Hallo, ich habe mir wahrscheinlich beim surfen den im Titel beschriebenen Trojaner geholt. Wurde aufgefordert 100€ zu bezahlen, beim Neustart, kam dann sofort der weiße Bildschirm.

Windows (7 professional 64-bit) geht auch nicht mehr im abgesicherten Modus, auch nicht im abgesicherten Modus mit Netzwerktreibern. Als Gastbenutzer sehe ich den normalen Desktop.

Ich habe mir eine OTLPE-CD gebrannt und kann von dieser booten:
es erscheint der schwarze Bildschirm mit: ''starting Reatogo-X-Pe ...''
Der anschließende Ladevorgang von Wondows 7 wird dann immer recht schnell abgebrochen und es erscheint folgender Blue Screen:

'' A problem has been detected and windows has been shut down to prevent damage to your computer

if this is the first time you've seen this stop error screen restart your computer. If this screen appears again, follow these steps:

Check for viruses on your computer. Remove any newly installed hard drives controllers. Check your hard drive to make sure it is properly configured and terminated. Run CHKSK /F to check for hard drive corruption, and then restart your computer.

Technical information:
*** stop: 0x0000007B (0xF78DA528, 0xC0000034, 0x00000000, 0x,00000000)

bitte um Hilfe
Danke im Voraus
Falko

Geh mal ins BIOS deines Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

Hier sind die beiden Dateien, die wohl mein problem beschreiben.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [9txXqR9p2lPiFxH] E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()
O4 - HKU\Falko_Vehling_ON_E..\Run: [9txXqR9p2lPiFxH] E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()
O4 - HKU\Falko_Vehling_ON_E..\Run: [Center Agent]  File not found
O4 - HKU\LocalService_ON_E..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_E..\RunOnce: [mctadmin]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\Falko_Vehling_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Falko_Vehling_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Falko_Vehling_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe) - E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe) - E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()
O20 - HKU\Falko_Vehling_ON_E Winlogon: Shell - (C:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe) - E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()
O20 - HKU\Falko_Vehling_ON_E Winlogon: UserInit - (C:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe) - E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{e8001087-9ab2-11e1-beff-60d819f2e29b}\Shell - "" = AutoRun
O33 - MountPoints2\{e8001087-9ab2-11e1-beff-60d819f2e29b}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\Shell - "" = AutoRun
O33 - MountPoints2\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\Shell\AutoRun\command - "" = E:\AutoRun.exe
:Files
E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Habe hier das logfile nach dem Fixen
Das hochladen der Zip-Datei war erfolgreich

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\***\AppData\Roaming\Diablo_III.exe deleted successfully.
File E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\***\AppData\Roaming\Diablo_III.exe deleted successfully.
File E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\***\AppData\Roaming\Diablo_III.exe deleted successfully.
File E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\***\AppData\Roaming\Diablo_III.exe deleted successfully.
File E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8001087-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8001087-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8001087-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8001087-9ab2-11e1-beff-60d819f2e29b}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\ not found.
File E:\AutoRun.exe not found.
========== FILES ==========
File\Folder E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
========== COMMANDS ==========
E:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 05312012_090342

Bitte jetzt routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

ok, hier zuerst das Log von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.30.04

Windows 7 Service Pack 1 x64 FAT
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

31.05.2012 11:47:14
mbam-log-2012-05-31 (15-56-37).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 401750
Laufzeit: 42 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen) -> Daten: c:\users\***\appdata\roaming\diablo_iii.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen.A) -> Bösartig: (Explorer.exe,C:\Users\***\AppData\Roaming\Diablo_III.exe) Gut: (Explorer.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\***\AppData\Local\TempDIR\BetterInstaller.exe (PUP.BundleInstaller.Somoto) -> Keine Aktion durchgeführt.

(Ende)
         

Und hier das Log vom ESET online scanner

Code: Alles auswählenAufklappen

ATTFilter

 SETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-31 03:01:17
# local_time=2012-05-31 05:01:17 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 35879439 90103512 0 0
# compatibility_mode=8192 67108863 100 0 237 237 0 0
# scanned=177761
# found=10
# cleaned=0
# scan_time=2815
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll	a variant of Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe	probably a variant of Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\ps_radio2014.exe	a variant of Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\Temp\6703799.Uninstall\Uninstall.exe	a variant of Win32/InstallCore.Q application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\Temp\is87173921\MyBabylonTB.exe	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\TempDIR\BetterInstaller.exe	a variant of Win32/Somoto.A application (unable to clean)	00000000000000000000000000000000	I
         

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

zu 1): Windows geht wieder aber der Desktop ist leer. wenn ich auf Computer, und dann auf Desktop klicke, kann ich die verlinkungen zum Desktop aber nutzen.

zu 2): Startmenü sieht normal aus. In alle Programme sind alle Ordner gefüllt.

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

habe es wie in der anleitung 2 mal versucht und auch einmal neugestartet. leider hat es nicht geklappt.

Gruß Falko

Geht das auch genauer beschribeen als "nicht geklappt"
Was klappt da genau nicht?

Das Programm läuft, wie ich denke, normal durch, aber der Desktop ist weiterhin komplett leer.



Das Programm sagt unter anderem in einem ''finished-Fenster'': '' Your files should now be visible. If you are missing start menu items, please...

Ich poste mal das Log vom Unhide-Programm:

Code: Alles auswählenAufklappen

ATTFilter

 hier Unhide by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
  hxxp://www.bleepingcomputer.com/forums/topic405109.html

Program started at: 06/01/2012 02:03:13 PM
Windows Version: Windows 7

Please be patient while your files are made visible again.

Processing the C:\ drive
Finished processing the C:\ drive. 207208 files processed.

Processing the G:\ drive
Finished processing the G:\ drive. 0 files processed.

The C:\Users\FALKOV~1\AppData\Local\Temp\smtmp\ folder does not exist!!
Unhide cannot restore your missing shortcuts!!
Please see this topic in order to learn how to restore default
Start Menu shortcuts: hxxp://www.bleepingcomputer.com/forums/topic405109.html

Searching for Windows Registry changes made by FakeHDD rogues.
 - Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
 - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
 - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
 - Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  * HideIcons was set to 1! It was set back to 0!

Restarting Explorer.exe in order to apply changes.

Program finished at: 06/01/2012 02:06:35 PM
Execution time: 0 hours(s), 3 minute(s), and 21 seconds(s)
         

Gruß und Danke bis hierhin Falko

Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

habe jetzt wieder alle Desktopsymbole da, musste nur auf ''symbole anzeigen'' klicken.
Sorry für meine Inkompetenz gerade.