geht gar nix mehr momentan. egal ob abgesicherter modus mit oder ohne netzwerktreibern

Blöderweise seh ich das auch jetzt erst mit den zwei Virenscannern.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

ok, werde das morgen früh machen, da ich momentan über mein laptop im internet bin und dieser laptop kein laufwerk hat. mache das dann mit einem anderen rechner/laptop, danach melde ich mich nochmal.

für die zukunft: welche freeware sind optimal, um den rechner vor solchen "plagegeistern" zu schützen?

wollte mich für die bisherige bemühung deinerseits bedanken, auch wenn das problem noch nicht gelöst ist. die absicht reicht

Also das "Starting Reatogo-X-PE" kommt und lädt auch.
Danach folgende Meldung:

"file adpu160m.SYS caused an unexpected error (18) at line 3520 in d:\xpsprtm\base\boot\setup\setup\.c

Press any key to continue.

Setup failed. Press any key to restart windows."

mittlerweile heisst die nachricht:

"The file adpu160m.SYS is corrupted"

OTL1 ist vom "Windows"-Ordner
OTL ist vom "Windows-Ordner" Ordner

es gab irgendwie keine extra.txt-dateien :S

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - File not found [Kernel | System] --  -- (xtdwgtlh)
DRV - File not found [Kernel | System] --  -- (qthfsxut)
DRV - File not found [Kernel | System] --  -- (mtakzjjt)
DRV - File not found [Kernel | System] --  -- (dcnpqupw)
DRV - File not found [Kernel | Boot] --  -- (bncih)
O4 - HKU\.DEFAULT..\Run: [ffdwnd] C:\Windows\System32\config\systemprofile\AppData\Local\Mozilla\Firefox\firefox.exe ()
O4 - HKU\Tantuni_ON_C..\Run: [Facebook Update] C:\Users\Tantuni\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
:Commands
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

leider startet der Rechner nicht :S

Danke für diese ausführliche Problembeschreibung

sorry für die unpräzise beschreibung...

also der rechner fährt nicht hoch, weder im normalen noch im abgesicherten modus.. es bleibt bei einem schwarzen hintergrund

Nachtrag vom letzten Mal:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\xtdwgtlh deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\qthfsxut deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mtakzjjt deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dcnpqupw deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\bncih deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\ffdwnd deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Mozilla\Firefox\firefox.exe moved successfully.
Registry value HKEY_USERS\Tantuni_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Facebook Update deleted successfully.
C:\Users\Tantuni\AppData\Local\Facebook\Update\FacebookUpdate.exe moved successfully.
========== COMMANDS ==========
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 02092012_231325
         

Funktioniert der abgesicherte Modus mit Eingabeaufforderung noch?

Nein, leider auch nicht.

Dann ist die letzte Chance nochmal OTLPE, wenn man da nichts mehr fixen kann bliebt nur nach Datensicherung via Live-CD und Neuinstallation von Windows

soll ich wieder den text von oben in den customscan-box reinkopieren?

Nee, so wie in #17 => http://www.trojaner-board.de/109195-...tml#post767710