Weisser Bildschirm verdeckt Windows

Question

Hallo!

Bei einem Bekannten gibt es dieses Problem. Sobald der Windows-Desktop beim Booten kurz erscheint, legt sich sofort ein komplett weisser Bildschirm darüber. Strg-Alt-Entf bringt keine sichtbare Reaktion. Im Abgesicherten Modus funktioniert Windows.
Zum Test habe ich einen neuen, zusätzlichen Benutzer angelegt. Dort kommt der weisse Bildschirm nicht. Aber Firefox kommt nicht online (oder kriegt zumindest keine DNS-Auflösung??) und im Internetexplorer gibt es ein seltsames Verhalten. Z.B. wird man bei Eingabe von Google.de erst nach Google.ro umgeleitet, dann zu Bing und das Anlicken von Links in Ergebnissen von Bing führt zu Suchanfragen bei Ask.com.
Ein Komplettscan im abgesicherten Modus mit dem MS Removal-Tool hat KEINE Infektion ergeben.

System: Windows XP Prof

Inhalt der Hosts-Datei:
127.0.0.1 localhost
::1 localhost

Registry-Schlüssel:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon = Explorer.exe

Firefoxeinstellung steht auf Proxyübernahme von Systemeinstellungen.
Windows-Internetoptionen: kein Proxy

Was kann das sein, was kann man tun?

Answer 1

Hört sich verdächtig nach BKA-Trojaner an.

Zweitwahl wäre für mich der Einsatz der kostenlosen Kaspersky-Rescue-CD (erst updaten, dann Datensicherung auf externem Datenträger und schließlich Komplattscan bei vorher eingestellter Löschfunktion).

Meine Erstwahl wäre - nach einer Datensicherung - eine Formatierung des MBR, mit anschließende Laufwerksformatierung und Neuinstallation von Betriebssystem und Programmen.

Anleitung

Answer 2

Hi,

schon mal einen Wiederherstellungspunkt augewählt aund darauf zurückgesetzt. Auf einen allerdings wo Du weisst da funktionierte Windows noch?

Bzw. beim Booten F8 drücken und dann als "Zuletzt bekannte funktionierende Konfiguration" ausgewählt?

Hast schon mal mit Malwarebytes einen Scan gestartet
Für mich hört sich das so an, als ob Du Dir vermutlich den GVU-Trojaner eingefangen hast, dieser jetzt online gehen will und weil das nicht klappt, bleibt es bei einem weissen Bildschirm.

Answer 3

Hört sich verdächtig nach BKA-Trojaner an.

War auch mein erster Gedanke.

Zweitwahl wäre für mich der Einsatz der kostenlosen Kaspersky-Rescue-CD

Leider öffnet sich die CD-Lade nicht mehr. Wollte von Knoppix-Live-CD booten.

Neuinstallation von Betriebssystem

Das wäre Zeitverschwendung. Ich werde ca. einmal im Jahr zu diesem PC gerufen. Immer, wenn sich so viele verschiedene Viren angesammelt haben, dass der PC nicht mehr richtig funktioniert.
Der Rekord liegt bei 27 infizierten Dateien bei einem Scan.

schon mal einen Wiederherstellungspunkt augewählt aund darauf zurückgesetzt.

Ich werd am WE schauen, ob es solch einen Punkt gibt.

Bzw. beim Booten F8 drücken und dann als "Zuletzt bekannte funktionierende Konfiguration" ausgewählt?

Nein, habe ich nicht. Aber ich denke, dass aus Sicht von Windows gar keine nicht-funktionierende Konfiguration vorliegt. Der Rechner bootet ja immer bis zum Ende.

Ich habe keine Lust nochmal einen vollen Scan zu machen. Der Computer ist alt und langsam. Das dauert viele Stunden. Ist es naiv zu glauben, dass es ein Programm gibt, das den Schädling genauso findet wie Windows, nämlich durch seinen Startaufruf im System?

Answer 4

Ganz vergessen: Jemand eine Idee, was mit dem Firefox los sein könnte, dass der keine Seiten findet?

Answer 5

Hi,
hast du überhaupt eien Internet-Verbinmdung eingerichtet?
Da müssten sonst mehr Einträge in der Host-Datei zu finden sein.

::1 localhost - Diesen Eintrag kannst du entfernen.

Answer 6

Der IE kommt ins Internet, also daran kann es glaub ich nicht liegen
.

::1 localhost - Diesen Eintrag kannst du entfernen.

Ok. Könnte mir aber vielleicht noch jemand erklären, was der Eintrag bedeutet. Hab ich vorher noch nie gesehen. Bin neugierig.

Answer 7

::1 localhost - Diesen Eintrag kannst du entfernen.

Den Eintag würde ich nicht entfernen.

Bei IPv4 ist dieAdresse 127.0.0.1 das Loopback-Device.
IPv6 verwendet dazu die Adresse ::1

Wer es genauer Wissen will, siehe localhost , bzw. Loopback im Internet Protokoll

Answer 8

Danke karlx.

Ok. Habe ein paar Tools gefunden. Würde vorab gerne mal in einer VM probieren. Wo kann man sich den BKA-Trojaner zum Testen runterladen?

Answer 9

Ein BKA-Trojaner ist es sicher nicht. Der würde sich zu erkennen geben, schließlich wollen die ja Geld für die Freischaltung haben.

Bei dem Rechner ist etwas verstellt oder nicht richtig eingestellt bzw. irgendwelche Systemdateien beschädigt.

System mal auf einen älteren Systemwiederherstellungspunkt zu rück setzen oder Reparaturinstallation durchführen.

Answer 10

Danke, dass ihr noch dran seid.

Bei dem Rechner ist etwas verstellt oder nicht richtig eingestellt bzw. irgendwelche Systemdateien beschädigt.

Der komplette Windows-Desktop erscheint aber für ca. 0.2 Sekunden. Also müsste der Taskmanager erreichbar sein oder man müsste über Strg+ESC die Taskleiste oder das Startmenü kriegen.
Ausserdem erklärt das nicht die Beschränkung des Problems auf nur ein Benutzerkonto.

Der BKA erzeugt einen Bildschirm, der immer im Vordergrund gehalten wird. Deshalb kann man den PC nicht mehr bedienen. Bei einer anderen BKA-Infektion (mit vollständiger Optik) konnte ich über den CD-Autostart DrWeb CureIt starten. Dieses Programm legt auch einen Screen über den Desktop. Das hat dann dazu geführt, dass die beiden Screens sich gegenseitig blinkend abgewechselt haben. Leider war der Rechner damit ausgelastet und nicht mehr bedienbar.

Ein BKA-Trojaner ist es sicher nicht. Der würde sich zu erkennen geben, schließlich wollen die ja Geld für die Freischaltung haben.

Ein mögliche Erklärung könnte sein, dass der PC-Besiter mehrere Monate nicht Zuhause war. Beim letzten Surfen hat er sich den wohl eingefangen und dann wurde der Trojaner erst Monate später das erste Mal aktiv. Laut dem, was man so liest, lädt der BKA seine Grafikelemente aus dem Internet. Vielleicht sind die Contentserver zwischenzeitlich down?

Ob es einen älteren Wiederherstellungspunkt gibt, muss ich erstmal abklären.