Trojaner Ransom-D / Weißer Bildschirm: "Diese Website kann nicht angezeigt werden"
 

Hallo,

ich habe ein ähnliches Problem wie hexchen06.

Habe mir laut Avast einen Tojaner Ransom-D eingefangen. Bin sofort aus dem Internet gegangen und alle Verbindungen gekappt.

Wenn ich den Computer neu starte, erscheint ein weißer Bildschirm mit "Diese Website kann nicht angezeigt werden ..."

Bisher habe ich Folgendes gemacht:

1. Habe den Computer wieder runtergefahren und im abgesicherten Modus neu gestartet (habe Windows 7). Dann alle Dateien auf externer Festplatte gespeichert.

2. Computer normal wieder gestartet und über Avast eine komplette Überprüfung durchführen lassen. Es wurde nichts gefunden. Der Trojaner Ransom-D war bei Avast im Virus-Container und den habe ich dann gelöscht.

3. Nach erneutem Neustart konnte Firefox nur noch im abgesicherten Modus gestartet werden und manchmal wurde der Desktop nicht mehr angezeigt. Daher habe ich dann Windows 7 komplett neu installiert.

Nach der Neuinstallation von Windows 7 habe ich nun folgende Situation:
- Desktop sieht aus wie im abgesicherten Modus gestartet (habe ich jedoch nicht)
- Es kann keine Verbindung zum Internet hergestellt werden (erkennt keine Netzwerke).

Was muss ich jetzt tun? Ist der Trojaner noch bei mir drauf?
Und soll ich die gleichen Schritte wie hexchen06, wie von t'john beschrieben, durchführen?

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Danke.

Habe einen Vollscan mit malwarebytes durchgeführt. Anbei der Log:


Leider kann ich mit dem infizierten Rechner nicht mehr online gehen und daher auch nicht den ESET Online Scan durchführen.

Gibt es noch eine weitere Möglichkeit? Z.B. anderes Programm auf USB-Stick speichern und einen Offline-Scan durchführen?

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Leider geht es auch im abgesicherten Modus mit Netzwerktreibern nicht.

Habe auch mal ein LAN-Kabel angeschlossen, aber auch damit kann ich nicht ins Internet.

Gibts noch andere Möglichkeiten?

Mach erstmal ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ok. Habe nun OTL durchgeführt.

Da er aber nach einiger Zeit sagte "Out of memory" habe ich den OTL Scan in "Minimaler Ausgabe" + Scan (links oben) durchgeführt.

Da hat er dann wieder nach einiger Zeit "Out of memory" angzeigt.

Schließlich habe ich dann den OTL Scan in "Minimaler Ausgabe" + Quick Scan durchgeführt. Hat leider auch nicht geklappt - hat wieder "Out of Memory" angzeigt. Screenshot dazu im Anhang.

Ist das in allen Modi so, hast du das also auch im abgesicherten Modus (mit Netwerktreibern) ausprobiert?

Ja. Habe es in allen Modi (normal, abgesicherter Modus, abgesicherter Modus mit Netzwerktreibern) in allen drei Varianten ausprobiert.

Es erschien immer bei "Manual File Scan - Getting folder structure" nach einigen Minuten die Meldung "Out of memory".

Dann mach es so

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Habe Folgendes gemacht:

Normaler Modus
1. Standard-Ausgabe + Quick Scan
-> out of memory

2. Minimal Ausgabe + Scan
-> out of memory

3. Minimal Ausgabe + Quick-Scan
-> out of memory


Abgesicherter Modus
1. Standard-Ausgabe + Quick Scan
-> out of memory

2. Minimal Ausgabe + Scan
-> out of memory

3. Minimal Ausgabe + Quick-Scan
-> out of memory


Abgesicherter Modus mit Netzwerktreibern
1. Standard-Ausgabe + Quick Scan
-> out of memory

2. Minimal Ausgabe + Scan
-> out of memory

3. Minimal Ausgabe + Quick-Scan
-> out of memory

Hat bei jedem Modus leider nicht funktioniert. Auch nicht in miniamaler Ausgabe.

Dann müssen wir OTL sein lassen, bitte mach nun ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

ComboFix hat geklappt.

Hier der Log dazu:

Hm, wirklich viel steht da auch nicht gerade drin :wtf:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Ok. Habe den TDSS Killer wie beschrieben ausgeführt.

Das Log dazu anbei:

Ok, ist auch unauffällig. Probier bitte nochmal OTL aus

Ok. OTL habe ich nochmal in allen Modi und jeweils in allen Ausgaben (Standard + Minimal) und mit beiden Scans (Scan + Quick Scan) ausgeführt.

Es hat leider jedoch in allen 9 Fällen wieder zu "out of memory" geführt.

Liegt es vielleicht daran, dass ich Windows 7 neu installiert hatte (siehe meinen ersten Post)?

Das ist doch nun völlig egal ob Win7 heute, gestern oder vor einem Jahr installiert wurde :wtf:
Kannst du denn jetz tESET mal ausführen, geht das?

Ich komme leider mit dem infizierten Rechner nicht ins Internet.

Auch nicht im abgesicherten Modus mit Netzwerktreibern.

Es werden keine Verbindungen mehr angzeigt.

Das hast du schon geprüft?


Falsche Proxy Einstellungen entfernen

• Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
• Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
  wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)

Ich habe gerade einmal nachgeschaut. Bei der Proxy-Einstellungen ist alles wie bei dir beschrieben (also kein Häkchen bei Proxyserver).

Und dennoch kommst du nicht ins Internet?

• Klick mit rechts auf einen freien Bereich auf dem Desktop und sag "Neu, Verknüpfung erstellen"
  
  
• Tipp als Ziel cmd.exe ein und bestätige mit OK, eine neue Verknüpfung zur Konsole auf dem Desktop müsste sich nun befinden
  
  
• Falls dem so ist, diese neue Verknüpfung rechtsklicken => Als Administrator ausführen => Sicherheitsabfrage der Benutzerkontensteuerung ggf. bestätigen => schwarze Eingabeaufforderung öffnet sich
  
  
• Tipp dort ein:
  Code:

  ---

  ipconfig /all > c:\ipconfig.txt

  ---

  und bestätige mit enter.
  
  
• Öffne die Datei c:\ipconfig.txt und poste den Inhalt hier mit CODE-Tags umschlossen

Ok. Habe ich gemacht. Hier der Inhalt aus c:\ipconfig.txt

Hast du nur Netwerkadapter über Bluetooth? :wtf:

Wenn ich ins Netzwerk- und Freigabecenter gehe und dann auf "Adaptereinstellungen ändern" wird mir nur eine "Bluetooth-Netzwerkverbindung" angezeigt.

Ich sitze gerade an dem exakt gleichen Laptop (nicht infiziert) mit den gleichen Einstellungen, die der Infizierte vorher auch hatte. Wenn ich dort auf "Adaptereinstellungen ändern" gehe, werden mir neben Bluetooth noch drei Netzwerkverbindungen und eine LAN-Verbindung angezeigt. Ich würde daher vermuten, dass vor dem Virus neben dem Bluetooth auch die Netzwerk- und LAN-Verbindungen vorhanden waren?!

Dann sind die Netzwerkadapter entweder nicht aktiviert oder nicht installiert - kannst du darüber was sagen? Was steht im Gerätemanager?

Im Gerätemanager werden keine Netzwerkadapter angezeigt (außer dem Bluetooth). Muss ich die bzw. dazugehörige Treiber dann neu installieren?

Ich weiß nicht wirklich über welchen Dapter du normalerweise ins Netz gehst!
Machst du das alles mit dem BlueTooth-Adapter, wohl kaum oder doch?! :wtf:
Ist irgendwas hardwareseitg zB durch einen Schieberegeler beim Notebook oder gar im BIOS deaktiviert worden?

Normalerweise gehe ich über die Netzwerkadapter und nicht über Bluetooth ins Internet. Im BIOS sind Netzwerkadapter aktiviert. Durch einen Schieberegeler o.ä. wurde sie auch nicht deaktiviert.

Ich schaue nochmal nach, ob ich irgendwas finden kann, wie ich die "alten" Netzwerkadapter wieder aktivieren kann.

Leider habe ich keine Möglichkeit gefunden die Netzwerkadapter wieder zu aktivieren. Habe auch alle Treiber für meinen (infizierten) Laptop von der Herstellerseite runtergeladen und installiert. Jedoch komme ich weiterhin nicht ins Internet.

Hast du vielleicht noch ne Idee was ich machen könnte? Windows vielleicht nochmals komplett neu installieren? Gebe es auch eine Möglichkeit den Trojaner auch ohne Online-Scan loszuwerden?

Kommst du mit einem Linux-Live-Betriebssystem ins Internet?

Ja, hat geklappt. Ich habe mir Knoppix auf eine CD gebrannt und kann von der CD aus Knoppix starten und dann komme ich auch wieder ins Internet.

Habe auch schon versucht den ESET Online Scanner auszuführen. Hat jedoch nicht funktioniert. Hatte mir erst Firefox runtergeladen, dann die esetsmartinstaller_enu.exe runtergeladen. Kann diese jedoch nicht installieren. Kannst du mir da weiterhelfen?

Das geht unter Knoppix natürlich nicht weil das nur für Windows gedacht ist!
Der Test mit Knoppix sollte eigentlich nur die Frage klären ob du gar keine Internetverbindung mehr hast oder nur unter Windows nicht

Vermutlich ist schon zuviel an deiner Windows-Installation defekt oder hat sich irgendwas innerhalb der letzten 8 Tage in deenen du nicht geantwortet hast geändert

Leider hat sich nichts geändert. Bin nur im Moment viel unterwegs, daher hat das Ausprobieren und Antworten länger gedauert.

Wie können wir jetzt weiter vorgehen?

Versuch mal eine Reparaturinstallation wie zB hier beschrieben => Windows 7 Reparaturinstallation: Windows 7 Inplace Upgrade

Das Inplace Upgrade habe ich durchgeführt. Am Zustand hat sich jedoch leider nichts geändert (keine Internetverbindung, wirkt wie im abgesicherten Modus, ...). :confused:

Hab dein Eingangsposting nochmal gelesen und mir ist aufgefallen, dass du nach der Installation von Win7 wohl keine Treiber installiert hast. Du musst einfach nur die fehlenden Treiber nachinstallieren

Ja das ist auch dann folgerichtig wenn Windows keine Treiber hat!
Schau im Gerätemanager in der Rubrik unbekannte Geräte, da müsste auf jeden Fall noch ein Etheradapter sein, der der Treiber braucht!

Super. So hat es geklappt. Komme jetzt mit LAN-Kabel ins Internet. :)

Ich habe jetzt den ESET Online Scan durchgeführt.

Er hat 9 Infektionen gefunden. Als er fertig war, habe ich wie in deinem ersten Post beschrieben, den Ausführbefehl eingegeben. Scheint jedoch nicht ganz richtig zu sein, oder?

Ich habe dann auf den Befehl "in Textdatei exportieren" gedrückt mit folgendem Ergebnis:

Das kommt davon wenn man bei einer Neuinstallation das Laufwerk nicht formatiert
Das Windows-Setup hat die vorhandenen Ordner auf der verseuchten Windows-Installation nach windows.old verschoben und ESET findet da nun Schädlinge. Das sind aber nur Altlasten, in dem aktuellen Windowsordner wurde ja nichts gefunden.

An für sich kann der ganze Ordner Windows.old weg.

Ok. Also kann ich den Windows.old-Ordner löschen und dann ist alles in Ordnung? Oder muss ich noch etwas beachten?

Es ist JETZT schon alles in Ordnung, ich schrieb doch, dass nur in den nicht aktiven Altlasten etwas gefunden wurde!