Windows XP Weißer Bildschirm nach der Anmeldung
 

Hallo,

ich bin neu hier und melde mich gleich mal mit einem Problem.

Gestern hat mein Antivirenprogramm (Avira AntiVir) eine Virenwarnung ausgegeben. Als ich bei dieser auf "Entfernen" geklickt habe, wurde mein Bildschirm komplett weiß und hat auf nichts mehr reagiert. Ich habe den Laptop dann ausgeschaltet und wieder eingeschaltet. Er fuhr hoch, hat sich angemeldet, ich habe den Desktopm mit allen Icons gesehen, konnte auch Ordner und Dateien öffnen. Nach wenigen Sekunden kam aber wieder dieselbe Virenwarnung und der Desktop wurde komplett weiß. Dies ist jetzt jedesmal, wenn ich ihn aus- und einschalte so.
Ich habe versucht den Laptop im abgesicherten Modus zu starten. Er bleibt dort aber komplett schwarz, bis auf den Text am Rand "Abgesicherter Modus" etc.

Ich habe jetzt leider keine Ahnung, was ich tun soll.
Ich hab hier im Forum schon einige Threads mit dem selben Problem gesehen, da aber jeweils dabei stand, dass die Ratschläge nur für den Einzelfall gedacht sind, habe ich mich dazu entschieden einen neuen Thread zu eröffnen.

Wahrscheinlich werde ich ja einige Software benötigen. Dies kann dann etwas dauern, da ich erstmal schauen muss, wo ich ins Internet komme.

Zu meinem Laptop: Modell: Lenovo Thinkpad T60, Betriebssystem: Windows XP Professional

Ich hoffe mir kann jemand weiter helfen.

Vielen Dank im Voraus!

Probiere bitte, ob du eine Eingabeaufforderung bekommst, wenn du abgesichert mit Eingabeaufforderung bootest.

Nein, ich bekomme keine Eingabeaufforderung.

Okay, dann probieren wir erstmal, ob diese Variante funktioniert:

Computer entsperren mit HitmanPro.Kickstart

Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen!

• Bereite deinen USB-Stick wie folgt vor: Anleitung: HitmanPro.Kickstart
• Schliesse deinen präparierten Stick an den infizierten Rechner an und starte ihn vom Stick: Anleitung: Starten vom USB-Stick
• Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.
• Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).
• Klicke jetzt: Weiter > "Nein, ich möchte nur einen Einmalscan ..." > Weiter
• Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.
• Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.
• Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.
• Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.

Video-Anleitung: HitmanPro.Kickstart in Aktion (englisch)

Alles klar.
Das kann nur etwas dauern. Ich muss jetzt erst mal schauen, wo ich das Programm runterladen kann. Hier bei der Arbeit darf ich nichts runterladen.
Ich melde mich sobald ich den Schritt gemacht habe. Schonmal vielen Dank.

Alles klar.

Ich hab das jetzt probiert.
USB-Stick hab ich erstellt; Methode 1 durchgeführt und den Logfile gespeichert.
Leider hat sich dadurch das Problem aber nicht behoben, wodurch ich natürlich auch nicht an den Log-File komme.
Ich wollte dann Methode 2 durchführen, bekomme aber folgende Fehlermeldung:

"Der Systemprozess C:/WINDOWS/system32/services.exe wurde unerwartet mit dem Statuscode -1 beendet. Das System wird heruntergefahren und neu gestartet."

Nach der Aktion mit Hitman ... kommst du jetzt in abgesichert mit Eingabeaufforderung? Falls NICHT, dann ...

http://www.trojaner-board.de/90074-otlpe.html

Im abgesicherten Modus mit Eingabeaufforderung bekomme ich als Admin jetzt eine Eingabeaufforderung.

Hervorragend!

Computer mit Combofix entsperren

1. Combofix kopieren
   • Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
2. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
3. Combofix starten
   • Tippe explorer (Enter)
   • Finde den USB-Stick und starte Combofix mit einem Doppelklick.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle anderen Warnungen mit OK.
4. Logfile posten
   • Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken - Anleitung)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Das scheint funktioniert zu haben.

Hier der Log-File:

Hm das sieht ziemlich exotisch aus bei dir ...

Kannst du jetzt normal booten?
Wenn ja, dann berichte bitte ob da alles okay aussieht. Dann geht es weiter.

Ja, ich kann wieder normal booten und es sieht alles wieder normal aus.
Was ich vergessen hatte zu sagen: ComboFix musste ich zweimal laufen lassen. Nach dem ersten Mal kam während des Erstellen des Log-Files ein Hinweis der GUV auf Rechtsverstöße. Allerdings mit ausreichend Rechtschreibfehlern um das als nicht seriös einordnen zu können.

Okay ... dann finde bitte die erste Logdatei und zeige sie mir auch.

c:\qoobox\combofix2.txt sollte sie heissen

Alles klar, hier ist sie:

Das sieht okay aus.

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)

Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:


Schritt 3:

Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Habe alle drei Scans gemacht. Hier die Log-Files:

Malwarebytes:
ESET:
SecurityCheck:

Da kommen deine Probleme also her ... rooten eines Telefons?


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstalliere:
IBM 32-bit Runtime Environment for Java 2, v1.4.2
Java(TM) 6 Update 38
IBM 32-bit Runtime Environment for Java 2, v1.4.2


Schritt 2:
Java Update (Windows XP, Vista, 7)

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 25) herunter laden.
• Während der Installation entferne den Haken bei:
  http://www.trojaner-board.de/picture...&pictureid=319

Wenn die Installation beendet wurde:

• Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:

• Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen...
• Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.

Schritt 3:
Update: Firefox, Addons und Plugins

• Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Hilfe > Über Firefox
• Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.
• Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.
• Klicke nun auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons > http://www.trojaner-board.de/picture...&pictureid=326 > Auf Updates überprüfen
• Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig), ob folgende Links fehlende Updates bei deinen Plugins zeigen:

• PluginCheck-Schnelltest
• Mozilla Plugin-Check

Schritt 4:
Update: Internetexplorer

Auch wenn du einen anderen Browser benutzt, Windows benutzt intern den Internetexplorer!

• Lade dir bitte die neueste Version des Internetexplorers
• Entferne den Haken bei "Ich möchte Bing ...".
• Starte die Installation und folge den Anweisungen des Setups.

Schritt 5:
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  

  Code:

  ---

  Folder::
D:\Programme\SuperOneClick
C:\Dokumente und Einstellungen\User\Desktop\Hilfsprogramme\SuperOneClick

ClearJavaCache::

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Ich hab jetzt alles ausgeführt.
Beim PluginCheck sollte ich den Browser, AcrobatReader und Flash Player aktualisieren.
Browser aktualisieren war kein Problem.
Beim Aktualisieren von AcrobarReader kam mehrfach die Anzeige: Die DLL "C:\WINDOWS\system32\pngfilt.dll" ist keine gültige Windowskomponente.
Die Aktualisierung war aber trotzdem erfolgreich.
Beim Aktualisieren des FlashPlayers kam die gleiche Meldung. Danach wurde mir angezeigt, dass das Aktualisieren erfolgreich war. Der PluginCheck zeigt aber immernoch an, dass die Version veraltet ist.

Hier der Log-File von ComboFix:

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)

Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:


Schritt 3:

Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

So, ich habe jetzt wieder alle drei Scans durch. Hier sind die Log-Files:

Malwarebytes:
ESET:
SecuityCheck:

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde:
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:

Falls du mich jetzt fragen willst, was mit den noch gefundenen Bedrohungen von Eset ist ... lies bitte jetzt nochmal meinen Hinweis zu delfix einige wenige Zeilen weiter oben.

Schritt 3:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen und dabei gefundene Bedrohungen einfach entfernen zu lassen. Meist ist es ohnehin nur Werbung oder manipulierte Webseiten im Browsercache. Also bitte keine Panik, wenn mal ein Fund auftaucht! Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Schritt 4:
Update: Internetexplorer

Auch wenn du einen anderen Browser benutzt, Windows benutzt intern den Internetexplorer!

• Lade dir bitte die neueste Version des Internetexplorers
• Entferne den Haken bei "Ich möchte Bing ...".
• Starte die Installation und folge den Anweisungen des Setups.

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Alles klar, ich hab alles befolgt und mir gut durchgelesen.
Zunächst einmal: VIELEN DANK!
Das ist hier echt ein super Service und natürlich werde ich gerne das Trojaner-Board auch unterstützen.

Über eine Sache bin ich aber gestolpert:
Die Frage was mit den gefundenen Bedrohungen von ESET ist, ist für mich mit delfix nicht beantwortet.
Bei der Anleitung zur Benutzung von ESET stand als vorletzter Punkt "ESET deinstallieren".
Das habe ich auch gemacht. War das etwas voreilig? Somit waren die Dateien ja auch nicht mehr in der Quarantäne und wurden von delfix nicht gelöscht. Oder habe ich das falsch verstanden?

Delfix killt die so oder so.

Super, dann hab ich keine weiteren Fragen mehr.
Vielen Dank und einen schönen Abend.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board