Hi,
ich habe all Eure Anweisungen befolgt - habe einen OTLPE USB Stick erstellt,dann den PC vom Stick neu gestartet.Im gesicherten Modus kam nichts,in allen anderen Modi kam auch nichts - nur im "normal Start" kam dann die Aufforderung mein Kennwort einzugeben was ich auch schon mehrfach gemacht habe - und dann kommt wieder - "Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert..."
Ich habe sehr wenig Ahnung von diesen Dingen und weiß nicht wie der Trojaner auf meinen PC gelandet ist - habe weder Anhänge noch sonst etwas Unbekanntes geöffnet ( nicht bewußt !).
Vielen Dank für Eure Hilfe
Gruß Ingrid

Zitat:

ich habe all Eure Anweisungen befolgt - habe einen OTLPE USB Stick erstellt,dann den PC vom Stick neu gestartet.Im gesicherten Modus kam nichts,

Wenn du OTLPE machen willst sollst du ja auch von der OTLPE-CD oder in deinem Fall vom OTLPE-Stick booten! Das installierte Windows ist kein OTLPE!
Lies bitte die Anleitung zu OTLPE richtig und erklär vllt auch mal warum es ein Stick und keine OTLPE-CD sein soll. Den Stick verwendet man wirklich nur dann wenn man kein optisches Laufwerk hat weil das für den Stick unnötig weitere Voraussetzungen und u.U. Probleme mit sich bringt!

Zitat:

Zitat von cosinus

Wenn du OTLPE machen willst sollst du ja auch von der OTLPE-CD oder in deinem Fall vom OTLPE-Stick booten! Das installierte Windows ist kein OTLPE!
Lies bitte die Anleitung zu OTLPE richtig und erklär vllt auch mal warum es ein Stick und keine OTLPE-CD sein soll. Den Stick verwendet man wirklich nur dann wenn man kein optisches Laufwerk hat weil das für den Stick unnötig weitere Voraussetzungen und u.U. Probleme mit sich bringt!

Entschuldigung !!! ich habe wirklich keine Ahnung!! Ich sitzte hier im Urlaub auf Fuerte und habe KEIN CD Laufwerk auf mein Ersatz! Netbook,daher der Stick - und ja ich weiß nicht was OTLPE ist !! es war für mich ein Versuch wert bei Euch um Hilfe zu bitten. Es tut mir leid wenn ich für Euch zu unfähig bin.LG

Es hat nichts mit Unfähigkeit zu tun, sondern nur mit aufmerksamen Lesen
Du musst vom Stick booten!

Zitat:

Zitat von cosinus

Es hat nichts mit Unfähigkeit zu tun, sondern nur mit aufmerksamen Lesen
Du musst vom Stick booten!

Danke ! aber der PC bootet nicht vom Stick,ich habe auch schon einen zweiten Stick erstellt,der PC erkennt beide, aber dann kommt immer wieder Windows.
Gruß und Danke

Dann musst du die Hinweise beachten wie man von einem anderen Datenträger bootet
Einfach mal im BIOS den USB-Stick als erstes Bootdevice setzen
Oder mit der auf deinem Rechner entsprechenden F-Taste ins Bootmenü gehen, dort kannst du auswählen von welchem Datenträger gebootet werden soll

Geht das nicht kann das mehrere Ursachen haben

1.) Du machst was falsch
2.) Du hast den Stick nicht richtig erstellt
3.) Dein Rechner mag nicht von diesem Stick booten

Nicht jeder Rechner bootet von jedem USB-Stick!

Hi,vielen Dank - ich mußte im BIOS den USB Stick an erster Stelle setzen.
Jetzt habe ich "diese" OTL.txt und Extras.txt auf meinen Stick kopiert.
Und nun weiß ich nicht was ich damit machen soll !?
Bitte nochmals um Eure Hilfe.
Vielen Dank

Ja was wohl, die Logs müssen hier gepostet werden ich kann ja schlecht direkt auf deinen USB-Stick nachsehen

Anhang 34991

Anhang 34992

Hi,ich bin jemand von der älteren Generation und tue mich mit den ganzen Ausdrücken recht schwer,das ist vielleicht etwas lästig für Euch Profis,aber wenn ich dumme Fragen stelle hat das nichts mit nicht gewissenhaft lesen, sondern mit meiner Unfähigkeit des Verstehens zu tun.
Ich weis auch hier nicht ob ich die Logs richtig hochgeladen habe - ich bitte jetzt schon mal um Entschuldigung.Gruß und Danke

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\inka_ON_C..\Run: [E8C60EC5] C:\WINDOWS\system32\D5223B9CE8C60EC5DFE7.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\inka_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\inka_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\inka_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\inka_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\D5223B9CE8C60EC5DFE7.exe) - C:\WINDOWS\system32\D5223B9CE8C60EC5DFE7.exe
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/02/07 02:38:47 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 11:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ]
:Files
C:\Dokumente und Einstellungen\inka\Anwendungsdaten\Epxlqilm
C:\WINDOWS\System32\D5223B9CE8C60EC5DFE7.exe
C:\WINDOWS\System32\winsh32?
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OJgvLqXetdsUOJjnpsXst
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dJroAXxVuOLXsdJrneTx
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sTlGVvryEqEaldxJNv
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pldQrJAofxgEqpDUQN
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hi,ich denke ich war erfogreich - Ich sage tausend Dank !

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hi,ist es unbeding nötig malewarebytes runterladen,das übersteig wohl alles ein wenig mein Können. Ich habe Kaspersky jetz schon zwei mal drurchlaufen lassen , reicht das nicht aus ? Wennn Du sagst das reicht nicht,dann werde ich natürlich dieses malewarebytes installieren und mein Möglichstes tun um Dir die Daten zu schicken. Danke und Gruß

Nein das reicht nicht aus, Malwarebytes und ESET sind wirklich supereinfach zubedienen außerdem haben wir doch dazu bebilderte Anleitungen!!

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.05.26.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
inka :: ACER-9C2C4BDE85 [Administrator]

Schutz: Aktiviert

26.05.2012 20:13:27
mbam-log-2012-05-26 (20-13-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 418956
Laufzeit: 2 Stunde(n), 4 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=840eadb5b2d334478eb0a57a1cc39a1b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-26 10:57:53
# local_time=2012-05-26 11:57:53 (+0000, GMT-Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1280 16777191 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 169 169 0 0
# scanned=181511
# found=2
# cleaned=0
# scan_time=5572
C:\Dokumente und Einstellungen\inka\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations\{6FDDC4D4-C391-4D6D-8593-CF4D5A36BEE1}\Movavi VideoSuite 7.msi a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I
C:\Programme\Movavi VideoSuite 7\ReadServer.exe a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I

Hi,tut mir leid wie das mit dem Code Tag funktioniert habe ich nicht rausgefunden. Vielen Dank für dein Verständnis