Liebes Team,
ich habe mich in diesem Forum bereits umgesehen und die einzelnen Schritte durchgeführt (Boot from CD mit Reatogo-x-pe). Zuvor konnte ich auf meinen Laptop (Lenovo R61, 32-bit Windows Xp) nichts mehr machen, weil nach dem Hochfahren und Einsteigen ins Windows sofort ein großes Popup-Fenster kam mit dem Text "Verbindung wird hergestellt" - und dann tat sich nichts mehr.

Anbei mein OTL-File (gesplittet, weil zu groß).
Bitte um eure Mithilfe,
danke,
lg, markus

Hi,

Fix für OTL:
Script auf CD oder USB-Stick kopieren, OTLPE starten und wie folgt vorgehen...
(notepad aufrufen, Script laden und Inhalt der Codebox wie u. beschrieben in OTL kopieren)

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O4 - HKU\M_ON_C..\Run: []  File not found
O4 - HKU\M_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O20 - HKU\M_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O20 - HKU\M_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O27 - HKLM IFEO\notepad.exe: Debugger - "C:\Programme\Notepad2\Notepad2.exe" /z ()

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Rechner sollte sich jetzt wieder normal booten lassen...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

He Chris,
besten Dank für die schnelle Antwort, bin gerade dabei die Anweisungen durchzuführen - geb dir dann Bescheid...

so, hab den Laptop neu gestartet - er hat vor dem Starten von Windows XP einen Check gemacht. Das Virus-PopUp ist weg und ich sehe die gewohnten Desktophintergrund - allerdings sind keine Icons zu sehen und die Taskleiste ist auch weg. Der Taskmanager lässt sich auch nicht starten, folgende Meldung kommt nach dem Drücken von STRG+ALT+ENTF: "Der Task-Manager wurde durch den Administrator deaktiviert".
...

Hi,

dann ging beim fixen was in die Hose, oder gibt es mehrer Konten (M wurde von OTL beackert)?
Versuche in den abgesicherten Modus mit Netzwerk zu booten und poste ein neues OTL-Log...

Taskmanager etc. sollte eigentlich laufen, da ich die Änderungen der Malware zurückgenommen habe (OTL löst diese Einträge)...

Code: Alles auswählenAufklappen

ATTFilter

O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
         

chris

Booten im abgesicherten Modus mit Netzwerk hat nicht funktioniert (endet mit einem schwarzen Bildschirm und einem blinkenden Unterstrich-Zeichen).

Aber: wenn ich von der CD-boote komme ich zumindest zu meinen Daten - das Wichtigste ist somit schon einmal geschafft: herzlichen Dank!

Hi,

poste bitte noch mal ein neues OTL-Logfile...

Brenne die CD und lass ihn dann laufen, das geht so ca. 5-6 stunden...
Dr. Web-Live-CD
Lade Dir das Abbild (Dr.Web CureIt!) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: Dr.Web CureIt!

Danach (wenn der Rechner laufen sollte):
Unhide

Lade Dir unhide von folgender Adresse runter und dann per Doppelklick als Admin ausführen:
http://filepony.de/download-unhide/
Es werden alle versteckten Dateien sichtbar gemacht, ggf. welche die versteckt sein sollten wieder unsichtbar machen (Auswählen im Explorer->Eigenschaften->versteckt)

chris

was meinst du mit "neues OTL-Logfile"?
Soll ich noch einmal von der CD booten und den OTLPEN starten (ScanFix-Prozedur)?

Hi,

ja...
Was macht Dr. Web?

chris

So, bin jetzt dabei dr. web runterzuladen... ich meld mich nachdem dr. web den scan gemacht.

Hi,

ok...

chris

hi,
hab den Dr. Web-Scan 18h laufen lassen, aber die letzten vier Stunden ist er bei einer Datei hängen geblieben.

Folgende infizierte Viren wurden bis dahin (40% des Scans absolviert) festgestellt:
c:/dokumente und einstellungen/m/eigene dateien/downloads/pdfconvertersetup.exe
c:/dokumente und einstellungen/all users/anwendungsdaten/spybot - search & destroy/snapshots2/regubp2b-m.reg

Kannst du mir weiterhelfen?
Und: Ich wollte meine Daten auf eine Festplatte sichern (mit REATOGO-X-PE-Boot), leider wird keine Festplatte erkannt...

Hi,

zur Datensicherung bitte Knoppix verwenden:
http://www.trojaner-board.de/75619-a...x-live-cd.html..

Bitte poste noch ein neues OTL-Log vom Rechner... dann sehen wir weiter
(Datensicherung kannst Du nebenher machen)...
Das Dr. Web solange braucht und hängenbleibt ist ungewöhnlich...

chris

ok, ich schick dir gleich die otl daten wenn alles hinhaut

kann die otl files auf keinen usb-stick speichern, weil der usb stick nicht erkannt wird...