Ich sitze hier mit dem Laptop von meinem Vater (Thinkpad T40, Win XP home SP3). Bei diesem hat plötzlich die interene Tastatur nicht mehr reagiert und auch die per PS2 Anschluss an der Dockingstation angeschlossene geht nicht mehr ...

Eine USB-Tastatur funktioniert und so konnte ich den Rechner hochfahren und mich einloggen.

Nun habe ich als erstes mal die aktuellste Version von Antivir (kostenlose Version) neu installiert - vorher wars aber auch recht aktuell. Das hat auch wunderbar funktioniert. Bei anschließender vollständigen Systemprüfung wurde unter anderem eine Trojaner Crazy/Windows in Quarantäne (bzw. die Datei lvvm.exe) verschoben ... nachdem ich die angezeigte Datei gelöscht habe erscheint nun ab und zu die Meldung, dass lvvm.exe nicht geöffnet werden kann.

Scheinbar ist der Trojaner also noch nicht ganz bekämpft. Außerdem funktioniert die Updatefunktion von Antivir nicht ...

Ich bin nun etwas ratlos. Lohnt der Kampf gegen den Trojaner, oder besser gleich das ganze System neu aufsetzen - was grundsätzlich möglich wär und den PC ja auch wieder schneller machen würde.

Wenn das die Lösung ist, was hätte man anders machen müssen um sich gar nicht erst soeinen Trojaner einzufangen.

Ich bin gespannt auf Tipps und Ratschläge.

Hi,

schau ma mal...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

... ich wollte das nun gerade mal in aller Ruhe machen, bin aber schon ganz am Anfang gescheitert.

"OTL.exe ist keine zulässige Win32-Anwendung"

Was nun?

Hi,

dann sind entweder die Reg.Keys verbogen worden, oder aber es gibt Ausführungsbeschränkungen (die die lieben Viecher hinterlassen haben um sicher zu sein)..

Lassen sich andere Anwendungen wie z.B. notepad öffnen? Dann bitte die OTL.exe auf Mopps.com umbennen und erneut versuchen...

Versuchen wir mal das open-cmd in der Reg zurückzusetzten...

Open-command für exe zurücksetzen
Speichere den nachfolgenden Text über den Editor (Start->Ausführen notepad)
auf dem Desktop unter dem Namen SetExe.reg (wichtig : nicht unter der Erweiterung "TXT").
Dann mit Doppelklick auf die Datei ausführen, Abfrage abnicken!

Code: Alles auswählenAufklappen

ATTFilter

REGEDIT4

[HKEY_CLASSES_ROOT\exefile]
"EditFlags"=hex:d8,07,00,00
@="Anwendung"

[HKEY_CLASSES_ROOT\exefile\shell]
@=""

[HKEY_CLASSES_ROOT\exefile\shell\open]
@=""
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{86F19A00-42A0-1069-A2E9-08002B30309D}]
@=""

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[-HKEY_CLASSES_ROOT\secfile]

[-HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command]

[-HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command]

[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
         

Sonst schauen wir mal von aussen auf den Rechner:
Dr. Web-Live-CD
Lade Dir das Abbild (Dr.Web CureIt! —) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: Dr.Web CureIt! —

chris

Setexe.reg erstellen und ausführen hat nicht geholfen ... es kommt weiterhin die Fehlermeldung.
Auch Umbenennung der OLT.exe in Mopps.exe hat auch nichts geholfen.

Werd jetzt mal Dr. Web ausprobieren ...

Jetzt schonmal vielen Dank für die Hilfe

PS: Antivir hab ich übrigens manuell updaten können uns es findet jetzt nichts mehr ...

Dr. Web läuft und Tastatur reagierte auch, allerdings hängt der PC jetzt seit ner ganzen Weile (>5min) im Startbildschirm mit der Meldung "Preparing the LiveCD environment ... Press Alt+F1 for verbose mode"

Hi,

versuche mal ALT+F1... das ist ungewöhnlich, läuft die CD noch oder ist spezielle HW im Einsatz für die es u. U. auf der Live-CD keine Treiber gibt....

Wenn es tatsächlich nicht weitergeht (kann einige Std. dauern)...

Versuche in die Comandline zu kommen (Eingabeaufforderung), wenn Du eine XP-CD hast und das hier auszuführen:
sfc /scannow
1.) Start->ausführen cmd eingeben
2.) sfc /scannow eingeben
3.) XP-CD bereithalten, falls fehlerhafte Dateien gefunden werden
(bei OEM-Rechnern befindet sich i. a. ein entsprechendes Verzeichnis bereits auf der Festplatte)
4.) warten...

chris

Das CD-Rom ist ruhig ... läuft also nicht mehr. Ist aber ganz normaler IBM Standard verbaut, nichts spezielles. Alt+F1 bewirkt auch nichts.

Ich werds mal über die Command Line probieren.

Hi,

na tut sich was? Kommst Du eigentlich in den Regedit rein?
Es wäre möglich, dass sich der Kollege von der anderen Fraktion als shell eingetragen hat...
lvvm.exe gehört üblicherweise zu einem backdoor/trojan-downloader...

chris

regedit lässt sich öffnen ... ich such gerade die XP Cd

Hi,

kannst mal schauen, ob Du sowas findest:
F3 - HKCU WinNT: Load - (C:\Users\Alina\AppData\Roaming\?????\lvvm.exe) -C:\Users\xxx\AppData\Roaming\9B929\lvvm.exe ()
O20 - HKCU Winlogon: Shell - (C:\Users\xxx\AppData\Roaming\????\F53D4.exe

Bleibt zum Schluß noch eine Heavy Gun...
Falls sowas ähnliches existiert, den ersten Eintrag löschen und bei der zweiten den Explorer angeben...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

So mache für heute Schluß, komme erst morgen Abend dazu weiter zu machen...

chris
Ps.: sfc /scannow kannst auch erstmal ohne CD ausprobieren, er fängt dann an zu meckern, wenn er kein I386-Verzeichnis findet (bei OEM-Rechnern meist schon auf Festplatte kopiert)...

scannow läuft jetzt, XP CD liegt bereit

Edit: Und ich mach auch gleich Feierabend zur Not muss ich den Rechner eben neu aufsetzen.

Scannow ist durchgelaufen ... Dr.Web startet aber nach wie vor nicht bzw. bleibt im ersten Bildschirm hängen.

Hi,

probiere ob Du Combofix starten kannst...

chris

Bei Combofix schreckt mich etwas der Fakt ab, dass ich danach evtl. den Rechner neu aufsetzen muss und gar nicht mehr starten kann ...

Neu aufsetzen kommt wenn dann erst nächste Woche in Frage.