BlueScreen aufgrund unbekannter Datei nach Virus

fra_ribery · 21.03.2011, 16:06

Hallo,
ich habe mich in diesem Forum angemeldet, da ich ein Problem mit meinem Laptop(Vista) habe, dass mir Rästel aufgibt. Kurz nach Weihnachten hatten ich einen Virus auf meinem PC. Um welchen es sich genau handelte, weiß ich leider nicht mehr. Nach einiger Arbeit habe ich diesen jedoch mit Hilfe von Norton Internet Security entfernt. Ich glaube aber, dass hierbei einige Datein kaputtgegangen sind oder ich den Virus nicht komplett entfernt habe. Wenn ich mit Norton nun einen Virenscan durchführe, ist eine Datei namens bixmttcp.sys mit einem Trojan.Gen.2 infiziert. Wenn man diese Datei bei Google sucht bekommt man kein Ergebnis, was mich ziemlich überrascht. Norton kann den Virus nicht entfernen, auch wenn man die empfohlenen Schritte befolgt. Ich kann den Laptop dennoch fast normal ohne Beeinträchtigungen nutzen. Deswegen hab ich das Problem bis jetzt etwas ignoriert, da ich genug für die Schule zu tun habe. Jetzt ist es allerdings so, dass ich, wenn ich meinen iPod über iTunes synchronisieren möchte immer einen BlueScreen bekomme und der PC danach neustartet. Diese Meldung habe ich auch nach Weihnachten ab und zu bekommen, aber ich habe sie mehr oder weniger hingenommen. Es passierte immer willkürlich. Ab und zu wenn man mit Mozilla im Internet war, aber auch bei Spielen oder ähnlichem. Ich kann hinter dem ganzen kein System erkennen, dass auf eine spezielle Datei hinweist. iTunes habe ich bereits neu installiert und Treiber und Virenschutz sind auf dem neusten Stand. Ich möchte einem kompletten Systemreset gerne entgehen und deswegen wende ich mich nun an euch.

Das Problem ist, dass ich vorgeschriebenen ersten Schritte nur teilweise befolgen konnte. Der Ccleaner funktioniert und ich habe ihn bereits verwendet. Malwarebytes funktioniert bei mir leider nicht, da es immer nach einer bestimmten Zeit hängen bleibt und danach dazu führt, dass der Laptop nur noch nach einiger Arbeit mit vielen BlueScreens hochfährt. Ein in anderen Foren empfohlenes chkdsk hat an dem aufhängen nichts geändert und mittlerweile führt mein Laptop das chkdsk auch nicht mehr richtig aus. Deswegen kann ich leider keine Logfiles posten. Ich weiß nicht, wie das mit den Logfiles von RSIT ist. So wie ich es verstanden habe, ist ein erfolgreicher vollständiger Scan notwendig bevor man RSIT anwendet, deswegen habe ich dies noch nicht getan.

Ich habe ebenfalls versucht, die Datei bei Virustotal zu überprüfen, aber dies leider ebenfalls nicht möglich. Wenn ich die Datei bixmttcp.sys aus dem Ordner C:\Windows\System32\drivers auswählen erscheint die Meldung "Ein an das System angeschlossene Gerät funktioniert nicht".

Manuell lässt sich die Datei auch nicht löschen. Dann erscheint die Meldung "Die Quelldatei oder vom Quellträger kann nicht gelesen werden". Auch ein mehrmaliges wiederholen ändert daran nichts.

Ich bin ehrlich gesagt mit meinem Latein am Ende und hoffe, dass mir hier jemand helfen kann. Und falls ich irgendwelche Regularien nicht richtig eingehalten habe, tut mir das leid, aber ich bin neu hier und kenne mich hier nicht aus

. Ich bin außerdem auch nicht ganz sicher, ob ich hier im richtigen Forum bin

Vielen Dank schon mal für Eure Hilfe.

**Leonixx** · 21.03.2011, 16:18

Wie du schon richtig vermutest, hat der Virus Systemdateien verändert. Diese sind nun beschädigt und führen zu Bluescreens.

Malwarebytes auch mal umbenannt und ausgeführt? Im Programmordner die mbam.exe umbenennen in mbam.com.

Rsit kannst du unabhängig anwenden und posten.

Eine weitere Möglichkeit wäre noch das Emisoft Emergency Kit. Einfach entzippen, auf USB Stick kopieren und ausführen.

Emsisoft Emergency Kit: Portabler Malware Scanner | Gratis Entfernen von Viren, Bots, Spyware, Keylogger und Trojaner

Ich vermute aber das es auch zum Bluescreen kommen wird.

fra_ribery · 22.03.2011, 08:27

Malwarebytes umzubennen hat leider zum gleichen Ergebnis geführt, aber RSIT hat funktioniert.

**Leonixx** · 22.03.2011, 11:53

Hast du das Programm für Remotezugriff installiert? Ist ein Open Source Tool.
"WinUpdSrvc"=C:\Users\Public\winvns.exe []
"WindowsUpdateControl"=C:\Users\Public\winvsnc .exe []

Kann es sein das du mehrere AV-Programme mit Hintergrundwächter installiert hast?
Norton, Antivir und Spybot?
C:\Program Files\AntiVir PersonalEdition Premium\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Norton Internet Security (NIS) - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\18.5.0.125\ccSvcHst.exe

Da würde es mich nicht wundern, dass es zu Bluescreens kommt.

Was dieser Prozess sein soll, ist mir auch nicht klar.
Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

fra_ribery · 22.03.2011, 15:28

Zu der ersten Frage kann ich nicht viel sagen, weil ich nicht weiß, was Remotezugriff genau sein soll. Ich kann mich nicht erinnern jemals ein Programm dafür installiert zu haben. Wenn dann wurde es vor dem Kauf schon installiert.

Ja, ich habe Norton, Spybot und Antivir installiert. Ich nutze aber nur Norton wirklich aktiv. Es kann aber durchaus sein, dass die anderen beiden Programme im Hintergrund weiterlaufen.

Zu Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter kann ich leider auch nichts sagen.

**Leonixx** · 22.03.2011, 15:37

Entscheide dich für ein AV-Programm. Entweder Norten oder Antivir. Spybot kannst du getrost löschen. Das zweite AV, das du nicht mehr benutzt auch entfernen.

Zitat:

Zu der ersten Frage kann ich nicht viel sagen, weil ich nicht weiß, was Remotezugriff genau sein soll.

Das heißt das man aus der Ferne mit den entsprechenden Zugangsrechten deinen Rechner fernsteuerun könnte. Deshalb die Frage.

fra_ribery · 22.03.2011, 17:26

Dann habe ich solche Programme nicht installiert und will sie auch nicht nutzen.

Orchidee75 · 22.03.2011, 18:23

Dieses Welcome center kenne ich. ich habe bei mir diverse laptops zuhause stehen, und dort ist auch überall ein solches Welcome Center installiert, über das ich den laptop beim Herrsteller registrieren kann, sowie die ganze Vorinstallierte Software wiederinstallieren kann

hoffe die Info hilft euch

fra_ribery · 22.03.2011, 19:28

Danke. Hoffe ich auch

Ich habe jetzt alle Virenprogramme außer Norton entfernt. Bluescreens kommen trotzdem noch. Es liegt immernoch an der Datei bixmttcp.sys ...

Larusso · 23.03.2011, 08:54

Zitat:

Was dieser Prozess sein soll, ist mir auch nicht klar.
Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

Hy. Dieser Eintrag macht eigentlich nichts anderes als das Erste Schritte Fenster zu öffnen.
Kann man getrost via Ausführen --> MSConfig --> Systemstart und den Hacken bei WIndows Welcome Center entfernen.

Mach das selbe bitte einmal mit folgenden Einträgen.
WinUpdSrvc
WindowsUpdateControl

Starte den Rechner neu auf.

winvns.exe ist nicht WinVNC.exe
Auszug einer MBAM Logfile

Zitat:

C:\Users\Public\winvns.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\winupdsrvc (Trojan.Downloader) -> Quarantined and deleted successfully.

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

@echo off
if exist "%temp%\look.txt" del "%temp%\look.txt" 
for %%a in (
C:\Users\Public\winvsnc.exe
C:\Users\Public\winvns.exe
) do (
del /a/f/q %%a 2> nul 
if exist %%a echo %%~a > "%temp%\look.txt" 
)
if exist "%temp%\look.txt" ( 
notepad "%temp%\look.txt" 
) else (
echo Dateien geloescht
pause
)
del %0

Wähle Datei --> Speichern unter
Dateiname: fra.bat
Dateityp: Wähle Alle Dateien (*.*)
Speichere die Datei auf deinem Desktop.

Es sollte nun ungefähr so aussehen
Starte die fra.bat.

Vista- User: Mit Rechtsklick "als Administrator starten"

Sollte sich ein Textdokument öffnen, poste den Inhalt bitte hier. Ansonsten steht im DOS Fenster Dateien gelöscht. Ist dies der Fall erstelle bitte eine neue RSIT Logfile.

Sie betrachten gerade: BlueScreen aufgrund unbekannter Datei nach Virus