Windows XP startet nach "Trojanerbereinigung" nicht mehr, was tun?

S

Stephnovo

New member
Registriert
21 Jan. 2009
Beiträge
560
Hallo,

Antivir meldete auf dem Desktop-Rechner meiner Kinder nach dem Start einen Trojaner namens "TR/Dldr.Bredolab.c". Den habe ich dann in Quarantäne gesetzt und einen Systemscan mit Antivir durchlaufen lassen. Dabei ergaben sich noch einige andere Funde, die alle in Quarantäne geschickt wurden. Antivir wollte daraufhin einen Neustart machen, fuhr den PC runter und startete neu. Nach dem Anmeldebildschirm kam kurz der Desktophintergrund, er meldete sich automatisch wieder ab und ging wieder auf den Anmeldebildschirm zurück.

Seitdem immer das gleiche: Anmeldebildschirm -> auf Benutzer geklickt -> meldet sofort automatisch wieder ab und landet beim Anmeldebildschirm.

Hat einer eine Idee, ob man den noch hinbekommt?
 
Abgesicherter Modus schon versucht?
Mit AntiVir-BootCD gebootet und alle Festplatten noch einmal gescannt?
 
Abgesicherten Modus habe ich probiert, geht auch nicht. AntiVir-Boot-CD habe ich keine (habe übrigens nur die Free-Version). Kann man die selbst erstellen?
 
Datenbackup und neu aufsetzen.
Das System bekommste nie mehr 100% SICHER.

Alle Maßnahmen die du jetzt für die vergebliche Systemreinigung treffen wirst, dauern länger als eine clean Install!
 
[quote='zeroC00L',index.php?page=Thread&postID=689956#post689956]Datenbackup und neu aufsetzen.
Das System bekommste nie mehr 100% SICHER.

Alle Maßnahmen die du jetzt für die vergebliche Systemreinigung treffen wirst, dauern länger als eine clean Install![/quote]Die Tatsache das AntiVir einen Schädling meldet bedeutet noch lange nicht das die betroffene Datei auch tatsächlich infiziert ist. AntiVir ist für Flaschmeldungen bekannt. Ich würde die entsprechende Datei erst einmal mit in aller Ruhe mit einem zweiten Scanner prüfen. (www.virustotal.com oder http://hoax-info.tubit.tu-berlin.de/software/antivirus.shtml#boot).
 
[quote='Stephnovo',index.php?page=Thread&postID=689943#post689943]und einen Systemscan mit Antivir durchlaufen lassen. Dabei ergaben sich noch einige andere Funde[/quote]Hier gehts aber um ein ganzes Nest und nicht bloß um eine Malware!
 
Dann soll er die Befunde hier mal veröffentlichen. ich bleibe dabei: das Erste was man tun sollte wenn AntiVir Alarm schlägt ist das Ergebnis mit einem zweiten Scanner zu überprüfen!
 
Danke erstmal für Eure Tipps. Ich werde mich später darum kümmern und mich wieder melden, habe jetzt leider noch was zu tun.
 
[quote='x200s',index.php?page=Thread&postID=689968#post689968]Dann soll er die Befunde hier mal veröffentlichen.[/quote]
Eingangspost!
Antivir wollte daraufhin einen Neustart machen, fuhr den PC runter und startete neu. Nach dem Anmeldebildschirm kam kurz der Desktophintergrund, er meldete sich automatisch wieder ab und ging wieder auf den Anmeldebildschirm zurück.

Seitdem immer das gleiche: Anmeldebildschirm -> auf Benutzer geklickt -> meldet sofort automatisch wieder ab und landet beim Anmeldebildschirm.
Zum Vergrößern anklicken....
 
[quote='zeroC00L',index.php?page=Thread&postID=689965#post689965]Hier gehts aber um ein ganzes Nest und nicht bloß um eine Malware! [/quote]Gut möglich. Wenn das stimmt, dann gibt es mit folgendem Vorschlag ein ernsthaftes Problem:
[quote='zeroC00L',index.php?page=Thread&postID=689956#post689956]Datenbackup und neu aufsetzen.[/quote]Nach der Neuinstallation sollte man sich nicht das Nest als Teil des Backups wieder auf den Rechner holen. Die gründliche Reinigung ist so oder so unverzichtbar.
 
[quote='zeroC00L',index.php?page=Thread&postID=689975#post689975][quote='x200s',index.php?page=Thread&postID=689968#post689968]Dann soll er die Befunde hier mal veröffentlichen.[/quote]
Eingangspost!
Antivir wollte daraufhin einen Neustart machen, fuhr den PC runter und startete neu. Nach dem Anmeldebildschirm kam kurz der Desktophintergrund, er meldete sich automatisch wieder ab und ging wieder auf den Anmeldebildschirm zurück.

Seitdem immer das gleiche: Anmeldebildschirm -> auf Benutzer geklickt -> meldet sofort automatisch wieder ab und landet beim Anmeldebildschirm.
Zum Vergrößern anklicken....
[/quote]Was hat das Zitat mit "einem Nest an Malware" zu tun? AntiVir hat Stephnovo im Rahmen der Quarantäne möglicherweise eine Systmdatei gesperrt. Wenn sonst nichts vorliegt und diese tatsächlich infiziert sein sollte es ausreichen diese durch eine saubere Version zu ersetzen.
 
Um sicher zu gehen, dass keine Malware aktiv ist beim Backup, könnte er die HDD per USB an einen anderen Rechner hängen und die Daten so runter ziehen.
Die Daten selbst sollten ja sauber sein.

Edit
[quote='x200s',index.php?page=Thread&postID=689981#post689981]Was hat das Zitat mit "einem Nest an Malware" zu tun?[/quote]
Was ist da nicht zu verstehen:
Dabei ergaben sich noch einige andere Funde
Zum Vergrößern anklicken....
Jeder muss selber wissen wie schlampig er arbeiten möchte!
 
was zu tun ist?

neu-installation? so ein reparieren ist nur nur psychisch ein unding, sondern auch software-technisch! das system wird me nicht so gut wie eine new install!
 
Zitat:
"Um sicher zu gehen, dass keine Malware aktiv ist beim Backup, könnte er die HDD per USB an einen anderen Rechner hängen und die Daten so runter ziehen.
Die Daten selbst sollten ja sauber sein."

Auf den letzten Satz würde ich mich nicht verlassen. Es gibt Malware, die Sicherheitskopien von sich an diversen Stellen eines befallenen Rechners ablegt. Nur deren Aktivierung sollte verhindert werden, wenn man das System neu aufsetzt,

Am besten zieht man deshalb die Daten mit einem Knoppix auf eine externe HD und prüft diese dann mit einem anderen Livesystem, z.B.mit der von Avira angebotenen Live-CD. Bevor man etwas löscht, kann man die Funde ja noch von einem Online-Dienst gegenprüfen lassen.

Gruß
SR52
 
Natürlich kann das sein aber dann steckt der Teufel schon im Detail.
Sicher ist es vernünftiger die Daten erstmal an einen sicheren Platz zu ziehen.
Man muss halt abwägen. Wenn auf der Kiste 200GB Musik und Movies liegen, wo pack ich das zur Prüfung hin.
 
[quote='fetterP',index.php?page=Thread&postID=689990#post689990]was zu tun ist?

neu-installation? so ein reparieren ist nur nur psychisch ein unding, sondern auch software-technisch! das system wird me nicht so gut wie eine new install![/quote]Wenn sich tatsächlich ein "Nest an Malware" auf dem Rechner befindet wird eine Neuinstallation allein Stephnovos Problem allerdings nicht lösen, denn dann stimmt etwas nicht mit der Systemkonfiguration/dem Nutzerverhalten. Wird dort nicht angesetzt, ist das System bereits nach wenigen Tagen wieder "verseucht".
 
Hi SuseR52,

da er schon mit mit Avira auf den bauch gefallen ist, weil der überhaupt die Infizierung zugelassen hat, würde ich einen Teufel tun und nochmal mit Avira
die HDD überprüfen. Was soll der denn schon nochmal finden ?

Lieber ein anderen Virenscanner zum Suchen nutzen, wie z.B. http://www.freedrweb.com/livecd

Oder System neu aufsetzen und mal Kaspersky laden und die 30 Testversion nutzen und damit die verseuchte Platte scannen.

Und nach dem Neuaufsetzen definitiv nicht wieder Avira in der kostenlosen Version installieren. Wie man sieht hat es schon so seine Gründe warum
das Dingens kostenlos angeboten wird. Taugt ja scheinbar nicht die Bohne, denn es hat das herunterladen und ablegen auf der Festplatte des Trojaners ja in keinster
Weise verhindert......
 
[quote='x200s',index.php?page=Thread&postID=690007#post690007]dann stimmt etwas nicht mit der Systemkonfiguration/dem Nutzerverhalten.[/quote]
Natürlich, aber:
Antivir meldete auf dem Desktop-Rechner meiner Kinder
Zum Vergrößern anklicken....
Ich begegne diesem Problem immer wieder. Es sind meist die Rechner der Kinder.
Da müsste man dann als Elternteil beginnen, Seiten zu sperren.
 
Es ersetzt keine Neuinstallation, aber zum Einsehen der Logs:
http://www.computerhilfen.de/hilfen-5-62499-45.html (hat bei mir vorgestern auch geholfen nachdem ein Trojaner auf einem Mitarbeiternotebook gefunden worden war)

Im Registryzweig [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\] muss der Schlüssel userinit.exe komplett gelöscht werden - der darin enthaltene DEBUG - Eintrag ist für das Ausloggen verantwortlich.

Nützt natürlich nur, wenn Du z.B. im abgesichertem Modus über einen zweiten Account auf den Rechner kommst.
Ansonsten musst Du nach einem Tool Ausschau halten, dass auch ohne Windows zu starten die Registry bearbeiten kann.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben