MTB-News.de

Problem - Nur noch Vollbild

trauntaler

trauntaler

Eure life hacks sind meine basics!
Registriert
17. Juni 2003
Reaktionspunkte
875
Ort
Chiemgau
Hallo!

Nach dem Besuch einer youtube-to-flv Seite hatte es kurz gepiepst (Avira meldet Malware) und der Browser ging in den Vollbild-Modus (oder schon ein anderes Prog.).
Ein Neustart half nicht, selbst im abgesicherten Modus kommt nach dem Start nur noch dieses Vollbild eines Browsers der nichts findet. Strg+Alt+Entf bringt auch nichts, es kommt kurz das Fenster zum Task-Manager aber es ist so schnell wieder weg das man nichts anklicken kann.

Zum System: Asus S1 PC mit XP, alle XP-Updates installiert, Opera als Standard-Browser, Avira-Antivir free, Comodo Firewall.

Leider habe ich keinen passenden Adapter um meine Festplatte an das Toughbook (von dem ich gerade schreibe) anzuschließen und zu scannen. Kann ich noch irgendwas probieren? Festplatte ausbauen und scannen? Oder hilft nur noch platt machen?

Grüße
Stefan

PS: Zum Glück ist das letzte Backup nur 10 Tage alt. Leider funktioniert das CD-Laufwerk nicht *g*
 
Wenn das CD Laufwerk nicht geht: Von einem Linux auf USB-Stick starten?
Fiel mir nur so ein, bin aber kein Computerfreak/experte.
 
trauntaler schrieb:
(Avira meldet Malware)
Zum Vergrößern anklicken....
Wie ist/war die Fundmeldung/Pfadangabe?
#2 Desktop wieder verfügbar machen
________________________________________
Bitte starten Sie Ihren Rechner im abgesicherten Modus mit Eingabeaufforderung drücken Sie hierfür beim Rechnerstart die Taste "F8" um dorthin zu gelangen.
Sie arbeiten in folge über die erscheinende Konsole.
Bitte öffnen Sie die Registrierungsdatenbank von Windows über den Befehl "regedit".

Navigieren Sie hier zu folgendem Registrykey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Hier finden Sie den Eintrag "Shell", der Wert dieses Eintrags wurde von dem Virus verändert. Geben Sie als Wert bitte "Explorer.exe" an.

Navigieren Sie in Folge zu den folgenden Registrykeys:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Entfernen Sie hier bitte die Einträge, die Sie nicht einem bestimmten Programm, welches sich im Autostart befinden soll, zuordnen können.

Geben Sie nun in die Konsole den Befehl "shutdown -s" ein um den Rechner korrekt herunterzufahren.
Scannen Sie Ihren Rechner nun mit Avira auf Viren. Entfernen Sie diese.
Bitte starten Sie den Rechner neu, der Desktop sollte nun wieder korrekt geladen werden.
Zum Vergrößern anklicken....
 
4mate schrieb:
Wie ist/war die Fundmeldung/Pfadangabe?
Zum Vergrößern anklicken....

Das ging zu schnell, die Meldung wurde keine 2 sec angezeigt.

Starten im abgesicherten Modus mit Eingabeaufforderung funktioniert zwar, leider wird das Eingabefenster dann aber nicht angezeigt (man sieht es auch nicht auf dem kurz aufflackernden Task-Manager-Fenster).

Es ist dann immer nur ein Vollbild-Screen mit einer kleinen Meldung das der Browser keinen Inhalt findet (ähnlich IE).

Grüße
 
Zur Klarifizierung:
Der Internetbrowser startet selbständig und überdeckt alle anderen Programme und Taskbar und läßt sich mangels Titelleiste auch nicht mehr schließen?
Hast du schon mal F11 gedrückt (Vollbildmodus an/aus)? Alt+F4 schließt den Browser auch nicht? Windowstaste+D blendet Desktop nicht ein? Nur Alt+Leertaste und schließen anklicken?
Kannst du überhaupt andere Programme sichtbar starten? Im Zweifelsfall Alt+E (Windows Explorer) oder Alt+R (ausführen)?

Oder startet der Internetbrowser im Vollbildmodus, wenn du ihn anklickst?
Dann hilft vielleicht eine Neuinstallation des Browsers.
 
Toolkid schrieb:
Zur Klarifizierung:
Der Internetbrowser startet selbständig und überdeckt alle anderen Programme und Taskbar und läßt sich mangels Titelleiste auch nicht mehr schließen?
Zum Vergrößern anklicken....

Ich kann leider nicht sicher sagen ob es ein Browser ist, es sieht jedenfalls so ähnlich aus. Es wird bei Start nur kurz der Win-XP Willkommen Bildschirm angezeigt, dann lädt nicht mal mein Hintergrundbild und schon ist diese weiße Vollbild mit dem Hinweis das die Seite nicht geladen werden kann.

Win+E Win+R ALT+F4 Tab etc. funktioniert alles nichts. Strg+Alt+entf bringt ganz kurz den Taskmanager, der ist aber nur 1/2 sec sichtbar. Dort scheint keine Anwendung aktiv zu sein.

4mate schrieb:
Ein Fall für das Avira Forum http://forum.avira.com/wbb/index.php?page=Index denn dieser Fall einer Infektion ist neu
Zum Vergrößern anklicken....

Denke ich auch langsam. Werde vielleicht mal knoppix probieren, mein CD-Laufwerk funktionierte nur unter Win nicht.

Grüße

PS: Ich kann IXconverter nicht empfehlen :mad:
 
Versuche mal einen neuen Benutzer anzulegen und dort rein zu starten. Hatte das letztens in einer Firma auch. Habe dann einen neuen Benutzer angelegt und das alte Profil gelöscht. Der Virus bzw. Maleware hing nämlich nur in den Dateien des Benutzers fest nicht in den Windowsordnern... ;)
 
Und wie soll das gehen auf einem komplett weißen Bildschirm ohne Icons
und ohne die Möglichkeit irgendetwas anklicken oder öffnen zu können?
 
Mit jeglicher BootCD funktioniert das ;)

Man sollte natürlich auf das Dateisystem zugreifen können. Am einfachsten wäre es den Benutzer der automatisch eingeloggt wird einfach unbenannt wird. Dies sollte dazu führen das ein neues Profil mit neuem Ordner angelegt wird. Ein Versuch ist es Wert! :p
 
Ich hatte nach dem Start im abgesicherten Modus zwischen zwei Benutzern gewählt, es war immer das gleiche Problem.

Inzwischen habe ich den PC zerlegt, von Staub befreit und auch das CD-Laufwerk gereinigt. Siehe da das Laufwerk funktioniert wieder und ich habe ein Image aufspielen können. Leider war das Image über ein Jahr alt und ich muss viel Zeug nachinstallieren aber ein Scan zweigte das meine Daten-Partition nicht befallen ist und somit ging auch nichts wichtiges verlohren.

Ärgerlich, aber noch mal gut gegangen. Leider geht mir dadurch ein Tag Urlaub verlohren...

Grüße
 
Du hast zwar schon ein Backup geimaged, aber es gibt ansonsten auch Virenscanner, die Du direkt von CD o. Stick starten kannst, auch wenn das Betriebssystem nicht mehr bootet.

Avira bietet z.B. kostenlos das Rescue System an. Das ISO-Image wird täglich aktualisiert. Man kann aber auch mit einer Online-Verbindung aktuelle Signaturen in einer älteren Version nachladen.
 
Auch wenn es zu spät ist, nach Beschreibung klingt es nach einem Derivat des sogenannten "BKA Trojaners" total "witziges" Teil fällt meist über die Java Plugins des Browsers ein.

Unter Suchbegriffen wie "BKA Trojaner entfernen" finden sich mittlerweile recht viele Lösungsmöglichkeiten, die ja auf die bekannten Versionen des Trojaners abgestimmt sind.


PS: Das Ding nervt wirklich wie die Sau!
 
Er war im Avira Forum vorstellig und da ist ihm kurz und schmerzlos eine Neuinstallation angeraten worden...

Aviras Rescue System ist z.Z. nicht zu empfehlen, sie enthält Fehler und muss überarbeitet werden.
 
Naja, lückenlos ist ein System ja nie. Man kann höchstens versuchen, maximale Sicherheit herzustellen. Unter XP ist es ratsam ein zweites Nutzerkonto anzulegen. Das sollte ein eingeschränktes Nutzerkonto sein. Die Admin-Accounts (auch das "Administrator"-Konto) sollten mit einem Kennwortschutz versehen werden. Arbeiten sollte man mit dem eingeschränkten Nutzerkonto. So sind schon mal administrative Funktionen für Schadcode unzugänglich. Darüber hinaus sollte das System ständig auf dem aktuellsten Stand gehalten werden was System-, Browser- u. Plugin-Updates anbelangt. Ein Viren- u. Spyware-Scanner sollte obligatorisch sein.

Am sichersten wäre ein virtuelle Maschine. Da kann man relativ gefahrlos unbekannte Software testen und kopiert im GAU-Fall einfach nur die "saubere" Maschine wieder zurück ;) . Gibt auch Zwischenlösungen, die auf der sog. Sandbox-Technik aufbauen.
 
trauntaler schrieb:
Starten im abgesicherten Modus mit Eingabeaufforderung funktioniert zwar,...

Grüße
Zum Vergrößern anklicken....

Das ist hart, so einen ähnlichen Trojaner musste ich neulich auch bei einem Bekannten von einem Asus XP-Netbook entfernen, da ging zum Glück noch die Eingabeaufforderung, aber sonst nichts.
Ich hatte auch zuerst die Anleitungen für die alten BKA-Viren probiert, welche nicht funktionierten.
Kaspersky- und Norton-Rettungs-CDs ließen sich nicht ausführen, Avira lief zwar mit aktuellen Signaturen, fand aber nichts auffälliges - nicht zu gebrauchen.
Mit der shell konnte ich immerhin Malwarebytes ausführen, welches den Virus (nach ca. 6 manuellen Versuchen inkl. Löschen der Autostarteinträge und der zugehörigen Dateien (diese befanden sich in allen Benutzerordnern)) dann nach 2 Scans entfernt hat. Spuren waren danach keine mehr zu finden, Neuinstallation ist also nicht immer nötig.

Der Zeitaufwand für Neuinstallation hält sich aber in Grenzen wenn man nur ein paar kleine Zusatzprogramme (Mail, Office, Webbrowser, Bildbearbeitung, Treiber) installieren muss und aktuelle Backups von den eigenen Dokumenten hat, bei mehreren IDEs und Spielen größeren Kalibers würde ich immer versuchen den Virus vorher zu entfernen.

Probiere mal ob Du auf dem zweiten Rechner einen bootbaren Stick mit Windows erstellen kannst, dann könntest Du unabhängig vom HDD-OS booten und die Festplatte bzw. deren Inhalt prüfen.

Die Windows 7-CD bietet eine ähnliche Funktionalität, bzw. das Feature wird direkt mitinstalliert: http://www.its05.de/windows-7/windows_7_reparieren_start.php. Mit der Reparaturkonsole sollte das Starten von Malwarebytes auch funktionieren.
 
Zuletzt bearbeitet:
Hallo!

Danke für die rege Beteiligung! Ich habe ein Image von der infizierten Partition gemacht, sollte es im Urlaub 5-Tage regnen spiele ich mich damit. Aber so hat es auch was gutes, alte Programmleichen sind weg und man spielt die neueren Versionen auf.

Grüße
Stefan
 
Bitte beachte unsere Verhaltensregeln beim Antworten. Danke 🙂

Ähnliche Themen

karkas
Link ---> Reboot
Antworten
11
Aufrufe
959
Goldie
G
Zurück
Oben Unten