weißer Bildschirm

zecke69 · 10.01.2013, 18:04

Hallo, mein Bildschirm ist weiß.
Ich würde mich sehr über freuen, den wieder "farbig" zu bekommen. Ich bitte daher um Hilfe.

Ich habe das aktuellste FRST geladen und die frst.exe auf dem Rechner laufen lassen. Der Inhalt der Textdatei ist folgender:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-01-2013
Ran by SYSTEM at 10-01-2013 17:58:43
Running from H:\
Windows 7 Home Premium (X86) OS Language: English(US)
The current controlset is ControlSet004

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup [13797992 2009-08-31] (NVIDIA Corporation)
HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [7711264 2009-08-18] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [1541416 2009-07-14] (Synaptics Incorporated)
HKLM\...\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0" [218408 2009-02-25] (CyberLink Corp.)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2011-01-10] (Avira GmbH)
HKLM\...\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe [648072 2007-05-31] (Microsoft Corporation)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [35760 2009-12-21] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [948672 2009-12-11] (Adobe Systems Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER [26112 2011-06-02] (RealNetworks, Inc.)
HKLM\...\Run: [CamAppSTI.exe] C:\Program Files\AVEO\AVEO USB2.0 PC Camera\CamAppSTI.exe [28672 2009-01-04] (AVEO)
HKLM\...\Run: [ConnectionCenter] "C:\Program Files\Citrix\ICA Client\concentr.exe" /startup [304568 2010-10-12] (Citrix Systems, Inc.)
HKU\Reiner\...\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2009-09-21] (Google Inc.)
HKU\Reiner\...\Run: [DisplayFusion] "C:\Program Files\DisplayFusion\DisplayFusion.exe" [1082088 2010-07-07] (Binary Fortress Software)
HKU\Reiner\...\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background [3883840 2009-07-26] (Microsoft Corporation)
HKU\Reiner\...\RunOnce: [FlashPlayerUpdate] C:\windows\system32\Macromed\Flash\FlashUtil10p_ActiveX.exe -update activex [235168 2011-04-20] (Adobe Systems, Inc.)
HKU\Reiner\...\Winlogon: [Shell] explorer.exe,C:\Users\Reiner\AppData\Roaming\skype.dat [61440 2011-11-16] ()
HKLM\...\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent [512360 2012-12-14] (Malwarebytes Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

==================== Services (Whitelisted) ===================

2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [136360 2011-04-30] (Avira GmbH)
2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [269480 2011-06-28] (Avira GmbH)
3 MSSQL$MSSMLBIZ; "C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ [29293408 2010-12-10] (Microsoft Corporation)
2 WTGService; C:\Program Files\Verbindungsassistent\WTGService.exe [329168 2012-01-05] ()

==================== Drivers (Whitelisted) ====================

3 AVEO; C:\Windows\System32\DRIVERS\AVEOdcnt.sys [281600 2009-02-17] (AVEO Corp)
1 avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [11608 2009-02-13] (Avira GmbH)
2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-06-28] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-06-28] (Avira GmbH)
3 DrvSnSht; \??\C:\Program Files\R-Drive Image\DrvSnSht.sys [94608 2008-11-01] (R-TT Inc.)
3 epmntdrv; \??\C:\windows\system32\epmntdrv.sys [14216 2009-08-26] ()
3 EuGdiDrv; \??\C:\windows\system32\EuGdiDrv.sys [8456 2009-09-16] ()
3 ewsercd; C:\Windows\System32\DRIVERS\ewsercd.sys [100224 2011-08-30] (Huawei Technologies Co., Ltd.)
0 hotcore3; C:\Windows\System32\drivers\hotcore3.sys [39472 2008-02-27] (Paragon Software Group)
3 hwusbfake; C:\Windows\System32\DRIVERS\ewusbfake.sys [103040 2011-08-30] (Huawei Technologies Co., Ltd.)
0 NeroCdNt; C:\Windows\System32\Drivers\NeroCdNt.sys [13344 2012-01-02] (ahead software gmbh
im stöckmädle 6
76307 karlsbad, germany
Fax: ++49-7248-911-888
Compuserve: 101776.1057)
3 R-ImageDisk; \??\C:\Program Files\R-Drive Image\R-ImageDisk.sys [126551 2008-11-01] (R-TT Inc.)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)

==================== NetSvcs (Whitelisted) ===================

==================== One Month Created Files and Folders ========

2013-01-10 07:52 - 2013-01-10 08:36 - 00000004 ____A C:\Users\Reiner\AppData\Roaming\skype.ini
2013-01-10 07:52 - 2013-01-10 07:52 - 00061440 ____A () C:\Users\Reiner\1663513026.exe
2012-12-22 01:15 - 2012-12-16 06:13 - 00295424 ____A (Adobe Systems Incorporated) C:\Windows\System32\atmfd.dll
2012-12-22 01:15 - 2012-12-16 06:13 - 00034304 ____A (Adobe Systems) C:\Windows\System32\atmlib.dll
2012-12-12 09:51 - 2012-11-21 18:56 - 02345984 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-12-12 09:51 - 2012-10-04 08:47 - 00169984 ____A (Microsoft Corporation) C:\Windows\System32\winsrv.dll
2012-12-12 09:51 - 2012-10-04 08:43 - 00868352 ____A (Microsoft Corporation) C:\Windows\System32\kernel32.dll
2012-12-12 09:51 - 2012-10-04 08:43 - 00293376 ____A (Microsoft Corporation) C:\Windows\System32\KernelBase.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00005120 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 06:57 - 00271360 ____A (Microsoft Corporation) C:\Windows\System32\conhost.exe
2012-12-12 09:51 - 2012-10-04 06:41 - 00006144 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 06:41 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 06:41 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
2012-12-12 09:51 - 2012-10-04 06:41 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
2012-12-12 09:50 - 2012-11-12 05:24 - 06028800 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-12-12 09:50 - 2012-11-12 03:52 - 01638912 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-12-12 09:50 - 2012-11-08 20:42 - 00002048 ____A (Microsoft Corporation) C:\Windows\System32\tzres.dll
2012-12-12 09:50 - 2012-11-01 21:11 - 00376832 ____A (Microsoft Corporation) C:\Windows\System32\dpnet.dll
2012-12-12 09:50 - 2012-10-26 22:26 - 01231872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-12-12 09:50 - 2012-10-26 22:26 - 00981504 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-12-12 09:50 - 2012-10-26 22:26 - 00132096 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-12-12 09:50 - 2012-10-26 22:24 - 00627712 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2012-12-12 09:50 - 2012-10-26 22:24 - 00067584 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-12-12 09:50 - 2012-10-26 22:23 - 11020800 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-12-12 09:50 - 2012-10-26 22:23 - 02073600 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-12-12 09:50 - 2012-10-26 22:23 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2012-12-12 09:50 - 2012-10-26 22:23 - 00048128 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll

==================== One Month Modified Files and Folders ========

2013-01-10 08:36 - 2013-01-10 07:52 - 00000004 ____A C:\Users\Reiner\AppData\Roaming\skype.ini
2013-01-10 08:36 - 2010-02-04 14:45 - 00001098 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-01-10 07:55 - 2012-11-16 23:12 - 00003953 ____A C:\Windows\setupact.log
2013-01-10 07:55 - 2012-11-16 23:12 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-01-10 07:55 - 2010-02-04 14:45 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-01-10 07:54 - 2009-09-21 21:48 - 00699722 ____A C:\Windows\PFRO.log
2013-01-10 07:52 - 2013-01-10 07:52 - 00061440 ____A () C:\Users\Reiner\1663513026.exe
2013-01-10 07:52 - 2010-02-04 13:32 - 00000000 ____D C:\users\Reiner
2013-01-10 07:49 - 2009-09-21 21:23 - 01785654 ____A C:\Windows\WindowsUpdate.log
2013-01-09 10:19 - 2009-07-26 12:06 - 01646182 ____A C:\Windows\System32\PerfStringBackup.INI
2013-01-07 09:37 - 2012-10-23 13:50 - 00000000 ____D C:\Users\Reiner\AppData\Roaming\Dropbox
2013-01-03 13:08 - 2012-01-20 13:56 - 00000000 ____D C:\Users\Reiner\Tracing
2013-01-03 08:19 - 2012-01-08 04:55 - 00001027 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-01-03 08:19 - 2011-12-07 15:45 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-01-02 13:23 - 2009-07-13 20:34 - 00014736 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-01-02 13:23 - 2009-07-13 20:34 - 00014736 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-12-23 10:06 - 2011-06-18 23:22 - 00000000 ____D C:\D Ausweichplatz
2012-12-22 01:47 - 2009-07-13 20:33 - 00436800 ____A C:\Windows\System32\FNTCACHE.DAT
2012-12-16 06:13 - 2012-12-22 01:15 - 00295424 ____A (Adobe Systems Incorporated) C:\Windows\System32\atmfd.dll
2012-12-16 06:13 - 2012-12-22 01:15 - 00034304 ____A (Adobe Systems) C:\Windows\System32\atmlib.dll
2012-12-14 12:45 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\rescache
2012-12-14 07:49 - 2011-12-07 15:45 - 00021104 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2012-12-12 22:47 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\de-DE
2012-12-12 22:07 - 2010-02-04 13:39 - 00000000 ____D C:\Users\All Users\Microsoft Help
2012-12-12 22:03 - 2010-04-15 11:26 - 65087872 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-12-12 13:27 - 2010-02-04 14:37 - 00000000 ____D C:\Users\Reiner\AppData\Local\Google

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-771618654-3341757510-301361698-1001\$7b17dc0cac3a2bb64be9e8b3f087dfcc

==================== Known DLLs (Whitelisted) =================

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-01-08 08:48:24

==================== Memory info ===========================

Percentage of memory in use: 14%
Total physical RAM: 3036.61 MB
Available physical RAM: 2590.29 MB
Total Pagefile: 3032.83 MB
Available Pagefile: 2590.44 MB
Total Virtual: 2047.88 MB
Available Virtual: 1959.2 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:56.68 GB) (Free:18.32 GB) NTFS
2 Drive d: (Eigenes) (Fixed) (Total:226.31 GB) (Free:24.22 GB) NTFS
3 Drive e: (RECOVERY) (Fixed) (Total:15 GB) (Free:4.77 GB) NTFS ==>[System with boot components (obtained from reading drive)]
4 Drive f: (SYSTEM) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]
6 Drive h: (KINGSTON) (Removable) (Total:3.73 GB) (Free:0.71 GB) FAT32
7 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

Disk ### Status Size Free Dyn Gpt
-------- ------------- ------- ------- --- ---
Disk 0 Online 298 GB 1024 KB *
Disk 1 Online 3824 MB 0 B

Partitions of Disk 0:
===============

Partition ### Type Size Offset
------------- ---------------- ------- -------
Partition 1 Dynamic Data 992 KB 31 KB
Partition 2 Recovery 15 GB 1024 KB
Partition 3 Dynamic Data 100 MB 15 GB
Partition 4 Dynamic Data 56 GB 15 GB

=========================================================

Disk: 0
Partition 1
Type : 42
Hidden: Yes
Active: No

There is no volume associated with this partition.

=========================================================

Disk: 0
Partition 2
Type : 27
Hidden: Yes
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 E RECOVERY NTFS Partition 15 GB Healthy Hidden

=========================================================

Disk: 0
Partition 3
Type : 42
Hidden: Yes
Active: Yes

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 F SYSTEM NTFS Simple 100 MB Healthy

=========================================================

Disk: 0
Partition 4
Type : 42
Hidden: Yes
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C NTFS Simple 56 GB Healthy

=========================================================

Partitions of Disk 1:
===============

Partition ### Type Size Offset
------------- ---------------- ------- -------
Partition 1 Primary 3820 MB 4032 KB

=========================================================

Disk: 1
Partition 1
Type : 0B
Hidden: No
Active: Yes

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 5 H KINGSTON FAT32 Removable 3820 MB Healthy

=========================================================

Last Boot: 2013-01-03 10:19

==================== End Of Log ============================

markusg · 10.01.2013, 18:39

Hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

zecke69 · 10.01.2013, 18:48

Hallo und danke erst einmal.

Brenner gibts auf diesem Notrechner leider nicht. :-(

Ich will ja nicht klüger tun, als ich in diesem Metier bin, aber geht es nicht auch irgendwie über die Windows+R Taste, notepad, Kopieren in Textdatei etc? (siehe andere Beiträge zu diesem Thema)
Könnte ich vielleicht sogar den Text von dir nehmen und das damit machen oder welchen anderen Text muss ich sonst nehmen.

markusg · 10.01.2013, 18:48

ich möchte aber mit einem anderen Programm arbeiten.
kannst du bei nem bekannten /nachbarn was brennen, dann dort erledigen.

zecke69 · 10.01.2013, 18:51

geht heute Abend auch schlecht und es ist leider (wie immer natürlich) dringend, dass ich die Kiste wieder ans Laufen bringe, da ich sonst meine Büroarbeit nicht erledigen kann.

Hallo, mit dem CD Brenner klappt das nicht.
Gibt es einen Grund, diese Möglichkeit der anderen (siehe oben) vorzuziehen?
Wäre es trotzdem möglich, es auf die andere Art zu versuchen?
Danke im voraus.

markusg · 11.01.2013, 19:03

dann hättest du ein backup anlegen müssen, wenn man den Rechner für Büro arbeiten nutzt.
Da stellt sich mir eine andere Frage, ist das ein Firmen gerät, wenn ja, habt ihr ne IT abteilung?
Kontest du die CD inzwischen brennen?

zecke69 · 11.01.2013, 22:55

ja hast ja recht mit dem backup, aber versäumt.

brenner weiterhin schlecht, hoffe daher auf die andere Lösung .... Bitte.
Ist die Alternative von mir so verkehrt?

Ich habe es inzwischen mit dem Brennen geschafft und die CD im verseuchten Laptop eingelegt. Der Rechner bootet automatisch von der CD.
Dann kommt "Starting Reataogo-X_PE" und er hat zwischendurch (für sehr kurze Momente) eine corrupte Datei gemeldet.
Ein Icon, wie du oben beschrieben hast oder die Anfragen, auf die ich mit yes antworten soll, kommen aber nicht. Schließlich startet auch kein OTL.
Was nun tun?
Grüße

Nachtrag: Vielmehr startet Reatogo-X-PE immer wieder von vorne ....

Bin doch noch weitergekommen, stecke aber jetzt wirklich fest:
Wenn ich das OTLPE Logo doppelt anklicke, werde ich aufgefordert, die Windows Directory zu wählen ...??????????
Wenn ich direkt die OTLPE.exe starte erscheint ein Fenster mit vielen Voreinstellungen. Klicke ich RunScan an, scannt das Programm und fordert mich dann am Ende auf, eine OTL.txt anzulegen, da er sie selbst nicht finden kann.
Bitte um Hilfe, da ich wirklich nicht mehr weiterkomme.
Danke

markusg · 14.01.2013, 16:37

hi
alles aufklappen bei browse folder, da müsste es nen ordner computer geben, alles dort aufklappen, ordner windows suchen, drauf klicken, und der Scan startet

zecke69 · 16.01.2013, 21:46

Hallo und danke für die Info, leider habe ich da keinen Erfolg.
Ich habe als Laufwerke B:Ramdisk (da finde ich überhaupt nichts) und X:ReatogoPE. Unter X gibt es dann u.a. winsxs/x86microsoftwindows/..
Aber dann bekomme ich nur die Meldung "Target is not windows2000 or later".

Beim Hochfahren von Reatogo habe ich übrigens folgende Korruptmeldungen:
nvrd325.sy_
siside.sys
ftdisk.sys
nvrais.sy_

Gibt es ansonsten nicht doch noch die Möglichkeit, Windows+R Taste und notepad das zu bereinigen? Was spricht dagegen?

Mit der ultimativen Hoffnung auf Hilfe.

markusg · 17.01.2013, 19:54

wenn du unter otl auf computer klickst, hast du nur 2 laufwerke? du musst bei computer alles aufklappen

zecke69 · 19.01.2013, 12:11

(My) Computer ist praktisch der Überordner, darunter dann wie beschrieben die beiden Unterordner X und C. Darauf finde ich - trotz allen Aufklappens - aber leider kein Ordner Windows. Muss der denn unter C oder X zu finden sein?

markusg · 19.01.2013, 20:22

unter c: meist, könnte auch wind oder ähnlich heißen.

zecke69 · 22.01.2013, 07:48

Hallo,

ich kann da leider nichts finden. Gibt es einen anderen Weg, den ordner zu finden?
Andere Methode .......???????

Grüße

markusg · 22.01.2013, 14:55

hi
dann sichere deine Daten, über die solltest du ja mit otl cd drann kommen und wir machen das System neu.
nicht sichern darfst du exe dateien, programme bzw komplette instalationen.
sichere nur bilder, dokumente, musik
nutzt du ne Windows cd, recovery cd, oder Recovery partition, wenns ein fertig PC ist, hersteller und Gerätetypen posten.

zecke69 · 22.01.2013, 15:47

Aaaaaaaaaaaaaaaahh,

ich kenn mich doch mit dem Krempel viel zu wenig aus. Ich kann die Fragen nicht einmal beantworten, geschweige denn die Schritte umsetzen. Und wie bekomme ich dann alle meine Exe-Dateien und Programme wieder?

Warum denn nicht das andere Verfahren?????????? (siehe "schrauber")

11.01.2013, 19:03	#6
markusg /// Malware-holic	weißer Bildschirm dann hättest du ein backup anlegen müssen, wenn man den Rechner für Büro arbeiten nutzt. Da stellt sich mir eine andere Frage, ist das ein Firmen gerät, wenn ja, habt ihr ne IT abteilung? Kontest du die CD inzwischen brennen? __________________ --> weißer Bildschirm

19.01.2013, 20:22	#12
markusg /// Malware-holic	weißer Bildschirm unter c: meist, könnte auch wind oder ähnlich heißen. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

weißer Bildschirm

Log-Analyse und Auswertung: weißer Bildschirm