Hallo,
ich habe folgendes Problem: wenn ich meine PC boote, erscheint nach dem hochfahren ein weißer screen mit dem Text: Please wait while the connection is being established
Bitte warten sie, während die verbindung erstellt wird.

ich habe den OTLPEN.exe mit isoburn auf eine CD gebrannt, mit der CD gebootet, und einen Scan laufen lassen:


bitte um Hilfe, bzw. den Fix.

danke, moon

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [VX2bt1oYNKCLnkO] C:\Dokumente und Einstellungen\moon\Anwendungsdaten\h6s5ruij653.exe (Cutting Edge Software Inc.)
O4 - HKU\moon_ON_C..\Run: [VX2bt1oYNKCLnkO] C:\Dokumente und Einstellungen\moon\Anwendungsdaten\h6s5ruij653.exe (Cutting Edge Software Inc.)
O7 - HKU\moon_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\moon_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\moon_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\moon\Anwendungsdaten\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\moon\Anwendungsdaten\h6s5ruij653.exe
(Cutting Edge Software Inc.)
O20 - HKU\moon_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\moon\Anwendungsdaten\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\moon\Anwendungsdaten\h6s5ruij653.exe
(Cutting Edge Software Inc.)
O20 - HKU\moon_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\moon\Anwendungsdaten\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\moon\Anwendungsdaten\h6s5ruij653.exe
(Cutting Edge Software Inc.)
:Files
C:\Dokumente und Einstellungen\moon\Anwendungsdaten\h6s5ruij653.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hallo Markus,

erstmal herzlichen Dank fuer deine schnelle Antwort. Nun habe ich das Problem, - wenn ich mein Passwort im WinLogon eingebe und "Enter" druecke - der Comp zuerst auf "Einstellungen werden geladen" springt wie er es sollte, dann flackert der bildschirm kurz, dann springt er auf "Einstellungen werden gespeichert um" und ich bin wieder vor der Windows Passwort Eingabe.

Dasselbe hatte ich während der Infektion, wenn ich versuchte mich im "safe mode" einzuloggen.

Eventl. liegt es daran, dass ich als der comp infizeirt wurde, sofort die physische "aus" Taste am LPT gedrueckt habe, um den comp auszuschalten.

Weisst du Abhilfe?

danke, moon

jo, vllt hast du dir das system zerschossen und es muss neu gemacht werden.
hast du das script ausgeführt?
sind daten da, die gesichert werden müssen?

Hi Markus,

ich hab die movedFiles.zip auf euren server raufgeladen, hat geklappt. Mein Rechner läuft wieder, hab noch mit Malwarebytes gescannt und ein paar Registry Einträge gekillt.

Die OTL.txt hab ich noch angehängt, ich nehme an das ist der scanlog von OTL nach desinfektion.

Das einloggen und sofort wieder ausloggen Problem hatte folgenden Grund, (damit Ihr helfen könnt, wenns jemand anderen erwischt):

Die Malware hatte im Registry Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current Version\Winlogon\

den Eintag für "userinit" von C:\windows\system32\userinit.exe auf den Pfad der Malware-exe verändert, bzw. diesen hinzugefügt (vorne dran). Daher hat der Logon immer nach der nicht mehr vorhandenen Exe gesucht und mich wieder rausgeworfen.

Ich habe also nochmal mit reatogo gebootet und mit "regedit" den Registry Editor aufgerufen.
Danach auf HKEY_LOCAL_MACHINE klicken, die Datei "software" in c:\windows\system32\config suchen und via "Datei-Struktur laden" in den registry editor laden. Den beschädigten Key suchen, den shit-Pfad rauslöschen (bzw. auf "C:\windows\system32\userinit.exe" ändern.
Danach die Struktur wieder unloaden, reboot und voi-la alles funkt.

jedenfalls DANKE für deine schnelle reaktion und die tollen tips hier im forum, hat mir sehr geholfen....

alles Gute,
moon

hi, keiner hatte was von nem Malwarebytes scan geschrieben. und wenn du schon scanst, poste die logs, oder wie soll ich sonst arbeiten?
danke übrigens für den upload :-)

Gut,

hab ich mit dem Malwarebytes scan einen Fehler gemacht?
Der Anhang im vorigen post ist die logfile von OTL nach der Ausführung deines Scripts. Dein Script hat bestens funktioniert, nur rebooten musste ich noch manuell.

Da ich danach das Problem mit dem An/ABmelden in einem Zug zu lösen hatte, konnte ich den Log und die Movedfiles erst jetzt raufladen.

Passt alles?

aber das Malwarebytes log fehlt doch noch.
ist unter malwarebytes, logdateien zu finden, dort am besten mal alle logs raus kopieren und posten :-)

Ah, O.K.,

es gibt nur eine Log-datei, findest du im Anhang :-)

merci...

ok.
- servicepack3:
Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
- internet explorer 8, auch wenn du nen andern browser nutzt, muss er aktuell sein.
Detail Seite Windows Internet Explorer 8 für Windows XP
- automatische updates so konfigurieren, das sie automatisch geladen/instaliert werden:
Konfigurieren und Verwenden des Features "Automatische Updates" in Windows
wenn fertig, melden bitte

Gut,
bin gerade dabei die Dateien runterzuladen. Vorher 2 Fragen:

1 - Ist mein System deiner Meinung nach wieder clean?
2 - Ich wollte eigtl. vermeiden Service Pack 3 zu instalieren, ist es deiner Mng. nach unbedingt notwendig?
3 - Auch die Automatischen Updates aktiviere ich nicht gerne, da diese eine Verbindung mit den MS Servern herstellen und im Hintergrund Daten austauschen, welche ich nicht kontrollieren kann.

4 - Kannst du mir sagen ob die Datei "sptd.sys" von meinem Comp entfernt wurde?

thx, moon

wieso willst du kein sp3, logisch ist das nötig.
und warum sollte man angst davor haben das windows updates geladen werden, der ganze blödsinn von wegen das ms irgendwelche daten über einen sammelt, ist genau das, unbewisener blödsinn.
wenn du deinem betriebssystem nicht traust, warum nutzt du es dann?

Weil Windows noch immer jenes Betriebssystem ist, für welches es am meisten Programme gibt, und dass man am besten kontrollieren kann.
Dass heisst nicht, dass ich den Redmondern blind vertraue. Bei jedem Update werden etliche Daten auf die MS Server übertragen, und ich weiss nicht welche.
Zudem habe ich etliche Systemdienste abgeschaltet die ich nicht unbedingt brauche, da ich meine Sysperformance für was anderes brauche.

Würde es dir was ausmachen, meine Fragen zu beantworten? (Eine hast du ja schon beantwortet, danke!)

denkst du, wenn ms dir daten "klauen" wollte, würden sie dafür den windows update dienst nutzen, und es hätte nicht schon mal wer rausgefunden? aktiviere also bitte windows update, denn das problem wäre evtl. dadurch verhindert worden.
wegen der sys, gibts da probleme?
fertig sind wir sowieso noch nicht, warte bis du das sp3 drauf hast, dann gehts weiter.