BKA WIN7 nur mehr weisse Fläche
 

Hi

habe seit gestern offensichtlich BKA Trojaner - konnte nicht feststellen welchen konkret

bei boot nur mehr "weisser Screen" - auch im "safe mode" nogo, nur "DOS Mode" geht noch

befallener Laptopist Win7 64 Bit professional

habe :
- bootfähigen USB Stick
- zweiten Computer mit Web Access
- große Verzweiflung

Danke im Voraus für Hilfe
Peter

Hi,
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung
1 (FRST-Variante) und Anleitung
2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST
  32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und
  boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten
  Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• 
  Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und
  klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• 
  Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und
  klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle
in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei
  > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere
  den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf
deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Hi

danke für die superschnelle Antwort - anbei das Ergebnis (bin im DOS mode hochgefahren, da ich nicht als admin anloggen konnte und den user auch nicht ändern konnte)

danke für Deine Hilfe
peter


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


zusatzinfo : habe mir den Trojaner voraussichtlich am 5.7.2013 ca. 17:00 CET eingefangen

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



Navigiere bitte zu:
C:\FRST\Quarantine
Rechtsklick, mit Winrar oder einem anderen Archvierer packen und im Uploadchannel hochladen.
Trojaner-Board Upload Channel

Hi

habe mittlerweile folgende Dateien umbenannt :

Files to move or delete:
====================
C:\Users\pe130296\AppData\Roaming\skype.dat
C:\Users\pe130296\AppData\Roaming\skype.ini
C:\ProgramData\ntuser.dat

konnte nun Windows wieder starten:singsing: und habe mal mcaffee laufen und
würde danach adware laufen lassen ?

cheers
peter

hab ich was von umbenennen gesagt, mach das was hier steht, sonst kann ich mir die Arbeit auch sparen
was hat mcafee als ergebniss gebracht

valider punkt - mcaffee läuft noch ca. 2-3 stunden (full scan)
und hat bis dato 12 Trojaner gefunden RDN und exploit (mir sagt es nichts9

ich brauche die Fundmeldungen am ende, mit Pfadangabe

Ok schick gesammelt wenn durch

bitte solche zwischenposts weg lassen, da neue an den angehangen werden, danke

Hier nun der mcafee scan result :

habe jetzt ja blöderweise die "3" files unbenannt und dann mcafee :-(
Frage : soll ich wieder "zurückbenennen" wie ursprünglich und dann das machen was Du geschrieben hast ?
( komm mir ehrlich gesagt ein wenig blöd vor :headbang: )

nein.
lösche sie.
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

log file von TDSSKiller :

Hi,
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

and here we go :