Hallo

Ich bin diesem Virus aufgesessen:
hxxp://www.cybercrime.admin.ch/content/kobik/de/home/dokumentation/informationen/2012-06-29.html

Nun würde ich den gerne (mit eurer Hilfe) entfernen, kann aber momentan auf nichts zugreiffen. (Task-Manager lässt sich nicht öffnen und das "Windows-Logo" funktioniert auch nicht.)

Danke für eure Hilfe

Tulbi

Der Link scheint nicht zu funktionieren.

Man kann ihn aber über Google -> cyber crime investigation department -> zweiter Link finden.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo t`john

Danke vielmals für deine Hilfe.

Nachdem REATOGO-X-PE geladen wurde und auch noch mit einem vollen Ladenbalke ca. 5-10min nichts geschah kam diese Fehlermeldung:

"A problem has been detected and windows has been shut down to prevent damage. etc."
Die Meldung sagte auch noch, dass ich den Computer für Viren und/ oder neue Harddrives checken soll.
Die Fehlermeldung war:
" *** STOP: 0x0000007B (0xF8DA528, 0xc0000034, 0x00000000, 0x00000000)"

Danke für die Hilfe

Ich habe heute nocheinmal versucht die CD zu gebrauchen.

Diesmal kam eine andere Fehlermeldung...
nvrd325.SY_ habe einen Fehler (Error (32768)) ausgelöst.

und dann die "Line" sei:
d:/xpsrtm/base/boot/setup/setup.c (das "/" ist natürlich gespiegelt)

Sorry, Dein Thread ist bei mir etwas untergegangen.

Stell mal im BIOS bei der Festplatte den Modus von AHCI auf IDE (oder umgekehrt) ein.
Danach versuche es bitte nochmal.

hallo t`John

Ich bin ins BIOS (bei mir wird es glaub setup utility genannt!?) und ging zur festplatte (HDD!?) und probierte mit "enter" irgendwie reinzukommen (so nach anleitung unten am Screen) aber die Taste hatte keine Wirkung (ich kam nicht in ein "Menu" oder so...)

Ich bin nicht so bewandert und weiss nicht wie ich von IDE zu AHCI oder umgekehrt gehen soll.

Danke

Hier ein Beispielbild:

PCH SATA Control Mode auf IDE stellen.



Willst du nochmal im BIOS suchen?

Vielleicht komme ich auch nicht ins BIOS:

How do I enter the Computer BIOS? - EaseUS Disk Copy

Ich habe ein Toshiba Satellite und wenn ich während der Motherboard-Anzeige ganz am Anfang F2 drücke komme ich ins setup utility aber kann definitiv auf fast nichts zugreifen (ausser Zeit, Datum etc.)

Lg

Kannst du die CD mal an einem anderen Rechner probieren (um auszuschliessen, dass die CD fehlerhaft ist)

sorry bei dem anderen PC weiss ich nicht wie ich von CD aus boote...
beim zweiten PC komme ich mit "delete" ins BIOS setup utility...
auf dem Laptop komme ich zwar auch in ein setup utility es wird aber nie von BIOS gesprochen.

hilft dir das weiter: http://www.trojaner-board.de/81857-c...cd-booten.html

Hallo T`John

Nein leider nicht...

Die CD ist aber wahrscheinlich OK, oder?
Die Fehlermeldung richten sich jedenfalls immer auf den PC und nicht die CD...
Und die Fehlermeldung kommt ja nur ganz am Ende des Reatogo-Starts...

Danke

ich habe eine neue Idee...

Wenn ich den Computer starte, ist und mich als Benutzer einlogge habe ich so 5-10 sekunden ein normaler PC und kann auch Zbsp. ins Internet gehen.

Vielleicht wäre es möglich in dieser Zeit irgendwie eine Massnahme zu ergreiffen?

Liebe Grüsse

Anmerkung: Habe nun in diesen 5-10Sekunden der Avira Antivir gestartet und der Virus blockierte nichts mehr. Konnte nun OTL runterladen und mache momentan ein scan...

Das haettest du vorher sagen koennen

Das Trennen der Internet Verbindung haette gereicht.

Melde dich mit den Logs wieder

Das sind die beiden Dateien.

Und sorry, dass ich es dir erst jetzt sagte...
Bis gestern kam aber nach dem einloggen sofort der Virus.

Danke für deine Hilfe und anbei die Logs

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Ersetze die *** Sternchen wieder in den Benutzernamen zurück!
• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - [2012.04.30 11:57:42 | 000,067,072 | ---- | M] () -- C:\Program Files (x86)\Sony\Sony PC Companion\PCCompanionInfo.exe 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - prefs.js..extensions.enabledItems: calendar-timezones@mozilla.org:0.1.2008d 
FF - prefs.js..extensions.enabledItems: default-palette@celtx.com:1.0 
FF - prefs.js..extensions.enabledItems: emoticons-msn-smileys@m513901.de:0.1 
FF - prefs.js..extensions.enabledItems: inspector@mozilla.org:2.0.0 
FF - prefs.js..extensions.enabledItems: messagestyle-blackened@addons.instantbird.org:0.9 
FF - prefs.js..extensions.enabledItems: messagestyle-depth@addons.instantbird.org:1.1 
FF - prefs.js..extensions.enabledItems: messagestyle-minimal20@addons.instantbird.org:1.5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O32 - HKLM CDRom: AutoRun - 1 
[2012.07.16 11:20:51 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad 
[2012.07.14 12:52:42 | 000,001,891 | ---- | M] () -- C:\Users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 
[2012.07.14 12:52:42 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad 
[2012.07.14 12:52:42 | 000,001,891 | ---- | C] () -- C:\Users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Zitat:

All processes killed
========== OTL ==========
No active process named PCCompanionInfo.exe was found!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: calendar-timezones@mozilla.org:0.1.2008d removed from extensions.enabledItems
Prefs.js: default-palette@celtx.com:1.0 removed from extensions.enabledItems
Prefs.js: emoticons-msn-smileys@m513901.de:0.1 removed from extensions.enabledItems
Prefs.js: inspector@mozilla.org:2.0.0 removed from extensions.enabledItems
Prefs.js: messagestyle-blackened@addons.instantbird.org:0.9 removed from extensions.enabledItems
Prefs.js: messagestyle-depth@addons.instantbird.org:1.1 removed from extensions.enabledItems
Prefs.js: messagestyle-minimal20@addons.instantbird.org:1.5 removed from extensions.enabledItems
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\ProgramData\go_0molg.pad moved successfully.
File C:\Users\***.***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
File C:\ProgramData\go_0molg.pad not found.
File C:\Users\***.***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
========== FILES ==========
< ipconfig /flushdns /c >
No captured output from command...
C:\Users\******\Downloads\cmd.bat deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: ******
->Temp folder emptied: 303988476 bytes
->Temporary Internet Files folder emptied: 14843835 bytes
->Java cache emptied: 3330090 bytes
->FireFox cache emptied: 73629838 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 451452 bytes

User: ***Hõberli

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 298279220 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 66818 bytes
RecycleBin emptied: 6112653887 bytes

Total Files Cleaned = 6.492,00 mb


[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Gast
->Flash cache emptied: 0 bytes

User: Public

User: ******
->Flash cache emptied: 0 bytes

User: ***Hõberli

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.54.0 log created on 07202012_002123

Files\Folders moved on Reboot...
C:\Users\******\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\******\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

Habe alles wie beschrieben gemacht...
Bei Avira habe ich einfach den Echtzeitscanner ausgeschaltet, hat das genügt?

Danke vielmals für deine Hilfe!!!