Virus im Arbeitsspeicher? Bluescreen? -> Vista!

#0
22.03.2010, 22:26
Member
Avatar scotland

Beiträge: 44
#1 Hallo liebe Leute,

ich möchte euch folgendes Problem erläutern und evtl. gibt es hier ja ein paar, die davon Ahnung haben ;)

System: Windows Vista
- Laptop von Acer
- ca. 1 1/2 Jahre alt

Also...

Gestern Abend so gegen 19 Uhr wollte ich den PC runterfahren - doch anstelle des "Einstellungen werden gespeichert" - Textes erscheint auf einmal ein Bluescreen ( Screenshot s. u. ) und das System startet neu, mit der Auswahl , entweder Windows wieder normal zu starten oder aber im Abgesicherten Modus zu starten.
Ich wähle den Normalen Modus und fahre ihn direkt über den Anmeldebildschirm wieder runter.

Später habe ich ihn eingeschalten, alles lief wie immer, außer mein Firefox.. der war irgendwie gelöscht , den hatte ich aber über die auf dem PC noch vorhandene Install mit einem Klick wieder drauf.... dann surfte ich eine Weile im Internet als auf einmal mein Avast! Virenscanner meldet, daß ich eine Datei namens ryalazzx.sys im Ordner C:\Windows\System32\Drivers\ habe und es sich dabei um Malware handelt.
Ich habe danach gegoogelt und nix gefunden, also habe ich sie vorsichtshalber mal nicht gelöscht, weil ich mir nicht sicher war. Als ich die Meldung wegklickte, kam eine weitere Warnung meines Scanners. --> Ich habe anscheinend einen Virus in meinem Arbeitsspeicher.

So weit so gut, ich hab dann versucht die Datei bei Jotti hochzuladen , um sie auszuwerten. ging nicht! konnte das Ding nicht hochladen, Grund:
" Ein an das System angeschlossenes Gerät funktioniert nicht"

DAS kam mir schon sehr seltsam vor.. also habe ich mir noch Anti Vir runtergeladen und sie gescannt, er erkannte die Datei als "TR/Rootkit.GEN
Anti Vir konnte sie nicht löschen. Hab mir ein anti Rootkit Programm geladen, er fand sie aber konnte sie ebenfalls nicht töten.

Bin in den Abgesicherten Modus gegangen, hab den Rechner gescannt, AV fand ihn wieder aber konnte ihn ebenfalls wieder nicht löschen, Grund: " Ein an das System angeschlossenes Gerät funktioniert nicht" .

Bin dann wieder in den normalbetrieb gegangen und habe es NOCHMAL versucht, durch AV zu löschen, und diesmal ging es.

Gut.. also der Rootkit ( ryalazzx.sys ) ist weg aber der Bluescreen kommt nach wie vor beim Rechner herunterfahren.

Kann es sein daß dieser Trojaner evtl. etwas wichtiges an meinem System zerstört hat?
Den habe ich mir gestern um 18:09 Uhr eingefangen..ich weiss aber nicht wie.


Vielleicht kann mir ja einer helfen dieses lästige Problem zu beseitigen.. ;) ;)

Vielen Dank schonmal !!!

Bluescreen im Anhang ;)

LG.
Scotland

Anhang: blue.jpg

__________
# In Schottland ist die Welt noch in Ordnung #
Seitenanfang Seitenende
23.03.2010, 00:02
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Ich bin mir nicht sicher, ob der Rootkit wirklich weg ist.

Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Schritt 3

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.
Seitenanfang Seitenende