.

Den Internet Explorer von Microsoft verwende ich überhaupt nicht, und habe ihn auch noch nie verwendet, d.h. von mir selbst wurden dort keine Proxy-Server-Einstellungen vorgenommen/geändert.

Gruß/ITS
---
PS: Werde jetzt die Software mit Revo Uninstaller deinstallieren, AdwCleaner und Junkware Removal Tool installieren und, sobald vorliegend, die Logfiles posten.

Die Proxy Settings stammen aus Firefox.

http://www.trojaner-board.de/158818-...ml#post1361204 nicht übersehen/vergessen ;-)

[QUOTE=Warlord711;1361204]Uninstaller / Toolbar-Sammler ?

Mit Revo Uninstaller habe ich entsprechend Deiner Vorgabe folgende Programme deinstalliert und aus der Registry entfernt. Es war sehr zeitintensiv:

Im Weiteren wurden entfernt:

und folgende Toolbars:

Die werksseitige "Lexmark Toolbar" habe ich beibehalten, wird damit mein (Fax-)Drucker/Scanner gesteuert.

Der Rechner konnte problemlos neu gestartet werden. Der Rechner ist aber deutlich langsamer geworden. Es dauert ca. 5 Minuten, bis Vista nach dem login des Benutzeraccounts bereitsteht.

Die Logfiledaten (AdwCleaner[Sx].txt, JRT.txt u. Frst.txt ) folgen gesondert in einzelnen Postings. :-)

Es gibt Probeme mit AdwCleaner.

Nachdem der Suchvorgang abgeschlossen wurde und ich auf den "Löschen"-Butteon clickte, ist nach kurzer Zeit das Programm "eingefroren". D.h. Der "Lösche Ordner"-Vorgang ist stehengeblieben. - Und es taucht wider "Keine Rückmeldung" im Header des Programms auf.

Das erste Suchergebnis ist im nächsten Posting als Anhang zu finden, ist die Zeichenanzahl der TXT-Datei zu gross.

Im Windows Task-Manager belastet das Programm AdwCleaner_3.310.exe die CPU weiterhin.

Siehe dazu Screenshot im Anhang... was tun ?

Erstes Suchergebnis... vollständig siehe Anhang
Abgebrochener Löschvorang

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Versuch dann nochmal AdwCleaner. Antivirensoftware vorher ausschalten/ Echtzeitschutz deaktivieren.

Mit dem zweiten Versuch hat AdwCleaner den Löschvorgang vollständig abgearbeitet... das Ergebnis im Anhang, ist das Logfile mit 143732 Zeichen zu lang (max. Länge erlaubt: 120000 Zeichen).

Hier das Ergebnis der JRT.txt...

Hier die Logdatei (FRST.txt) nach AdwCleaner und Junkware Removal Tool...


FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

Hier der Inhalt der Fixlog-Datei...
Soll ich AdwCleaner nochmals durchführen ? - Hatte ja unerwartet beim zweiten Versuch geklappt (s.o.), ohne diesen Fix.

Komme gerade an den Rechner zurück. Wie heute morgen, ca. 3-4 Stunden nach dem letzten Hochfahren nun bereits wieder ein Bluescreen... der 4te. Scheint sich zu häufen

Diesmal ist die Meldung fast gleichlautend wie heute morgen (siehe Screenshot im Anhang):

Wie gehts nun weiter ?

Hallo, Timo !

Was muss ich hier tun ? - Ich verwende sehr selten Firefox, hauptsächlich Google Chrome. Möchte aber nicht, dass damit ein Hintertürchen für den Abgriff von Daten offen bleibt. :-)

Gute & schlechte Neuigkeiten :-)

... mit dem täglichen Update der Anti-Malware database hat Malwarebytes am Donnerstag Abend auch ein Update der Software selbst erzwungen.

Mit der Neuinstallation und einer neuen Database habe ich zunächst einen Schnellscan durchgführt. Im Ergebnis wurden knapp 600 Bedrohungen festgestellt. Der Laie wundert sich. Ich vermute, dass die neue Software eine sensiblere Heuristik verwendet. Das System war also nicht Malware frei, wie mit dem gestrigen Scan angenommen. Vielleicht sind darauf die neuen BlueScreens zurückzuführen (?).

Leider lieferte zu dem neuen Ergebnis Malwarebytes kein Logfile. Im Einzelnen handelt es sich um Befalle von ...

1. Registry Key (5x)

- Pup.Optional.DealPly.A
- Pup.Optoinal.BabylonToolbar.A
- Pup.Optoinal.weDownload.A
- Pup.Optoinal.PriceGong.A

2. Registry Data (3x)

- Pup.Optoinal.SnapDo.A

3. Folders und Files (allesamt in Firefox)

- Pup.Optoinal.CrossRider.A
- Pup.Optoinal.Babylon.A
- Pup.Optoinal.CrossFire.A

Ich werde nun einen umfassenderen Threat Scan durchführen. - Und hoffe, dass ich davon morgen früh ein Logfile erhalte. Ich liefere dann auch nochmals ein FRST.txt und Additions.txt Ergebnis.

https://www.malwarebytes.org/support...istory_AL.html


Schau mal unter C:\ProgramData\Malwarebytes\Malwarebytes Anti-Malware\Logs

Scheint irgendein Problem mit C++ zu sein. Ich musste mehrere Versuche starten, bis ein Scan Log file abgespeichert wurde. Es geht nur im XML-Format. Beim Exportieren in Ascii-Format (TXT) stürzt das Programm immer wieder ab. Im Menü History Log wird leider nichts angezeigt (siehe Screenshot)

Ich lege daher die beiden XML-Logfiles der bisherigen scans im Anhang als gezippte Datei bei. Ich weiss nicht, wie ich dieses File in TXT konvertieren kann ?

Mit dem letzten umfassenden Threat Scan wurden nochmals 100 Infektionen entdeckt. Hier die Kurzübersicht:

1.) Typ: Registry Key...

Pup.Optional.Snapdo.T (Internet Explorer)
Pup.Optoinal.SearchProtect.A (Internet Explorer)
Pup.Optoinal.Babylon.A (Internet Explorer)
Pup.Optoinal.CondultTB.A (Microsoft Windows)
Pup.Optoinal.BestToolbar.A (Microsoft Windows u. Internet Explorer)
Pup.Optional.FrostwireTB.A (Microsoft Windows)

2.) Typ: Value

Pup.Optoinal.BestToolbar.A (Internet Explorer)
Pup.Optional.FrostwireTB.A (Internet Explorer)

3.) Typ: File

Pup.Optoinal.ExpressFiles.A
Pup.Optoial.OpenCandy
Trojan.Downloader.ns
Pup.OOptoinal.Softonic
Pup.Optoinal.Softonic.A

4.) Typ: Folder

Pup.Optional.CrossRider.A (alle in Firefox - Extensions)
---
Alle Ergebnisse sind in den Quarantäne-Ordner der neuen Software-Version verschoben worden. Dort liegen nun 1173 ausgelagerte DATA- und QUAR-Files. Soll ich diese löschen ?

Im Folgenden die neuen FRST.txt und Additions.txt.

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Gestern und heute wieder Bluescreens (siehe Screenshot im Anhang), Nr. 5 und 6:

19.09.2014 (11:41 Uhr)...
20.09.2014 (15:06 Uhr)...
Ist ziemlich nervig und verunsichernd... können wir das bald abstellen ?

Mach mal :

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

OK, werd ich am Sonntag machen und liefern :-)

Ich habe heute das Progrramm SpyBot mit einer Malware-Suche durchlaufen lasseen... Das Tool hat 101 Ereignisse geliefert, davon ein Ergebnis, das immer noch Somoto mit Registry-Eintrag als hohes Risiko einstuft (siehe Screenshot im Anhang).

Das ScanLog von SpyBot...

Ich habe nichts von Spybot löschen lassen. Das System ist noch in dem Dir bekannten Zustand.

Das Ergebnis "Quickscan" mit dem Logfile aswMBR.txt

Spybot kannst du komplett vergessen. Am besten deinstallieren und auf Malwarebytes wechseln - 1 Mal in der Woche scannen - gut ist.

Bitte lasse die Dateien aus der Code-Box (jeweils einzeln) bei Virustotal überprüfen.

• Klicke auf Wählen Sie eine
• Kopiere nun folgendes in die Suchleiste
  Code:

  ---

  C:\Users\Tech-Admin\AppData\Local\VirtualStore\Program Files\Dictionary\Eng-Hindi\Dictionary.$$A
C:\Users\Tech-Admin\AppData\Local\VirtualStore\Program Files\Dictionary\Eng-Hindi\Dictionary.$$B

  ---

• und klicke auf Öffnen.
• Klicke auf Scannen!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  Zitat:

  Diese Datei wurde bereits von VirusTotal analysiert...

  klicke auf Neu analysieren.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Habe Spybot deinstalliert...

1. Ergebnislink auf virustotal.com zu ...\Eng-Hindi\Dictionary.$$A: hxxp://goo.gl/68Vngz

2. Ergebnislink auf virustotal.com zu ...\Eng-Hindi\Dictionary.$$B: hxxp://goo.gl/aBUWWl

OK, falsch Positiv Meldung bei den 2 Dateien.

So mal versuchen, wieder bissl Ordnung in das Thema hier zu bekommen :blabla:

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Ja, wäre schön, wenn's vorwärts geht. :-) hatte heute schon wieder blue screen.

Hier das gewünschte Ergebnis.

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Danach kannst du noch mit http://www.trojaner-board.de/126216-...epair-aio.html versuchen, den Schaden von TuneUp und Co. evtl. zu beheben.

Ansonsten hilft nur Neuinstallation, denn wo TuneUp und andere "Registry-Vergewaltiger" einmal gewerkelt haben, ist keine Systemstabilität mehr gegeben.