NT-Autorität/System - PC fährt automatisch herunter - Blaster/Sasser-Virus?
 

Hallo liebes Trojaner-Board-Team!

Ich habe auf meinem PC ein schwerwiegendes Problem:

Ich habe ein Avira-Update gemacht. Seitdem habe ich das Problem, dass ich folgende Meldung bekomme

"System herunterfahren"
Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab. Alle Änderungen, die nicht gespeichert werden, gehen verloren. Das Herunterfahren wurde von NT-AUTORITÄT\SYSTEM ausgelöst.

Zeit bis zum Herunterfahren 00:00:60

Den Countdown konnte ich über "Start" -> "Ausführen" -> shutdown -a -> Enter stoppen.

Ein Arbeiten mit dem PC ist nicht möglich. Programme werden geschlossen oder laufen erst gar nicht richtig. Ich habe schon mehrere Wege versucht den Plagegeist ausfindig zu machen.
- Avira entdeckt nichts.
- Malewarebytes Anti-Malware von CD installiert gibt mir den Fehler: "Run-time error '372': Failed to load control 'vbalGrid' from vbalsgrid6.ocx. Your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application. -> Neuste Version frisch runtergeladen vom sauberen PC und auf CD gebrannt.
- Internet lässt sich weder mit Explorer noch mit Firefox öffnen.
- Es ist NICHT möglich Dateien von dem Rechner auf externe Datenträger zu speichern. Es funktioniert einfach nicht. :confused: Ich kann daher keine LOG-Dateien posten, da auf dem Rechner kein Internet funktioniert und ich die LOG-Dateien nicht von dem Rechner herunterbekomme.
- Ich habe schon mit Programmen wie FixBlast mein Glück versucht, der hat aber nichts gefunden. Und beim Stinger kam ich gar nicht erst zum Scannen.

Nun habe ich keine Ahnung was ich noch unternehmen kann, um meinen Rechner wieder zum Laufen zu kriegen. Ich vermute, dass es sich um den Sasser/Blaster-Wurm handelt, aber ich werde ihn nicht los!!!:headbang:

Ich hoffe hier kann mir geholfen werden! :heulen:

Hi,

wenn es nicht läuft mal im abgesicherten Modus versuchen:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Vielen Dank für die schnelle Antwort!

Auch im abgesicherten Modus komme ich nicht ins Internet. Also habe ich die aktuelle Version wieder auf CD gebrannt und wollte diese dann von dort aus aufs Desktop packen. Dies funktioniert leider auch nicht. Weder mit kopieren und dann einfügen (einfügen wird nachdem ich rechte Maustaste gedrückt habe und sich das Menü öffnet gar nicht angezeigt) noch mit dem Versuch es zu verschieben komme ich nicht weiter. Wenn ich das Programm von der CD starte, bekomme ich die Meldung:
"Scan completed. The "FRST.txt" is saved in the same location FRST tool is run."
Wenn ich dann auf OK klicke, öffnet sich Editor und folgende 2 weitere Meldungen erscheinen:
"The Addition.txt is saved in the same location FRST tool is run."
und von Editor:
"Die Datei D:\\Addition.txt kann nicht gefunden werden. Möchten Sie eine neue Datei erstellen?"

Oh man, was soll ich tun?

Das Tool nicht auf CD brennen, das geht nicht. Einfach auf nen Stick packen, rüber auf den Desktop des infizierten Rechners, laufen lassen. Logs kommen auf den Desktop, Logs auf den Stick ziehen, hier posten.

Und wenn Du den abgesicherten Modus mit Netzwerk nimmst könnte sogar das Internet gehen :)

Hier die Log- und Addition-Datei im Anhang!

Internet ging leider trotzdem nicht :-(
Die geöffneten Programme und Fenster werden auch unten in der Task-Leiste nicht angezeigt.

Ich hoffe, dass mir jetzt geholfen werden kann... :)

hi,

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Hier noch die Addition-Datei. Sorry!

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo,

leider bekomme ich das Programm nicht von dem Stick auf den Desktop verschoben/kopiert etc.

Soll ich das Programm vom Stick aus ausführen? Ich würde ja auch die Log-Datei nicht wieder auf den Stick bekommen.

MfG

Was genau pasiert wenn Du es vom Stick ziehen willst? Das muss eigentlich gehen.

Es passiert gar nichts. Das Symbol erscheint nicht mal durchsichtig hinterlegt an der Maus um es rüber zu ziehen. Und mit Kopieren und einfügen funktioniert es auch nicht. Wenn ich rechte Maustaste drücke und auf kopieren drücke und anschließend auf Desktop rechte Maustaste, dann ist Einfügen grau hinterlegt und kann nicht ausgewählt werden. Das Gleiche mit STRG + C bzw. STRG + V.

Stick formatieren, Combofix neu drauf laden. Wenn es dann wirklich nicht geht vom Stick aus ausführen.

Also es geht nur vom Stick aus. Aber wenn ich ComboFix durchlaufen lasse (habe es im normalen und im abgesicherten Modus probiert) bleibt er immer bei der gleichen Zeile stehen (Zielverzeichnis: E:\32788R22FWJFW) und folgende Meldung erscheint:
ComboFix NSIS Installer hat ein Problem festgestellt und muss beendet werden. (Problembericht).

Uiui, was hab ich mir da eingefangen ....

Du kannst den Rechner also auch im normalen Modus starten, hast lediglich keine Inetverbindung?

Ja, genau. Wenn ich Firefox starten will erscheint "Morzilla Absturz-Melder" mit der Option Firefox neu zu starten (dann erscheint wieder die gleiche Meldung) oder zu beenden.
Beim IE öffnet sich im normalen Modus ganz kurz das Fenster und verschwindet sofort wieder. Es wird auch nicht im Task-Manager angezeigt. Und unten in der Task-Leiste erscheint ja sowieso keine Meldung/Fenster. Im abgesicherten Modus öffnet sich zwar Internet, aber es lädt nicht. Da passiert gar nichts.

Dann bitte FRST im normalen Modus ausführen und das Log posten.

Guten Morgen,

ich habe gestern abend versucht, FRST im normalen Modus vom Stick auszuführen. Dort hängte sich das Programm sofort auf, als ich Scan drückte. Es tat sich auch länger nichts mehr. Über den TASK-Manager wurde mir angezeigt, dass das Programm 2x geöffnet war (wirklich nur einmal geöffnet) und dahinter in Klammern "Keine Rückmeldung". Hatte es mehrmals probiert. Heute morgen habe ich es erneut probiert, aber nun wird mir der Stick nicht mal mehr im Arbeitsplatz angezeigt, obwohl ich ihn "Sicher entfernen" kann in der TASK-Leiste. Habe den Stick erneut formatiert und FRST draufgeladen und wieder das Gleiche. :-S

Geht es im Safe Mode noch? Wenn ja ein frisches FRST von dort, dann versuchen wir mal nen FRST-Fix.

So, er hat sich zwar erst ein wenig gewehrt, aber hier das Log

FRST Logfile:
--- --- ---

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hier die Datei. Ich hatte gleich nachdem ich auf Fix geklickt habe folgende Meldung:

AutoIt Error
Line 15565 (File "C:\FRST.exe")
Error: Subscript used with non-Array variable.

Ok, bitte nochmal nen frischen Scan machen mit FRST. Geht der normale Modus?

Also ich habe es nach einem bisschen probieren im normalen Modus hinbekommen.


FRST Logfile:
--- --- ---

Dann jetzt bitte Combofix im normalen Modus:

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo,

ich habe das gleiche Problem wie beim 13. Post. Das Programm lässt sich nicht vom Stick auf den Desktop ziehen und vom Stick ausgeführt bleibt er wieder an der gleichen Stelle hängen. Dann kommt die Meldung, dass ein Problem festgestellt worden ist und das Programm beendet werden muss. Im Task-Manager wird angezeigt, dass Combofix ausgeführt wird.
Das gleiche ist auch im abgesicherten Modus der Fall.

Hast Du ne frische Version geladen? Wenn das nicht geht folgendes, wenn möglich im normalen Modus:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo!
So, ich habe das Programm wieder auf einen Stick gezogen und im abgesicherten Modus eine Verknüpfung aufs Desktop gelegt und von dort konnte ich die Datein auf den Desktop entpacken. Ohne Internetverbindung konnte ich kein Update machen. Ich habe den Rechner danach nochmal runtergefahren und danach ließ sich das Programm weder im normalen noch im angesicherten Modus starten. Es kam immer die Meldung, dass das bereits Programm läuft, aber im Task-Manager wurde nichts angezeigt. Soll ich es nochmal neu installieren und wenn ja, macht es überhaupt Sinn ohne dass ich ins Internet komme und dann das Programm nicht updaten kann? Oder soll ich dann so einen Scan ausführen?

Hast Du ne Win XP CD?

Ja, ich habe die original CD von Microsoft Windows XP Professional SP2.

Durchführen einer Reparaturinstallation von Windows*XP, wenn Internet Explorer*7 installiert ist

Mach das mal.

Ich habe nun die Reperaturinstallation durchgefüht, aber nun bekomme ich nur einen blauen Bildschirm mit dem Hinweis, dass Windows ein Problem festgestellt hat und der Rechner neu gestartet wird. Dies macht er dann aber auch in Dauerschleife! Was kann ich jetzt tun? Kann ich irgendwie Daten noch sichern?

MfG

Wurde die Repinstallation genau durchgeführt, bis er fertig war und es kamen keine Fehlermeldungen? Steht sonst noch was an Text da?

Hallo...

da bin ich wieder. Die Reparaturinstallation wurde komplett durchgeführt und es kamen (soweit ich mich erinnern kann) keine Fehlermeldungen. Als ich dann den Rechner neu startete kam:
"Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird.

Wenn Sie diese Fehlermeldung zum ersten Mal angezeigt bekommen, sollten Sie den Computer neu starten. Wenn diese Meldung weiterhin angezeigt wird, müssen Sie den folgenden Schritten folgen:
Stellen Sie sicher, dass ausreichend Festplattenspeicherplatz verfügbar ist. Deaktivieren Sie den Treiber oder fragen Sie den Hersteller nach einem Update, falls ein Treiber in der Nachricht angegeben ist. Tauschen Sie die Videokarten aus.

Fragen Sie Ihren Hardwarehersteller nach BIOS-Updates. Deaktivieren Sie BIOS-Speicheroptionen wie Caching oder Shadowing. Starten Sie den Computer neu, drücken Sie die F8-Taste, um die Erweiterten Startoptionen auszuwählen, und wählen Sie dann "Erweiterte Startoptionen", falls Sie den abgesicherten Modus zum Löschen oder Deaktivieren von Komponenten verwenden müssen.

Technische Information:

*** STOP: 0x0000007E (0xC0000005,0x805ABE71, 0xBA4C31DC, 0xBA4C2ED8)"

Der Rechner wird immerwieder automatisch neu gestartet, wenn der Text auf dem Bildschirm angezeigt wird.

kannst abgesichert starten?

Nein, leider nicht. Komme nicht in das Menü, wo man das auswählen kann. Von der CD lässt sich der PC auch nicht mehr starten. Egal was ich mache, es erscheint gleich der blaue Bildschirm mit oben genannten Text und der Rechner startet andauernd neu.

LG

technisch unmöglich, auser die Hardware wäre defekt. Beshreib bitte genau was Du machst wenn Du versuchst von CD zu booten.

Hallo schrauber!
Entschuldige die verspätete Antwort, aber ich hab mittlerweile ein Kind bekommen...

Ich habe mich nun wieder mit dem Problem auseinandersetzen können:
Also zunächst waren die Batterien von der Tastatur leer (auf so einen banalen Fehler muss man erstmal kommen...). Also konnte ich per Eingabe mit beliebiger Taste nicht von der CD starten.
Von CD aus starten, weiß ich nicht. Aber ich komme zumindest wieder ins Setup für die Reparaturinstallation und ins BIOS.
Als ich dann im abgesicherten Modus startete, wurde mir folgender schwarzer Bildschirm mit nur einer Auswahlmöglichkeit angezeigt:

"Wählen Sie das zu startende Betriebssystem:
Microsoft Windows XP Professional
Verwenden Sie Pfeil ....

Problembehandlung und erweiterte Windows-Startoptionen: F8-Taste drücken"

Wenn ich nichts drücke kommt der blaue Bildschirm mit andauerndem Neustart.

Liebe Grüße

congrats :)

Kannst Du jetzt wieder von der Reatogo CD booten oder nicht?

:dankeschoen:

Ich weiß leider nicht was ich im Bios dafür auswählen muss...:pfeiff:

LG

Mach das mal bitte:

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo!

So, ich habe den Scan durchgeführt. Die Extras.txt-Datei konnte ich nicht auf dem Rechner finden. Habe ich etwas falsch gemacht? Aber die C:/OTL.txt habe ich hier:

OTL Logfile:
--- --- ---


[/CODE]

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Rechner normal starten.

Hallo Schrauber!

Es hat ein bisschen gedauert, aber hier erstmal die LOG-File:

Rechner normal starten geht leider immer noch nicht.

Liebe Grüße

4 Monate?

Formatier den PC doch einfach....

Hallo!

Ja, ich weiß!:stirn:
Aber das unser PC für's Haus sozusagen und ich habe da Dateien drauf, die ich halt für die Berechnung von Nebenkosten (wieder) benötige. Deswegen trau ich mich nicht den platt zu machen, weil ich denke die Daten werden dann für immer verloren sein...

LG

Die Daten kannste sichern, wenn du mit Reatogo gebootet hast.

Hallo!
Ja, ich konnte mir die Daten vom Rechner ziehen. Der kann dann "platt" gemacht werden. Schade eigentlich, weil ich auch nicht verstehe wieso sich sowas auf Systemen, die durch Antivirensoftware und Firewalls geschützt sind, einnisten kann.

Ich habe da noch eine Frage: Was hat denn der Patient nun?

Ich bedanke mich für den Suppot und hoffe, dass es in Zukunft nicht noch öfter passiert. Vielleicht hast Du ja einen Tipp für mich...

Ich hoff du meinst die Frage nicht ernst :). Ein AV Programm kann dich niemals 100% schützen, erst recht nicht wenn Download und/oder Surfverhalten fragwürdig sind.