hallo,

dieses mal hat mich etwas erwischt, das hier schon in anderen posts bekannt ist.
ich habe isoburner und hxxp://oldtimer.geekstogo.com/OTLPENet.exe geladen und poste hier demnächst die otl datei.

ich hoffe, dass mir jemand helfen können wird.

glg,

anton

Es dreht sich hierbei um ein Netbook der Asus eePc Reihe. mit Win XP.


So, ich habe OLTPE_New geladen und versuchs mit usb_prep8
doch wenn ich die PeToUSB ausführe kann ich fast alles asuführen wies hier steht.

Zitat:

Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
Drücke im DOS Fenster eine beliebige Taste.
Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
Für Drive Label: gib ein OTLPE.
Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
Setze ein Häckchen bei Enable File Copy.


Klicke Start, akzeptiere die Nutzungsbestimmungen.

Ich kann ja zwar den Ordner den ich mit 7zip entpackte anwählen, bzw. blau markieren mit dem linksklick mit der maus, Aber das "Ok" kästchen bleibt grau und ich kann es damit folglich nicht auswählen... in diesem fenster bleibt also nur "abbrechen" als letzte option übrig.

mit Unetbootin probiere ich es grde wieder zum zweiten mal. denn es kommt ständig die meldung im Dos corrupt kernel image, wenn ich dort "Default" auswähle.... OTLPE steht da im Dos nicht zur auswahl, wenn ich vom stick aus boote.

Weiss denn vielleicht jemand rat?

Achjo frohe Ostern!

um genau zu sein steht mit unetbootin (erneut)

Zitat:

invalid or corrupt kernel image.
boot: _

Tjo, dann werd ichs wohl mit nem externen CD Laufwerk probieren müssen... nur doof, dass ich die nächsten tage erstmal keins hab. Wäre also für tips sehr dankbar.

Das befallene Gerät ist ein XP-Rechner?
Mit welchem Rechner bzw. Windows hast du denn versucht den Stick mit OTLPE zu erstellen?

ja es sind beides rechner mit WINXP und Service pack 3.

soll ich OTLPE als ISo brennen? mit iso burner 2_0 ``? und es damit probieren?!

Zitat:

soll ich OTLPE als ISo brennen?

Wieso denn nicht? Den Mehraufwand für den Stick macht man doch nur wenn das befallene Gerät kein CD/DVD Laufwerk hat odre hat es keins?

jo, das netbook hat nur ein externes cd laufwerk.
morgen oder am Mi kann ich es wiederhaben und ausprobieren.

die iso funzt. damit kann ich an einem test rechner starten.
dann starte ich also die OTLPE und klicke zwei mal Yes und dann poste ich hier anschließend beide .txt

sodala, hier ist die otl.txt

die extra.txt weiss ich nicht wie man die macht

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [lmfvMDBr3jNvGGM] C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe ()
O4 - HKU\anton_ON_C..\Run: [lmfvMDBr3jNvGGM] C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\anton_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\anton_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\anton_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\anton_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\bemyguest_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe) - C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe) - C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe ()
O20 - HKU\anton_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe) - C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe ()
O20 - HKU\anton_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe) - C:\Dokumente und Einstellungen\anton\Anwendungsdaten\bstr55uhjzd.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/06/20 10:49:48 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2012/05/21 16:00:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\UAs
[2012/05/16 08:10:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\10016
[2012/05/16 08:10:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\kock
[2012/04/07 12:20:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xmldm
[2012/03/31 18:14:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs
[2011/07/16 12:32:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\anton\Anwendungsdaten\facemoods.com
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

okay danke,

ich kann wieder ins os reingehen. win xp startet normal, nur die desktopdaten sind verschwunden, was nicht schlimm ist.
hier ist der fix log und die moved files lade ich auch gleich hoch...

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

ok, hier die mbam log
und als zip die vorigen 20 logs
jetzt hat mbam 4 funde gehabt die ich entfernte

Ok, was ist mit ESET?

eset hat 4h gebraucht...

kannst du mir vielleicht saGEN wie ich meine desktop sachen wieder sehen kann?
denn sie sind da. das weiss ich wenn ich in den explorer gehe. aber alles was ich auf dem desktop abspeichere wird dort einfach nicht mehr angezeigt - auch wenn ich den desktophintergrund deaktiviere ....

achja, letzte frage: wieso sollte ich den haken ausschalten (was ich auch gemacht hab) bei dem scan von eset wo es darum ging dass er die infected files löschen soll?
hängts damit zusammen dass eset manchmal wichtige einträge löscht?

thx 4 your help arne!


hier der eset log:

Code: Alles auswählenAufklappen

ATTFilter

   ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0e71dee690688e4a95c866af7c5e588c
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-11 10:41:16
# local_time=2012-04-12 12:41:16 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 93 534886 70703612 10383 0
# compatibility_mode=8192 67108863 100 0 234 234 0 0
# scanned=118246
# found=3
# cleaned=0
# scan_time=17333
C:\RECYCLER\S-1-5-21-1454471165-1409082233-1801674531-1003\Dc1.zip	a variant of Win32/Kryptik.ADUL trojan (unable to clean)	00000000000000000000000000000000	I
C:\RECYCLER\S-1-5-21-1454471165-1409082233-1801674531-1003\Dc2.7z	a variant of Win32/Kryptik.ADUL trojan (unable to clean)	00000000000000000000000000000000	I
D:\Downloads\Fruity Loops Studio XXL Producer Edition v8.0.0 Plus\flstudio_8_0_install.exe	probably a variant of Win32/Delf.LQXDKYX trojan (unable to clean)	00000000000000000000000000000000	I
         

vielleicht ein kommentar zu den drei funden:

die ersten beiden sind 7zip und zip archive von _otl moved files.
das letzte von fruity loops ist eine art magix music maker.

Zitat:

D:\Downloads\Fruity Loops Studio XXL Producer Edition v8.0.0 Plus\flstudio_8_0_install.exe

Aus welcher Quelle das wohl stammt

das hat ein mir unbekannter auf meine festplatte kopiert... auf einer LAN

Ah und du hast dankend die Raubkopie eines Unbekannten angenommen
Irgendwie klingt das nicht sehr überzeugend oder aber sehr naiv

Sry aber bei illegaler Software gibt es hier nur noch Hilfe zur Datensicherung + Neuinstallation von Windows

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials