# Windows XP - Fährt nicht mehr hoch (Virus?)



## Jellysheep (8. August 2009)

Hi, 
ich wollte gestern meinen Computer (Win XP Home SP2) hochfahren, aber vor dem Anmeldefenster kam eine Meldung


> Die Anweisung in 0x00600265 verweist auf Speicher in 0x00600265. Der Vorgang 'written' konnte nicht ausgeführt werden.


und nach dem Anmelden kam die Taskleiste und der Desktop nicht, der Hintergrund war aber da.
Den Taskmanager konnte ich öffnen, aber AntiVir neldete den TM sofort als Virus. Den Explorer konnte ich nicht öffnen, weil die AntiVir-Meldungen nicht mehr aufhörten. 
Ein paar Tage vorher hatte Nero sich nicht geöffnet, weil das System infiziert war, ein Virenscan ergab aber keine Funde.
Manchmal kommt vor dem Anmeldefenster *dreimal* die Meldung 


> Die Anweisung in 0x005f0265 verweist auf Speicher in 0x005f0265. Der Vorgang 'written' konnte nicht ausgeführt werden.


 (andere Speicheradresse), danach kommt dann nicht mal das Anmeldefenster oder der Desktophintergrund, und den Taskmanager konnte man nicht starten.
Wie kann man das Problem beheben?


----------



## PC Heini (8. August 2009)

Um sicher zu gehen, dass es nicht am Arbeitsspeicher liegt, lade Dir mal Memtest auf Diskette oder CD runter. Dann Test durchlaufen lassen.
Oder;  Wenn es mehr als ein Speicherriegel ist, diese mal einzeln testen.


----------



## Jellysheep (8. August 2009)

Ok, ich probiers aus...


----------



## Jellysheep (8. August 2009)

Ich hab einen 2GB und einen 1GB Speicher, zusammen getestet: sehr viele Fehler (bei über einer Million  habe ich dann abgebrochen)
Jetzt teste ich sie gerade einzeln...

Ich habe vorher noch CHKDSK zum Laufen gebracht, "4KB auf fehlerhaften Sektoren" stellte es fest, hab's auch mit /f Parameter gestartet, ob die Fehler behoben wurden, weiß ich nicht, der Bildschirm war zu schnell wieder weg...

*//edit1*
So, ich habe jetzt festgestellt, dass ich auf beiden Speichern viele Fehler habe  aber wenn ich nur den 2GB Speicher reinstecke, dann fährt der Computer ohne diese Fehlermeldung hoch...  

Aber: Windows blockiert die Anmeldung! Da kommt ein Fenster mit 


> Diese Anwendung wurde aus Sicherheitsgründen geschlossen:
> Windows Benutzeranmeldung (oder so ähnlich)



Von AntiVir wird alles andere auch geblockt (dabei wird immer der Virus "W32/Virut.Gen" entdeckt): userinit.exe, taskmgr.exe, explorer.exe, rundll32.exe, also alle Programme die ich öffne oder die sich selbst öffnen.

*//edit2*
Also, anscheinend hab ich mir einen schweren Virus eingefangen (W32/Virut.Gen) und anscheinend kann "Dr. Web Curelt!" den beheben...
Wie starte ich den?
Soll ich auf eine zweite Platte Windows draufspielen, das Programm installieren und über die infizierte Platte laufen lassen?
Wird dabei das neu aufgespielte System auf der zweiten Platte infiziert?


----------



## PC Heini (9. August 2009)

Dr. Web Curelt kenne ich leider nicht. Da werde ich keine grosse Hilfe sein.

Wie gross der Verlass auf Memtest ist bei einem so grossen Virenbefall, vermag ich auch nicht zu sagen.

Ebenso beim CHKdsk.

An Deiner Stelle würde ich die Festplatte platt machen mit ERASER. 
http://www.chip.de/downloads/Eraser-Portable_28012324.html

Dann Win neu aufsetzen. Zeitmässig biste damit schneller, als wie Stundenlanges Viren löschen. Dazu gibts noch zu sagen, dass wenn der Virus Verzeichnisse beschädigt hat, wirste eh nicht drum herum kommen, Win neu aufzusetzen.

Dies mal meine Meinung


----------



## Jellysheep (19. August 2009)

Also, ich hab jetzt meine Daten gesichert, alle exe gelöscht und mein System neu aufgesetzt und vorher die Platte bei der Windows-Installation formatieren lassen. 
Danach wurde der Virus von AV nicht mehr gefunden.


----------



## PC Heini (19. August 2009)

Dann ist ja alles wieder im grünen Bereich 
Neu aufsetzen ist als klüger und einfacher, als lange suchen und am Schluss muss man eh alles neu machen.
Viel Spass mit dem neuen System und fang Dir keine Viren mehr ein.


----------



## Jellysheep (19. August 2009)

*Windows XP - Lösung für sofortige Abmeldung nach Anmeldung*



			
				PC Heini hat gesagt.:
			
		

> Viel Spass mit dem neuen System und fang Dir keine Viren mehr ein.



Schon passiert! 
Aber ich hab mein System schon befreit...


*Für alle, die abgemeldet werden, kurz nachdm sie sich anmelden:*

*Wichtig:* Name und Pfad des vorher gelöschten Virus merken

Ich hatte einen Virus, der die Registry so bearbeitet hatte, dass nicht die normale Benutzeranmeldung (userinit.exe) nach dem Startbildschirm gestartet wird, sondern ein böses Programm (xkmvprifi.exe).
Bevor ich meinen Computer neu gestartet habe, wurde die xkmvprifi.exe von meinem AV gefunden und gelöscht. 
Später habe ich meinen Computer neu gestartet, nachdem ich auf mein Symbol im Anmeldebildschirm geklickt habe, hat er mich gleich wieder abgemeldet. 
Meine Lösung war dann:
Ich hab von einem anderen System (Ubuntu) gebootet und die Userinit.exe (in C:\Windows\System32) dahin kopiert, wo der Virus früher war und entsprechend umbenannt (bei mir C:\Windows\system32\xkmvprifi.exe).
Danach konnte ich mich wieder normal anmelden und alle Pfade in der Registry zu dem Virus ändern und zu der userinit.exe verweisen. 

Eine Windows-Reparatur war nicht notwendig, alle Daten noch da.

Edit: Das oben geschriebene war Mist, bitte nicht beachten...


----------



## Jellysheep (20. August 2009)

Das hats doch nicht so gebracht, heute konnte ich mich wieder nicht anmelden bzw. wurde abgemeldet.
Kennt noch jemand eine Lösung? Windows neu drauf bzw. reparieren?


----------



## PC Heini (20. August 2009)

Würde mich mal interessieren, was das für ne Win CD ist. Das gibts doch nicht, dass nach dem neu aufsetzen schon ein Virus drauf ist.
Installiere mal den Antivirus gleich nach dem aufsetzen von Win. Ohne jegliche vorherige Updates.
Dann den PC vom Internet trennen und den Antivirus mal durchlaufen lassen. Dann Updates vornehmen.
Hast Du alles Orginalsoftware? Oder ist da ne Kopie darunter, die den Virus drauf hat?
Nimm, wenn möglich, auch mal ne andere Festplatte.


----------



## wod2008 (20. August 2009)

Installiere dir bevor du den Computer ins Internet stellt alle wichtigen Updates für Windows, wenn dann noch immer Virus kommt überprüfe mal den MBR.
Das könnte dir vielleicht helfen: http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html


----------



## Hinterwäldler (23. August 2009)

Jellysheep hat gesagt.:


> Das hats doch nicht so gebracht, heute konnte ich mich wieder nicht anmelden bzw. wurde abgemeldet.
> Kennt noch jemand eine Lösung? Windows neu drauf bzw. reparieren?


Ich finde deine Fragerei etwas sehr merkwürdig. In drei verschiedenen Foren diskutierst du das gleiche Problem. Du murkst seit 14 Tagen an deinem System herum und kommst zu keinem positiven Ergebnis. In dieser Zeit hätte selbst der blutigste Anfänger sein System mehrmals neu aufgesetzt. Das was du in http://www.tutorials.de/forum/1791189-post8.html und anderen Postings beschrieben hast ist Pfusch. Seit Monaten gehe ich von Forum zu Forum mit unten stehenden Beitrag hausieren und niemand nimmt ihn tatsächlich ernst.
Sorry, phhuuh, das musste jetzt mal raus.... Der heilige Binary wird es mir verzeihen.

*Schadsoftware erkennen und entfernen

Wie wird es richtig gemacht und welche nicht mehr kalkulierbare Risiken bleiben trotz Elimination!*

Malware ist die allgemeine Bezeichnung für eine Schadsoftware. Welche Eigenschaften sie wirklich besitzt, ist nur in aufwändigen Untersuchungen feststellbar. Anderseits bezeichnen die Scannerhersteller die Malware nach der ersten festgestellten Eigenschaft. Diese können von Hersteller zu Hersteller unterschiedlich sein.

Immer wieder werden in einschlägigen Foren Methoden und Vorgehensweisen praktiziert, welche nur noch mit Rutengängerpraxis vergleichbar sind. Die Möglichkeit eine aktuelle Malware auf diese Art und Weiße zu eliminieren ist sehr gering, denn sie stützt sich im wesentlichen auf die Funktion der Scanner und den Inhalt deren Signaturdatenbanken.

In einer Zeit, in welcher neue Malwareversionen im Minutentakt weltweit verteilt wird, gelangen Scanner sehr schnell an die Grenzen ihrer Möglichkeiten. Das ist kein Vorwurf, sondern vielmehr eine realistische Betrachtung. Besteht ein Infekt mit einer Malware in der Art wie http://www.viruslist.com/de/viruses/encyclopedia?virusid=109064 oder http://www.viruslist.com/de/viruses/encyclopedia?virusid=74841 (und wer weiß dies schon), ist das System rettungslos verloren. Diese Beispiel mögen etwas veraltet erscheinen, aber Malware umfassend dokumentieren wird heute kaum noch gemacht. Man besitzt gar nicht mehr die Zeit dazu. Letztmalig umfassend beschrieben wurde ConfickerB. in http://www.avira.com/de/threats/section/fulldetails/id_vir/4474/worm_conficker.html Den Grund findet ihr hier: http://www.pctipp.ch/sicherheit/44057/viren_im_minutentakt.html

Dies sind nur zwei Beispiele. Jedoch gibt es Abertausende davon. Sie werden aus Zeitgründen nicht mehr dokumentiert! Uns hilft weder ein Scanner noch eine PFW oder ein Removertool. Die Daten, Dateien und Programme sind trotz vorgeblicher Schutzwirkung der Securityware verloren. Keine einzige Datei des Systems ist vertrauenswürdig. Das System ist kompromittiert und der User besitzt nur noch das Recht, den Netzschalter zu bedienen. Eine Kompromittierung des Systems ist unter den Bedingungen von DSL1000 in weniger als 20 Sekunden vollzogen. Das verhindert auch kein Router mit Firewall. Letzteres ist mehr das gute Gewissen des Anwenders, dem Hersteller nicht in die Verarmung getrieben und die Wurst vom Brot geklaut zu haben.

Ist die Malware neu, gibt es zudem keine Signaturen und die Scanner stützen sich auf eine mehr oder weniger gut funktionierende Heuristik. Diese Heuristik wiederum setzt eine gut funktionierende und aktualisierte Withlist voraus, welche nämlich ausschließt, daß Malware gefunden wird, welche eigentlich gar keine ist. Avira scheint da ganz merkwürdige Probleme zu haben und die Fachleute würden sich nicht wundern, wenn dieser Scanner eines Tages auch mal die command.exe reklamieren und in Quarantäne setzen bzw. löschen würde.

Eine Möglichkeit wäre nun, das eigene System wie für den Einsatz im Dschungelkrieg aufzurüsten. Das Ergebnis wäre, das selbst aktuelle Hardware mit den vielen 100 MByte Secureware im RAM zum Schneckengang verurteilt ist oder man informiert sich auf geeigneten Homepagen erfahrener Anwender, wie Malware ins System kommt und konfiguriert sein System so, das ein Infekt weitestgehend vermieden wird. Was seit mehreren Jahren mir gelingt, sollte jeden von euch auch möglich sein.

Lest mal hier ein wenig:
http://www.malte-wetz.de/index.php?viewPage=sec-compromise.html
http://www.malte-wetz.de/index.php?viewPage=sec-removal.html
selbst wenn es euch langweilt und überdrüssig erscheint.

Wird mal mit einem eurer Indikatoren (fünf Sinne) ein Infekt festgestellt, sollte man sich auf das Wesentliche konzentrieren. Unwesentlich ist, wie die Malware heißt und welchen Schaden sie eventuell anrichten könnte. Das erste Ziel ist die sofortige und wirkungsvolle Eliminierung. Eine Aufbewahrung in einem Quarantäne-Verzeichnis ändert nichts an ihrer Gefährlichkeit. Unter Umständen ist sie schon obsolet und wurde von einer nachgeladenen Malware ersetzt. Dann besitzt ihr eine noch größere Gefahr auf der Festplatte und beschäftigt euch noch immer mit einem Lapsus.

Für dieses Problem gibt es zwei Lösungen. Eine sichere wird in http://faq.jors.net/virus.html beschrieben. Diese Vorgehensweise ist immer die erste Wahl. Eine weitere weniger sichere und viel aufwändigere Lösung beschreibe ich jetzt. Diese Methode setzt voraus, das jede aktive Malware auch einen aktiven Prozess erzeugt und zeichnet sich dadurch aus, das fremde, unbekannte Prozesse im System erkannt und entfernt werden können. Dazu wird kein Scanner benötigt, sondern ausschließlich eure Augen, ein wacher Verstand und ein paar Kenntnisse der Zusammenhänge.

Registryeinträge können mit diesen Mitteln nur im begrenzten Rahmen korrigiert werden! Ein Scanner ist dahingehend schon überfordert. Das wäre eventuell nur mit der Systemwiederherstellung http://www.paules-pc-forum.de/pc-kurs/kurs60_05.htm möglich, aber diese birgt auch Risiken in sich, denn es gibt zweifellos Malware, die sich selbst einen Wiederherstellungspunkt setzen kann und damit beginnt das Ringelspiel von vorn. Der Zeitpunkt müsste also weit vor dem Zeitpunkt des Infektes liegen. Es werden jedoch Voraussetzungen geschaffen, selbst erstellte Daten und Dateien relativ gefahrlos zu sichern


Nun die Vorgehensweise:

1. Mit den aktuellsten Versionen von Autoruns, ProcessExplorer und TCPView von http://technet.microsoft.com/de-de/sysinternals/default.aspx herausfinden, welcher unerwünschte Prozess von welcher Datei ausgelöst wird und eventuell die Verbindung zum Internet sucht. Verschafft euch eine bessere Übersicht in Autoruns, in dem ihr im Menü die Option "Hide Microsoft Entrys" aktiviert. Auffällig sind die meist undokumentierten Einträge mit kryptischen Namen. Der FreeDownload-Manager besitzt auch ein solche Merkmal. Die Löschung dieses Prozesses ist aber nicht schlimm und über die Optionen des DownloadManagers wieder herstellbar.

2. Versuche mit Autoruns und/oder ProcessExplorer den unerwünschten Prozess zu entfernen (Rechtsklick auf Eintrag und wähle "Delete") und beobachte weiter. Starte dazu auch alle vorhandenen Browser, Mailclients und Messenger. Sollte trotz Löschversuche der Prozess noch noch immer oder wieder aktiv sein, entferne ihn auf gleicher Art mit dem ProzessExplorer.

3. Benutzt in Autoruns und ProcessExplorer zusätzlich über das Kontextmenü die Möglichkeit gezielte Infos aus dem Internet zu holen. Rechtsklick auf die Datei und "Search Online" wählen. Grundsätzlich findet ihr zu den meisten gestarteten Dateien bei Google Treffer. Ist dort nur allgemeines Gewäsch zu finden, dürfte es keine Probleme geben. Anders dann wenn in den verlinkten Foren immer von Malware im Zusammenhang mit der betreffenden Datei geschrieben wird. Höchste Alarmstufe, wenn es zu dieser Datei überhaupt keinen Eintrag gibt. Dann ist es hoher Wahrscheinlichkeit eine nagelneue Schadsoftware.

4. Punkt 2. funktioniert in der Regel nicht bei Schadsoftware und Google zeigt ausschlieslich Forenadessen, welche sich mit dieser Problemdatei befassen.
Nochmal: Zu fast jeder Datei findet sich eine Meldung. Oft englisch, versuche sie dann wenigstens ebissl zu interpretieren. Höchste Alarmstufe wenn zu der aktiven Datei überhaupt nichts gesagt wird.

5. Aufschreiben wo sich diese unerwünschte Datei(en) befinden und wie sie heißen.

6. Startet den PC von einer BartPE, UBCD4Win oder ähnlicher LiveCD mit Schreibberechtigung auf NTFS (sollte jeder im Schreibtisch haben) und löscht die betreffende Datei mit dem integrierten Dateimanager.

7. Startet wieder den PC normal und kontrolliert erneut mit den Tools aus Punkt 1 und alle Register in Autoruns

8. Einträge in Autoruns, in denen nun auf fehlende Dateien verwiesen wird, werden entfernt.

9. Erstelle einen neuen Wiederherstellungspunkt und lösche alle vorherigen. Erkundige dich wie es gemacht wird.

10. Es gibt keinen Garantieschein für den Erfolg und das alle persönlichen Daten dem Angreifer unbekannt blieben. Darum ist der beschriebene Handlungsablauf in jedem Fall die zweite Wahl.

Danach seit ihr in der Lage Maßnahmen zu treffen, welche einen erneuten Infekt ausschließt. Auch euer Hausarzt behandelt bei jedem Patienten die Grippe, ohne sich anzustecken. Er hält bestimmte Verhaltensregeln ein, die einen Infekt ausschließen.

- Lernt mit der Gefahr eines Infektes umzugehen und erlernt den Umgang mit Malware.
- Lernt die Unterscheidungsmerkmale zwischen einer anwesenden und einer installierten Malware. Erstere kann bedenkenlos und ohne spätere Probleme von euch gelöscht werden.
- Malware fliegt nicht durch das Internet wie Schmeißfliegen.
- Gewöhnt euch die lächerliche Behauptung ab: "Ich habe mir eine Vire (Trojaner etc.) eingefangen."
- Glaubwürdiger ist: "Ich bin trotz meines umfangreichen Wissens unvorsichtig gewesen und habe wider der menschlichen Vernunft eine verdächtige Mail bzw. suspekten Download geöffnet, ihren Inhalt nicht ausreichend geprüft und dennoch ausgeführt".
- Erlernt wie man verhindern kann, das in Webseiten inkludierte Scripte oder Adware vom Browser unausgeführt bleiben.
- Schafft euch eine für euer System geeignete LiveCD. Übt den Umgang mit ihr und den darauf befindlichen Programmen. Der Anfang ist hier: http://nu2german.de/, http://wiki.winboard.org/index.php/Bild:UBCD4Win_deutsche_Anleitung.pdf  und http://www.win-tipps-tweaks.de/forum/news/15292-vista-live-cd-gratis.html

- Erweitert eure Erfahrungen mit den Tools von (MS)-Sysinternals. Dies nutzt euch bei der täglichen Arbeit sowie im Ernstfall und ihr könnt wesentlich schneller reagieren.
- Eine BartPE oder ähnliche LiveCD sollte jeder im Schreibtisch haben. Sie ist das wichtigste Werkzeugset, das ihr besitzt und es lässt sich jederzeit erweitern. Der investierte Zeitaufwand lohnt sich immer.
- Erstellt mit einem geeigneten Programm ein Image der Startpartition und pflegt es ständig. Auch diese Möglichkeit bieten kostenlos und mehrfach jede hier genannte LiveCD. Allein in der aktuellen UBCD4Win gibt es drei verschiedene. Fragt in diesem Forum wie sie gehandhabt werden.


----------



## Jellysheep (26. August 2009)

Hinterwäldler hat gesagt.:
			
		

> In drei verschiedenen Foren diskutierst du das gleiche Problem.


  
? Welche drei Foren ?
Ich bin nur in Tutorials.de und dort habe ich das Thema nur einmal geschrieben.

Für meinen Computer hatte ich in letzter Zeit eben nicht viel Zeit...
Deine Anleitung lese ich mir mal durch, danke...


----------

