blauer desktop mit warnung
 

hallo...

meine freundin hat mir gestern nacht folgendes problem eingehandelt.
das ganze geschah wohl beim öffnen eines anhangs, einer ihr unbekannten e-mail. was soll man dazu noch sagen!? :)

viel schlimmes ist bisher jedoch nicht passiert.
soweit ich das beurteilen kann, sind meine daten noch alle vorhanden.
leider hat sich mein desktophintergrund in ein ziemlich stechendes blau verwandelt mit folgender aufschrift: "warning! spyware detected on yout computer! install an antivirus or spyware remover to clean your computer."
dies lässt sich auch nicht mehr ändern, da die anzeige optionen nur noch drei reiter beinhaltet, welche "designs", "darstellung" und "einstellungen" sind.

natürlich habe ich als erstes google bemüht, doch das brachte leider keine so gescheiten ergebnisse.
bin auf ein paar tipps gestoßen, die ich auch befolgt habe, nur leider völlig erfolglos.
unter anderem waren das "ccleaner" und "OTmoveIT".
letzteres ist übrigens nach einem neustart einfach vom desktop verschwunden.

habe jetzt eine logfile mit HJT erstellt. ich kann da nichts bösartiges entdecken, aber schließlich seid ihr ja die experten:)

ich bedanke mich schonmal im vorraus...danke:)

lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt
4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.


gruß

schrauber

hallo schrauber...

danke für die so zügige antwort.

habe dss heruntergeladen und laufen lassen, bin jedoch zu keinem ergebnis gekommen.
an genau der stelle, wo dss die log files erstellen will, stürzt das programm ab.

"dss.exe hat ein problem festgestellt und muss beendet werden"

meinst du ich komme noch irgendwie an einer formatierung vorbei?
schön wäre es jedenfalls...

Hi,

Hast Du Dein Antivirenprogramm temporär ausgeschaltet während DSS arbeitet? Wenn nicht, versuch es mal so. Anonsten machen wir das:

Scanne Dein System mit Malwarebytes Antimalware, lass alle Funde löschen und poste das Logfile.


gruß

schrauber

okay, mit Malwarebytes Antimalware hats funktioniert.
den neustart werde ich nach dem post durchführen.
hier ist die logfile:

Hi,

Vergiss DSS, das machen wir anders.

Drucke diese Anleitung aus oder speichere sie als *.txt Datei, damit du sie bei der Hand hast, wenn du offline arbeitest. Lies sie bitte gruendlich durch bevor du sie anwendest.

Downloade das Combofix, von einem dieser beiden Download Spiegel:

BleepingComputer
Fotospyware
GeeksToGo

• speichere es auf deinem Desktop.

Während des Scans mit dem ComboFix soll(en):

• vorsichtshalber alle Programme mit Hintergrundwaechtern inklusive deiner Firewall deaktiviert sein

(Liste der zu deaktivierenden Programme)

• nichts am Rechner getan werden

• Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
• Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
• Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.

1. Mach einen Doppelklick auf die ComboFix.exe.
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.


2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:

• Stelle dein Antivirus Programm VOR dem scannen mit ComboFix ab, ebenso alle anderen Hintergrund Scanner, inklusive deiner Firewall, da es sonst zu Problemen kommen kann.
• Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
  Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
• Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.

• Hintergrundwaechter und die Firewall bitte wieder einschalten, wenn das ComboFix seinen Scan beendet und das Logfile ausgegeben hat.

gruß

schrauber

wir haben uns wohl um 2 minuten verpasst...:)
hast wahrscheinlich nicht gesehn, das es mit Malwarebytes Antimalware geklappt hat. zumindest ist die warnung auf dem desktop verschwunden und in den anzeige optionen sind alle reiter wieder da.
da ich jetzt zur arbeit muss, kann ich deinem letzten tipp erst morgen früh nachgehen, falls das überhaupt noch nötig ist.
würde mich freuen, wenn du noch antworten würdest, so dass ich morgen früh gleich bescheid weiß.

nochmals vielen dank für deine bemühungen.
alleine hätte ich es womöglich niemals geschafft.

Hi,

Du bist definitiv noch nicht sauber, auch wenn die Symptome weg sind !!

um das mal so in aller Deutlichkeit klar zu machen :).

Also arbeite bitte, so schnell es Dir eben möglich ist, meine obige Anleitung ab.


gruß

schrauber

guten morgen...

wie töricht von mir zu denken, dass das problem schon gelöst wäre:)
nun gut...
ich bin deinen anweisungen gefolgt und zurück blieb ein leerer desktop...
ich habe alle programme im hintergrund geschlossen, habe nicht mit der maus ins fenster geklickt und habe dieses auch nicht geschlossen.

als combofix eine infizierte datei gefunden hatte, startete sich der rechner, wie beschrieben, von selbst neu.
danach blieb, wie schon erwähnt, ein leerer desktop zurück.
bisher habe ich noch keinen klick getan.
die versuchung den taskmanager aufzurufen und explorer.exe zu starten ist zwar enorm, jedoch konnte ich widerstehen.

ich hoffe, dass du bald wach bist, um mir natürlich zu sagen, dass noch nicht alles verloren ist.
bis dahin lass ich die kiste erstmal laufen und rühre natürlich nichts an.

bald wach? ich bin schon seit ner halben stunde auf der arbeit :)

deswegen kann ich auch jetzt nicht so mit Links dienen.

Hast Du die Antivirenprogramme vorher beendet?
Wurde ein Logfile erstellt?

Wenn kein Log erstellt wurde, warte noch etwas, dann schalt den PC aus, lass ihn zehn minuten aus, starte und lass ihn mal in ruhe schnurren.
Wenn dein Desktop wieder da ist schau nach ob es ein Log gibt unter C:/Combofix.txt

gruss

schrauber

bald wach? bin schon seit ner halben stunde auf der arbeit :D

wenn kein log erstellt wurde, rechner aus, warten, rechner wieder an und nix machen, lass ihn mal so laufen. wenn der desktop dann wieder geht such nach nem log unter C:/Combofix.txt


gruss

schrauber

seit ner halben Stunde erst?
Da konntest du ja richtig ausschlafen... :party:
"Meiner einer" ist schon seit 5 Uhr bei der Arbeit und dümpelt hier mit Budgetdateien für das Jahr 2009 rum. ;)

wach bin ich seit fuenf, muss ja morgens noch meinen pc quaelen :D



@Silenzio


was macht der Desktop?

soo...nun bin auch ich wach. nachtschicht ist doch was schönes:)

nachdem ich die kiste jetzt aus und wieder an geschaltet habe, war der desktop noch immer leer. dann konnte ich der versuchung nicht mehr widerstehen und habe explorer.exe im taskmanager selbst gestartet.
und siehe da...icons da, taskbar da und combofix meldete sich auch zurück.

Hi,

Bitte diese Datei bei Virustotal scannen lassen, Button Filter drücken und das Ergebniss hier posten.


gruß

schrauber

das ergebnis lautet:

0 bytes size received / Se ha recibido un archivo vacio

Denke daran, während des Laufs von Combofix wieder Dein Antiviren-Programm temporär abzustellen. Danach wieder anstellen nicht vergessen!

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code:

   ---

   File::
C:\WINDOWS\system32\drivers\Npv70.sys
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Npv70.sys]

   ---

2. Speichere dies als CFScript.txt auf Deinem Desktop
   
   http://i94.photobucket.com/albums/l8...ript_small.gif
   
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
   NB: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


gruß

schrauber

so...das hätten wir dann auch.

Hi,

Folge bitte der Ccleaner Anleitung und mache danach einen Onlinescan:

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.

• Kaspersky Online Scanner - Hinweise zu älteren Versionen beachten!
  Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
  => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
  => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als...
  => Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern => Log hier posten.
  => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

gruß

schrauber

scheint als würde es noch ne weile dauern.
da ich wieder zur arbeit muss, melde ich mich dann morgen früh wieder.

status bis jetzt:
vier viren und neun infizierte objekte.

alles klar :)

Hallo,
sorry, wenn ich in diesem thread schreibe, aber ich habe genau das selbe problem, mit der selben fehlermeldung und dem blauen wallpaper mit der meldung.
selbst auf norton ghost 14 kann ich nicht mehr zugreifen.
nur mit der recovery cd, könnte ich meine system wieder her stellen.
nur das problem ist, das Ghost meinen raid 0 nicht erkennt, und somit müsste ich mein system auf einer anderen platte wieder her stellen, was ich sehr ungern machen würde.
lieber wäre mir, wenn ich den mist, den ich mir eingefangen hätte wieder los werde.
habe mich hier eingelesen, und schon mal den CCleaner wie beschrieben instal. und ausgeführt.
jetzt gerade hab ich den kaspersky onlinescan durchlaufen lassen.
wie soll ich weiter verfahren ?
oder ist es besser einen eigenen thread auf zu machen ?

ok, danke

Hi,

bitte eröffne einen eigenen Thread für dein Problem, sonst wird das zu unübersichtlich, danke :).


gruß

schrauber

OK, hier habe ich einen eigenen Thread eröffnet

Danke Schrauber

guten morgen schrauber...

ich hab ganz schlechte neuigkeiten.
hab den rechner über nacht laufen lassen, damit kaspersky den check beenden kann. in der zeit muss irgendwas passiert sein, da ich wieder den blauen desktop mit der warnmeldung habe. zusätzlich war ein programm namens "antivirus xp 2008" geöffnet, dass ich mittels taskmanager geschlossen habe bzw. den prozess beendet habe. auf dem desktop hat sich auch das dazugehörige icon abgelegt.

aber hier erstmal das ergebnis von kaspersky:

Hi,

Halb so wild, das bekommen wir schon hin, hab Vertrauen ;).

Bin noch auf der Arbeit, heut Abend gegen sieben gehts in alter Frische weiter :).


gruß

schrauber

das beruhigt mich so einigermaßen.:)
übrigens kann es gut sein, dass es durch diese ups-mail zustande kam.
meine freundin hatte, sofern ich das verstanden habe, irgendwas von paketen und anhängen erzählt...:)

bis später dann

Diese Datei bitte bei Virustotal überprüfen, Button Filter drücken und das Ergebniss hier posten.

===========================================================

Systemwiederherstellung deaktivieren und wieder aktivieren:

• •*Windows XP: Deaktiviere die
  Systemwiederherstellung
  •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
  •*Wähle den Reiter Systemwiederherstellung
  •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
  •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
  •*den Haken wieder entfernen und OK drücken
  •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

=========================================================

Lösche die Combofix.exe von Deinem Desktop, dann wieder von vorne


Drucke diese Anleitung aus oder speichere sie als *.txt Datei, damit du sie bei der Hand hast, wenn du offline arbeitest. Lies sie bitte gruendlich durch bevor du sie anwendest.

Downloade das Combofix, von einem dieser beiden Download Spiegel:

BleepingComputer
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
TechSupportForum
http://www.techsupportforum.com/sect...s/ComboFix.exe

• speichere es auf deinem Desktop.

Während des Scans mit dem ComboFix soll(en):

• vorsichtshalber alle Programme mit Hintergrundwaechtern inklusive deiner Firewall deaktiviert sein

(Liste der zu deaktivierenden Programme)

• nichts am Rechner getan werden

• Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
• Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
• Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.

1. Mach einen Doppelklick auf die ComboFix.exe.
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.

2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:

• Stelle dein Antivirus Programm VOR dem scannen mit ComboFix ab, ebenso alle anderen Hintergrund Scanner, inklusive deiner Firewall, da es sonst zu Problemen kommen kann.
• Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
  Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
• Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.

• Hintergrundwaechter und die Firewall bitte wieder einschalten, wenn das ComboFix seinen Scan beendet und das Logfile ausgegeben hat.

gruß

schrauber

hier schonmal das ergebnis von virustotal:

gerattert hat es übrigens nicht, als ich den punkt mit der systemwiederherstellung abgearbeitet habe.
mache mich jetz an combofix.

Hast Du deine Windows-CD zur Hand?

hier jetzt auch das combofix ergebnis:

ich such sie mal, kannst mir ja schonmal sagen, was ich damit anstellen soll.

Deine userinit.exe wurde duch Malware ersetzt. D.h. wir müssen Sie wieder in den Originalzustand bringen, ohne sie zu löschen, denn dann geht gar nichts mehr.

Versuch mal folgendes:

Geh auf diese Seite:

Recovering userinit.exe for Windows XP - F-PROT Antivirus Support Windows

ziemlich unten ist ein Link zum laden einer userinit.exe. Diese auf den Desktop laden.

Nun kopiere diese Datei in den Ordner C:\Windows\System32

Wenn Du gefragt wirst ob Du die bestehende Datei ersetzen willst, klicke ja.


Gib mir bitte Meldung ob das geklappt hat.



gruß

schrauber

das ersetzen hat funktioniert...
was machen wir jetzt?

geladene Datei vom Desktop löschen, falls noch vorhanden. Zur Kontrolle die Datei im System32-Ordner ( wie eben schon ) bei Virustotal scannen, Log posten.



gruß

schrauber

okay...scheint jetzt sauber zu sein.

Bitte ebenso bei Virustotal prüfen, in der Zeit erarbeite ich alles weitere :)


gruß

schrauber

mach ich etwas falsch wenn ich diese meldung bekomme?

nö, die Datei ist dann leer :)

Bitte die Datei manuell löschen, dann das:

Start > Ausführen > Schreibe Combofix /u ( mit dem leerzeichen !!).

==========================================================

dann diesen Onlinescan :)


was macht der Rechner ??


gruß

schrauber

da ich wieder zur arbeit muss, müsste ich den rechner an lassen, wenn dieser onlinescan genauso lange braucht, wie der von kaspersky. meinst du das ist so okay, oder sollte ich das dann lieber morgen früh laufen lassen? nicht, dass mich später dann wieder so eine nette überraschung erwartet.

die datei lässt sich nicht manuell löschen.
bekomme dann eine fehlermeldung.
ansonsten ist die fehlermeldung auf dem desktop und der dazugehörige screensaver verschwunden.
das antivirus xp 2008 ist zwar noch auf dem desktop, jedoch ohne bildchen.
weiß nich genau, wie man das nennt:D
ist jetzt einfach so ein kleines fenster.

dann wart bis morgen :)

das Bild auf dem Desktop löschen bitte.

gruß

schrauber

hey schrauber...

hab heute morgen f-secure laufen lassen nur hab ich vergessen die logdatei zu speichern. zusätzlich hab ich dann auch mal kaspersky installiert, der übrigens sagt, dass ich sauber bin. bis jetzt hatte ich auch keine probleme mehr.
was meinst du?

edit: malware, ccleaner und tuneup hab ich auch laufen lassen.

Aktuelles HJT-Logfile bitte :)

gruß

schrauber

guten morgen..

Hi,

Wenn Du keine Probleme mehr hast, würd ich sagen das wars dann endgültig :).

Zwei Sachen kannst Du noch machen. Wieder die Systemwiederherstellung zurücksetzen...

Systemwiederherstellung deaktivieren und wieder aktivieren:

• •*Windows XP: Deaktiviere die
  Systemwiederherstellung
  •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
  •*Wähle den Reiter Systemwiederherstellung
  •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
  •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
  •*den Haken wieder entfernen und OK drücken
  •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

Und die Windows-Update-Seite besuchen und Dich mit den neuesten Updates eindecken. Ansonsten sind wir hier fertig :)


gruß

schrauber

hallo schrauber,

ich bin zur zeit ein bißchen beschäftigt, aber die zeit um dir zu danken hab ich mir jetzt einfach mal genommen.:) besser zu spät, als nie oder?!
also...
läuft wieder alles wunderbar.
bist ein guter junge:aplaus:

bis nicht allzu bald hoffentlich...:)

Hallo zusammen,

bin neu, aber seit gestern das gleiche problem



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke. :)

[/edit]