Hallo,

der PC von meinem Bruder, ist wie von vielen anderen hier, wie ich gelesen habe, genauso mit dem Virus 'sbcvvhost_win86' infiziert.

Habe schon versucht, seinen PC mit OTLPENet.exe zu booten, damit ich auf den REATOGO-X-PE Desktop zugreifen kann.
Allerdings bekomme ich, nachdem die Installation zum Zugriff auf den Desktop zu 100% geladen hat und ich gesehen habe wie Windows hochgestartet wird (3-Klotze-Balken bewegt sich nach rechts), einen blue screen.

Hier die Fehlermeldung:
A problem has been detected and windows has been shut down to prevent damage to your computer.

If this is the first time you've seen this stop error screen, restart your computer. If this screen appears again, follow these steps:

Check for viruses on your computer. Remove any newly installed hard drives or hard drive controllers. Check your hard drive to make sure it is properly configured and terminated.
Run CHKDSK /F to check for hard drive corruption, and then restart your computer.
technical information:

*** STOP: 0x0000007B (0xF78DA528, 0xC0000034, 0x00000000, 0x00000000)


Nachdem ich das erste mal das gesehen habe, habe ich den PC mittels Power-knopf ausgeschaltet (hat auf nichts reagiert, auch strg+umschalt+esc funktionierte nicht) und den Boot nochmal versucht, kam allerdings exakt das selbe.
Kann ja aber weder Antiviren Programm durchlaufen lassen, weil ja der PC von der 'GEMA' angeblich (der Virus) gesperrt wurde, noch kann ich auf den PC sonst noch wie zugreifen, außer im abgesicherten Modus auf den explorer.

Wie kann ich dann auf den REATOGO-X-PE Desktop zugreifen, damit ich OTLpe auf dem PC starten kann?

Danke schon mal und frohe Weihnachten euch allen!
LG
Johannes

hi
du kannst im abgesicherten modus arbeiten?
dann mach dort folgendes:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Nein, im abgesicherten Modus kann ich leider auch nicht arbeiten.
Ich kann nur im abgesicherten Modus mit Eingabeaufforderungen auf den explorer zugreifen. Die Registry funktioniert da aber leider nicht.
Und OTL wollte ich ja installieren und auf dem Desktop speichern, ist aber kurz bevor der Desktop angezeigt werden sollte, der blue screen aufgetreten.

Damit ich das was du mir geschrieben hast, muss ich ja erstmal auf den Desktop zugreifen können, da erscheint aber wie schon oben beschrieben der blue screen.

Kann ich das Problem irgendwie beheben?
LG
Johannes

hi,
folgendes auf nen usb stick kopieren:
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

stick in den infizierten pc, abges. modus mit eingabeaufforderung wählen.
eingeben:
d:\combofix.exe
enter
falls d: nicht das richtige laufwerk ist versuche e: f:
usw.
pc sollte nach cf wieder normal starten, dann log posten.

Ok, habe jetzt den Stick im infizierten PC, allerdings kann ich Antivir jetzt nicht deaktivieren, da ich ja keinen Zugriff habe.
Soll ich jetzt mit combofix fortfahren?

ja kannst du trotzdem

Vielen Dank schon mal für deine Hilfe!!

kommst du wieder in den normalen modus?

Jep, jetzt schon.
Soll ich jetzt OTLPENet.exe starten und den log hier einfügen?

nö otl brauchen wir nicht.

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

ok hab jetzt 3 Dateien entfernt.
desktop hat sich nicht verändert - aber unter arbeitsplatz seh ich alle meine "desktop -icons"

meinst du der hintergrund fehlt? dann rechtsklick auf desktop eigenschaften, bild suchen.
ansonsten rechtsklick, ansicht symbole einblenden.

ok jetzt kann ich die icons auch sehen. Vielen Dank
Hab jetzt noch mal alles überprüft und mir ist nur noch eins aufgefallen.
Wenn ich den computer starte - startet er nicht wie üblich, sondern hat die ersten 3-4 minuten sowas stehen:
"

Intel UNDI, PXE-2.1 (build 082)
Copyright (C) 1997-2000 Intel Corporation

This Product is covered by one or more of the following patents:
US5, 307, 459, US5, 434, 872, US5, 732, 094, US6, 570,884, US6, 115 776 and US6, 327, 625

Realtek PCI Express Gigabit Ethernet Controller Series v2.26 (090219)

CLIENT MAC ADDR: 00 24 21 F5 DD 31 GUID: 00000000-0000-0000-0000002421F5DD31

DHCP... (hier läd er)"
dann kommt noch eine Zeile aber die schaltet sofort nach 1 Sek zum normalen starten um

auf nem weisen hintergrund oder wie?
also wo normalerweise das hersteller logo kommt?

ja wo normalerweise ein herstell logo kommt (bei mir ist es ein schwarzer hintergrund).
nach ein paar minuten schaltet es zu dem herstell logo um und startet normal weiter