Nach Ukash Trojaner bei Vista Start Bildschirm schwarz

[Markie84]

Ich habe - mal wieder - einen Laptop bekommen mit der Bitte dort den Ukash Trojaner unschädlich zu machen bzw. zumindest den Zugriff auf die Daten wieder zu ermöglichen. Die Nutzerin des Laptops hat bereits auf eigene Faust versucht den Trojaner zu beseitigen. Im Laufwerk des Vista Rechner befand sich allerdings eine Windows XP Professional Rescure Disk, sodass ihr Vorhaben scheiterte.

Zwar ist mir der Zugriff und das Sichern der Daten mittels Kaspersky Rescure DVD 10 gelungen, allerdings ist mir bei dem Laptop ein anderes für mich sehr kurioses Problem aufgefallen.

Der Monitor bleibt beim Start von Vista schwarz. Nur der Mauszeiger ist zu sehen und zu bewegen. Das System scheint zu arbeiten (HDD Diode blinkt unregelmässig), auch reagiert der Rechner auf den Sleepmode und z.B. das Aktivieren von Bluetooth und WLAN (Dioden gehen an und aus). Selbst der Bildschirmschoner schaltet sich nach den eingestellten 20 Minuten ein und lässt sich ebenso deaktiveren. Also für mein Verständnis würde ich sagen, der Rechner und das OS läuft.

Da ich mittels der Kaspersky Rescure DVD die komplette Festplatte einsehen kann (und dies auch testweise über eine Stunde getan habe) kann ein Wackelkontakt oder genereller Hardwaredefekt eigentlich ausgeschlossen werden. Meine Vermutung liegt nun an irgendeinem defekten Windowstreiber/Grafiktreiber den er beim Starten von Vista lädt. Aber wie an diesen ran kommen bzw. erstmal rausfinden? Denn selbst beim Start des abgesicherten Modus erhalte ich exakte das Selbe.

Achja. Ebenfalls komisch, ob das irgendwie zusammen hängt kann ich gerade nicht abschätzen, dass keiner der insgesamt 15 erstellten Wiederherstellungspunkte widerhergestellt werden konnte ("...konnte aufgrund eines unbekannten Fehlers nicht widerhergestellt werden..."). Könnte dies u.U. mit den Eingangs erwähnten Versuch zusammen hängen, dass die Besitzerin bereits eine WinXP Reparatur hat durchzuführen wollen oder kann da nichts weiter passieren weil's nicht das korrekte OS ist? Leider konnte mir die Besitzerin des Laptops nicht genau sagen was sie gemacht hat. Nur das sie von DVD gebootet hat und sich: "dann da durchgeklickt" hat.

Bei jedem der sich diesem Roman durchliest und dann noch eine konstruktive Idee hat, bedanke ich ich vorab.

 

[Voyager10]

Wurde denn schonmal der Kaspersky Antivirus von Rescue CD gestartet um den Virus zu löschen , wenn Ja dann wurde eine Systemdatei gelöscht möglicherweise der Explorer..

 

[gigges91]

Wie wäre es mit formatieren und neu aufsetzen? Ist bei einem Virus/Trojaner sowieso der beste weg.

 

[Markie84]

Hallo,

vielen Dank für die schnelle Antwort.

Zwar bin ich mir ziemlich sicher, dass bei der Malware und Viren die gefunden und gelöscht wurden, keine explorer.exe oder sonst eine Systemdatei dabei war (die Viren waren fast alles FireFox AddOns oder Dateien im temporären Verzeichnis), aber werde dennoch deinen Vorschlag morgen prüfen.

Weitere Ideen sind selbstredend willkommen.

@ gigges91: Das wird auf jeden Fall irgendwann gemacht. Allerdings fehlt der Besitzerin offenbar die entsprechende Vista DVD. Sie meinte die einzige DVD die beim Laptop dabei war, war eben jene XP-DVD die sie eingelegt hatte. Nun muss sie also erstmal zum Verkäufer fahren und das klären, warum offenbar eine falsche DVD beiliegt. Damit auch sie vorher weitere Daten sichern kann, die ich mittels Kaspersky Secure 10 nicht sichern konnte, würde ich den Rechner aber gerne zum Laufen bringen. Und zudem hat mich nun natürlich der Ehrgeiz gepackt rauszufinden woran das liegt.

 

[Dr.Schiwago]

Klappt der Aufruf des Task-Managers mittels Affengriff? Dann einfach mal den Explorer als Thread starten. Ich hatte das Paradox unter Visa zweimal, und zwar ohne Virus auf Systemen ohne Internet. Vista eben

 

[Uwe F.]

Du solltest unbedingt raus kriegen, wie sich der Trojaner ursprünglich gezeigt hat, Ukash ist kein Virus, sondern nur ein Bezahlsystem.

Möglich wären BKA (wenn BKA - welcher? am Besten ein Screenshot), Microsoft Security Center, ...

BKA
http://bka-trojaner.de/

oder schau mal hier:
http://www.trojaner-board.de/thema/microsoft security center.html

Gruß Uwe

 

[Markie84]

@ Dr.Schiwago: Leider nein. Effektiv sichtbar ist lediglich der Mauszeiger. Das die anderen Befehle verarbeitet werden kann ich eben auch nur durch die jeweils an- bzw. ausgehenden Dioden und dem schnelleren Blinken des HDD-Diode erkennen. Achja, was ich oben vergessen hatte. Das Umschalten des Monitors (auf z.B. einen externen) habe ich auch versucht. Bringt keine Änderung.

@ Uwe F.: Das kann sie mir leider nicht sagen. Ihr bliebt nur dieses Ukash Zeichen in Erinnerung. Aber sorry, für den falschen Betreff. Sie weiß nicht mal - oder will es mir nicht sagen - auf welcher Seite bzw. bei welcher Aktivität sie sich den eingefangen hat.

Nachtrag: @ Uwe F.: Kennst du zufällig eine Seite wo alle Trojaner bildlich dargestellt werden die mittels Ukash wieder "deaktivert" werden können? Dann könnte ich ihr diese zeigen ob sie einen wiedererkennt. Bei der Google Bildersuche "Ukash" finde ich leider nur sporadisch welche.

 

[Uwe F.]

Wenn Du nicht rausbekommst, was sie sich eingefangen hat, dann google einfach mal hiernach:
ukash schwarzer bildschirm



Gruß Uwe

 

[Reowulf]

Falls du eine Vista DVD zur Hand hast würde ich mal versuchen mit dieser die Sache zu reparieren.
Ich könnte mir vorstellen dass durch das 'rumgeklicke' im XP so eine Art hybride VistaXP Bootsequenz erzeugt wurde.

 

[Markie84]

@Uwe F.: Es soll wohl der GVU Trojaner gewesen sein. 100% sicher ist sie sich allerdings nicht.

@Reowulf: Wie gesagt hat sie leider momentan keine Vista DVD zur Hand. Da ich selber auch auf keinem Rechner Vista habe, konnte ich dahingehend auch nicht aushelfen.

Kann mir einer sagen, woran ich erkennen würde, ob ein "Hybrid OS" erstellt wurde? Diese Variante erscheint mir momentan noch am logischsten. Gibt's also u.U. von beiden OS genutzte Systemordner mit allerdings unterschiedlichen Dateinamen.

Beispielhaft wenn ich im Ordner "system32" die Dateien "123XP.sys" sowie "456YZ.sys" entdecke weiß ich das sich beide OS versucht haben zu installieren und sich somit wohl gegenseitig zerschossen. Sollte normal bei gut programmierter Software natürlich nicht passieren können, aber wir alle wissen ja, dass Windows keine gut programmierte Software ist.

 

[frogger9]

Also für mein Verständnis würde ich sagen, der Rechner und das OS läuft.

wird so sein, allerdings wird Kaspersky nicht den Shelleintrag in der Registry gesäubert haben.

Per F8 - Erweiterte Systemstartoptionen - "Abgesicherter Modus mit Eingabeaufforderung" starten. Das System öffnet dann nicht die Shell(Explorer.exe) sondern die CMD und du hast Zugriff auf das System.

http://blog.botfrei.de/2011/07/anleitung-bka-trojaner-manuell-uber-die-registry-entfernen/

Allerdings sollte man das System trotzdem neu installieren und die Daten vorher sichern.

 

[Markie84]

@frogger9: Auch zu dieser Variante komme ich nicht. Wenn ich den Rechner in eben jenem Modus starten möchte lädt er diverse Dateien, bleibt bei einer Datei "crcdisk.sys" rund 15 Minuten hängen. Wenn er dann weiter lädt und eigentlich die Eingabekonsole starten sollte erscheint wieder nur der Mauszeiger.

Ergänzung (18. Oktober 2012)

Zum besseren Verständnis habe ich mal ein kleines Video gemacht:

http://www.youtube.com/watch?v=ol7nNYuCAUk&feature=youtu.be

Ich hoffe es hilft weiter.

Komisch. Das Video ist auf Youtube auf der linken Seite stark abgeschnitten. Das ist im Original nicht so. Hat jemand eine Ahnung warum das nun wieder so ist?

Edit 2: Nachdem ich die automatische Videoanpassung von Youtube wieder rückgängig gemacht habe, sieht das Video nun korrekt aus.

 

[Markie84]

Auch wenn es für mich absolut nicht logisch ist, funktionierte eine Systemwiederherstellung mit der beigelegten "Windows XP Recovery" DVD, obwohl KEIN Windows XP installiert gewesen ist.

Das nur der Vollständigkeit halber, falls mal jemand ein selbiges Problem hat.