Hallo,
ich habe leider auch das Problem mit dem Trojaner "Es besteht noch keine Internetverbindung, bitte warten".
Der weiße Bildschirm erscheint bei mir auch im abgesicherten Modus.
Wollte in einem Forumsthema der Anleitung von markusg folgen, um die otl.txt in der Hoffnung mir könnte jemand helfen zu posten.

Allerdings zeigt mein System keinen "REATOGO-X-PE Desktop" an. Nach dem Booten und nachdem der Ladebalken "Starting Reatogo-X-PE"
durchgelaufen ist, dauert es nochmal ca. doppelt so lang, bis kurz (ca. 1sek.) der Windows-Startbildschirm angezeigt wird. Dann
bricht mein Windows 7 allerdings mit folgendem blauen Bildschirm ab:

A problem has ben detected and windows has been shut down to prevent damage to your computer.

If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

check for viruses on your computer. Remove any newly installed hard drives or hard drive controllers. Check your hard drive to make
sure it is proberly configured and terminated. Run CHKDSK /F to chech for hard drive corruption, and then restard your computer.

Technical information:
*** STOP: 0x0000007B (0xF78DA528, 0xC0000034, 0x00000000, 0x00000000)


Spontan kann ich mich nicht daran erinnern, dass es diesen Bildschirm schon mal bei mir angezeigt hat.

Ich hoffe mir kann jemand weiterhelfen!
Danke schon mal für die Mühe im vorraus.
viele Grüße

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern?




Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hallo,
Nein funktioniert auch nicht; wieder weißer Bildschirm.
das einzige was noch funktioniert ist der "abgesicherte Modus mit Eingabeaufforderung".
(habe da einen schwarzen Bildschirm mit der cmd.exe, sonst nichts)
gruß

Zitat:

Allerdings zeigt mein System keinen "REATOGO-X-PE Desktop" an. Nach dem Booten und nachdem der Ladebalken "Starting Reatogo-X-PE"
durchgelaufen ist, dauert es nochmal ca. doppelt so lang, bis kurz (ca. 1sek.) der Windows-Startbildschirm angezeigt wird. Dann
bricht mein Windows 7 allerdings mit folgendem blauen Bildschirm ab:

Geh mal ins BIOS deines Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

Mit deaktiviertem AHCI solltest du OTLPE booten können

Hallo Arne,
habe mein Handbuch leider nicht zur Hand.
habe in meinem BIOS nichts gefunden, wo ich von AHCI auf IDE umstellen kann.
Mein Laptop ist von HP (HP G62 Notebook PC), auf google finde ich hierzu einige Forenbeiträge, von Leuten die das auch nicht auf ihrem HP-Rechner/Laptop umstellen könne.
die Einstellungen die ich im BIOS machen kann, sind sehr gering.

Ein bekannter hat mir den tipp gegeben, in meiner Eingabeaufforderung (cmd) den trojaner zu löschen. dazu müsste ich allerdings wissen, in welchem verzeichnis er liegt usw... (bringt mich gerade auch nicht weiter).

Habe noch von HP die Möglichkeit, meinen Laptop zu booten, gehe aber davon aus dass mein System (inkl. Daten) wieder auf seinem
Ursprungsstand ist.

ich kenn mich mit booten usw. relativ wenig aus. Aber so wie ich das gerade sehe
habe ich ein verdammt großes Problem

Gruß

Dann hat man schlechte Karten. Ohne deaktiviertem AHCI kann man OTLPE so nicht booten, da es dann wegen eines fehlenden Treibers einen BlueScreen gibt
Und einfach nur die Datei löschen bringt auch nur viel Glück etwas, dann man muss die dazugehörigen Passagen in der Registry auch noch entfernen.

Idee: Besorg die eine Live-CD wie zB PartedMagic (mehr dazu unten) damit kannst du erstmal deine Daten in Sicherheit bringen (auf eine externe Platte) und anschließend mal versuchen combofix.exe direkt auf C: zu speichern (unter PartedMagic, einem LiveLinux, da wird dein Laufwerk C als Pfad innerhalb von /media verfügbar sein, bei Linux gibt es keine Laufwerksbuchstaben! - vorher musst du es mounten, siehe Anleitung zu PartedMagic)

Wenn du deine Daten gesichert und combofix.exe auf C: (innerhalb von /media kopiert hast), kannst du mal wieder in den abgesicherten Modus mit Eingabeaufforderung starten und mit dem Befehl c:\combofix.exe solltest du CF starten können (Bitte u.g. Anleitung zu CF beachten, sofern passend, Virenscanner deaktivieren ist wohl nicht nötig, da abgesicherter Modus)


Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!

Wenn du dir sicher bist, dass du auch alle Daten unter Linux gesichert hast, führst du mal Combofix aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir (über PartedMagic) ComboFix hier herunter auf deinen Desktop bzw. nach /media in das Verzeichnis der gemounteten Windows-C-Partition

• Starte den Rechner neu, boote Windows in den abgesicherten Modus mit Eingabeaufforderung

• Starte combofix.exe von C: über die Konsole, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Danke für die ausführliche Hilfe!
Das mit meinen Daten ist mir im moment auch das wichtigste, vor allem weil noch sachen von meinem Studium drauf sind, die ich am freitag abgeben muss
werde deiner Anleitung folgen und den combofix-text posten wenn ich es habe...
gruß

Hi Arne,
habe noch kurz ne Frage.
Besteht die Möglichkeit, dass ich andere Rechner mit dem trojaner infiziere wenn ich meine Externe Festplatte daran anschließe?
Danke

Nein wenn du die Datensicherung über das Live-Linux machst. Grundsätzlich muss immer erst etwas zur Ausführung gelangen, damit überhaupt ein Schaden entstehen kann.
Eine evtl. autorun.inf von der Platte löschen (falls vorhanden) und ansonten sollst du ja nur Daten und keine Programme/Spiele/Setups sichern

Hallo, jetzt muss ich schon wieder mit einem neuen Problem nerven.
Habe jetzt alle mir wichtigen Daten auf meine Externe Festplatte gezogen und
die combofix.exe in C: innerhalb von /media gelegt.
Mein Problem ist jetzt, dass mir ComboFix beim ausführen sofort sagt, dass
folgende Real-Time-Scanner aktiv sind:
anitvirus: AntiVir Desktop
antispyware: AntiVir Desktop

Habe dann abgebrochen und versucht AntiVir zu deaktivieren.
Problem: im Abgesicherten Modus mit Eingabeaufforderung habe ich nur einen
schwarzen Hintergrund und die cmd.exe. Kann also außer Eingaben in den
Controller nichts machen.
Habe mir dann alle laufenden Prozesse anzeigen lassen und mir gedacht ich könnte sie dadurch beenden.
Allerdings hat keiner der laufenden Prozesse irgendetwas mit Antivir zu tun
(habe jeden einzelnen Prozess gegoogelt...)

jetzt hab ich gedacht ich bin auf einem guten weg, dann kommt wieder so
ein Rückschlag

gruß

Das ist ein Bug. Kannst du die meldung nicht einfach ignorieren/wegklicken?

ok...hier meine Combofix.txt

Zitat:

ComboFix 12-01-31.01 - Manu 02.02.2012 16:43:00.1.4 - x64 MINIMAL
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3958.3335 [GMT 1:00]
ausgeführt von:: C:\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt

Jetzt funktioniert wieder alles!
DANKE!!!!!
muss ich jetzt noch irgendwas beachten? machen?

Ja, du musst beachten, dass a) das Log unvollständig ist und b) wir noch nicht durch sind

Das mit dem Log versteh ich grad nicht so ganz.
was ich im Beitrag vorher geschrieben habe, war der Inhalt der
ComboFix.txt