Hallo

Habe von meiner Schwägerin das Netbook (kein CD Laufwerk) erhalten.
dies ist mit dem Windows Verschlüsselungstrojaner infiziert. (siehe Anhang)

habe zwar hier schon die diversen Threads darüber gelesen, würde mich jedoch über eine separate step by step Hilfe freuen und bedanken, um so wenig wie möglich falsch zu machen.

es funktioniert kein abgesicherter Modus. =(

dankeschön

keiner eine Idee?

Von einem sauberen PC OTL.exe runterladen auf USB Stick.
Infizierten Rechner ohne Internet starten. OTL.exe auf Desktop kopieren und Log erstellen.

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe
- Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
- Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
- Unter Extra Registry, wähle bitte Use SafeList
- Klicke nun auf Run Scan links oben
- Wenn der Scan beendet wurde werden 2 Logfiles erstellt
- Poste die Logfiles hier in den Thread.

danke für die antwort.
jedoch geht der abgesicherte modus nicht

habe bereits einen bootbaren usb stick mit OTL erstellt. wenn ich den usb stick als 1. booten lasse kommt eine fehlermeldung. datenträger entfernen zum neustarten .
wenn ich dann stick hinten anreihe wird windwos jxp normal gestartet.

wie führe ich den stick mit OTL korrekt aus, damit ich trotz trojaner befall den OTL Scan durchführen kann?

Ist die Internet Verbindung getrennt?



Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

das infizierte netbook hat weder zugriff zum internet noch hat es ein CD Laufwerk.

habe bereits einen OTL bootbaren Usb stick, welcher sich jedoch nicht starten lässt.

wenn ich windows xp hochfahre erscheint nach ein paar sekunden der Sperrbildschirm

Versuche den abgesicherten Modus.

Hallo

also ich habe nun den OTL scan durchführen können.

hier die Files, bitte um Info über die weitere Vorgangsweise

dankeschön

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - (HWDeviceService.exe) -- File not found 
SRV - (AppMgmt) -- File not found 
DRV - (WDICA) -- File not found 
DRV - (USBCCID) -- File not found 
DRV - (RtsUIR) -- File not found 
DRV - (RSUSBSTOR) -- File not found 
DRV - (PDRFRAME) -- File not found 
DRV - (PDRELI) -- File not found 
DRV - (PDFRAME) -- File not found 
DRV - (PDCOMP) -- File not found 
DRV - (PCIDump) -- File not found 
DRV - (lbrtfdc) -- File not found 
DRV - (hwusbfake) -- File not found 
DRV - (Changer) -- File not found 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\Bernhard_ON_C\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.) 
IE - HKU\Bernhard_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\Bernhard_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. 
O3 - HKU\Bernhard_ON_C\..\Toolbar\WebBrowser: (GMX Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\GMX Toolbar IE8\IE\uitb.dll (1und1 Mail und Media GmbH) 
O4 - HKLM..\Run: [PLFSetI] File not found 
O4 - HKU\Bernhard_ON_C..\Run: [247A3264] C:\WINDOWS\system32\16633D0D247A326443EB.exe (The Code::Blocks Team) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) 
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) 
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\16633D0D247A326443EB.exe) - C:\WINDOWS\system32\16633D0D247A326443EB.exe (The Code::Blocks Team) 
O20 - Winlogon\Notify\igdlogin: DllName - igdlogin.dll - C:\WINDOWS\System32\igdlogin.dll () 
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found 
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found 
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2009/07/31 18:29:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] 
O33 - MountPoints2\{005dbd80-e49c-11e1-a4df-00265e861779}\Shell - "" = AutoRun 
O33 - MountPoints2\{005dbd80-e49c-11e1-a4df-00265e861779}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{005dbd80-e49c-11e1-a4df-00265e861779}\Shell\AutoRun\command - "" = D:\reatogoMenu.exe 
O33 - MountPoints2\{03c1a090-06ea-11e0-a21b-00265e861779}\Shell - "" = AutoRun 
O33 - MountPoints2\{03c1a090-06ea-11e0-a21b-00265e861779}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{03c1a090-06ea-11e0-a21b-00265e861779}\Shell\AutoRun\command - "" = D:\AutoRun.exe 
O33 - MountPoints2\{61d2ada4-f0a8-11de-a110-00265e861779}\Shell - "" = AutoRun 
O33 - MountPoints2\{61d2ada4-f0a8-11de-a110-00265e861779}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{61d2ada4-f0a8-11de-a110-00265e861779}\Shell\AutoRun\command - "" = D:\AutoRun.exe 
O33 - MountPoints2\{7419c7a3-1aa8-11e1-a3ce-00265e861779}\Shell - "" = AutoRun 
O33 - MountPoints2\{7419c7a3-1aa8-11e1-a3ce-00265e861779}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{7419c7a3-1aa8-11e1-a3ce-00265e861779}\Shell\AutoRun\command - "" = D:\AutoRun.exe 
O33 - MountPoints2\{7903bfb3-bb57-11de-a0fb-00265e861779}\Shell - "" = AutoRun 
O33 - MountPoints2\{7903bfb3-bb57-11de-a0fb-00265e861779}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{7903bfb3-bb57-11de-a0fb-00265e861779}\Shell\AutoRun\command - "" = D:\AutoRun.exe 
O33 - MountPoints2\{7903bfbb-bb57-11de-a0fb-00265e861779}\Shell - "" = AutoRun 
O33 - MountPoints2\{7903bfbb-bb57-11de-a0fb-00265e861779}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{7903bfbb-bb57-11de-a0fb-00265e861779}\Shell\AutoRun\command - "" = D:\AutoRun.exe 
O34 - HKLM BootExecute: (autocheck autochk *) - File not found 
[13 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[2012/08/09 16:49:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 
[2012/07/31 12:53:44 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 
[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323 
[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322 
[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321 
[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320 
[2012/04/26 12:38:10 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325 
[2012/04/26 12:37:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324 
[2011/09/14 19:00:00 | 000,000,330 | ---- | M] () -- C:\WINDOWS\tasks\McDefragTask.job 
[2010/07/06 14:01:35 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Bernhard\Anwendungsdaten\.# 
[2009/08/01 05:42:49 | 000,000,338 | ---- | M] () -- C:\WINDOWS\Tasks\McQcTask.job 
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

der scan bleibt bei folgendem Punkt hängen und nichts passiert mehr =(
pc wurde bereits mehrmals neugestartet und der scan wurde neu ausgeführt

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)

Habe den Fix angepasst, bitte nochmal probieren.

ok danke

jetzt geht der scan bis:


O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

ist der letzte punkt

und bleibt wieder hängen

Neustarten, wieder probieren.

dies wurde auch gemacht, anbei ein foto, damit du den "Fehler" siehst

danke

Neuer Fix:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [PLFSetI] File not found 
O4 - HKU\Bernhard_ON_C..\Run: [247A3264] C:\WINDOWS\system32\16633D0D247A326443EB.exe (The Code::Blocks Team) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\16633D0D247A326443EB.exe) - C:\WINDOWS\system32\16633D0D247A326443EB.exe (The Code::Blocks Team) 
O20 - Winlogon\Notify\igdlogin: DllName - igdlogin.dll - C:\WINDOWS\System32\igdlogin.dll () 
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found 
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found 
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found 

[2012/08/09 16:49:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 
[2012/07/31 12:53:44 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 
[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323 
[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322 
[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321 
[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320 
[2012/04/26 12:38:10 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325 
[2012/04/26 12:37:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324 
[2011/09/14 19:00:00 | 000,000,330 | ---- | M] () -- C:\WINDOWS\tasks\McDefragTask.job 
[2010/07/06 14:01:35 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Bernhard\Anwendungsdaten\.# 
[2009/08/01 05:42:49 | 000,000,338 | ---- | M] () -- C:\WINDOWS\Tasks\McQcTask.job 
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]