GUV Trojaner - kein abgesichter Modus möglich

ryder · 14.07.2013, 14:06

Das könnte interessant werden, sieht nach einer neuen Variante aus.

Batch-Datei im Reparaturmodus ausführen

Batch-Datei erzeugen
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
set log=%0\..\look.txt
echo ---start--- > %log%

reg Load HKLM\TempSys1\ "c:\Windows\System32\config\system"
reg Load HKLM\TempSoft1\ "c:\Windows\System32\config\software"
reg Load HKLM\TempSys2\ "c:\Windows\System32\config\system"
reg Load HKLM\TempSoft2\ "c:\Windows\System32\config\software"

reg query HKLM\TempSoft1\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
reg query HKLM\TempHive1\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempHive1\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempSoft2\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
reg query HKLM\TempHive2\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempHive2\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
reg unload HKLM\TempSys1\
reg unload HKLM\TempSoft1\
reg unload HKLM\TempSys2\
reg unload HKLM\TempSoft2\


echo ---end--- >> %log%
         
Wähle Datei --> Speichern unter

Dateiname: look.bat

Dateityp: Wähle Alle Dateien (*.*)

Speichere die Datei auf deinem USB-Stick aber nicht in einem Unterordner.
Neustart
Boote deinen infizierten Rechner und schliesse deinen präparierten USB-Stick an, drücke dabei F8 und starte in den Reparaturmodus.

Laufwerksbuchstaben finden
Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).

Batch ausführen
Wenn du deinen USB-Stick gefunden hast, dann gib ein look.bat (Enter) und warte evtl. einige Zeit bis der Befehl abgearbeitet wird.

Ergebnis posten
Es wird eine look.txt auf deinem Stick erzeugt, poste mir bitte diese Datei (CODE-Tags mit #-Symbol).

pizzaman1 · 14.07.2013, 14:18

"Das System kann die angebene Datei nicht finden."
falsch gespeichert?

ryder · 14.07.2013, 14:19

Kann schon sein. In der Anleitung habe ich eigentlich alles Nötige geschrieben. Mit dem Befehl "dir" kannst du schauen, ob die Datei wirklich so auf dem Stick ist.

pizzaman1 · 14.07.2013, 14:21

datei ist auf dem stick. wird unter "look.bat" angezeigt. wenn ich allerdings nach eingabe ":I" "look.bat" eingebe, erscheint auch "Falscher Parameter" bzw. "Der Wert wurde nicht gefunden"

außerdem noch '"Ungültige Syntax"

ryder · 14.07.2013, 14:26

Du meinst hoffentlich "I:" ?

Erscheint das sofort? oder erst nach einer Weile?
Wurde dennoch eine look.txt angelegt?

pizzaman1 · 14.07.2013, 14:27

ja meine ich. nein, erscheint sofort. es wird eine look.txt angelegt, da steht allerdings nur "End" drin

ryder · 14.07.2013, 14:33

Hm gib mal bitte ein:

Zitat:

bcdedit | find "osdevice"

und schreibe mir was das System ausgibt.

pizzaman1 · 14.07.2013, 14:40

ich bin mir fast sicher, dass ich das falsch gemacht habe

also wenn ich bcdedit eingebe, erscheint "windows-startladeprogramm", unter osdevice steht dann "partition=E:"
beim befehl find "osdevice" auch in kombi mit bcdedit erscheint nichts

ryder · 14.07.2013, 14:43

Dann ändern wir das mal folgendermassen:

Code:

ATTFilter

@echo off
set log=%0\..\look.txt
echo ---start--- > %log%

reg Load HKLM\TempSys1\ "d:\Windows\System32\config\system"
reg Load HKLM\TempSoft1\ "d:\Windows\System32\config\software"
reg Load HKLM\TempSys2\ "e:\Windows\System32\config\system"
reg Load HKLM\TempSoft2\ "e:\Windows\System32\config\software"

reg query HKLM\TempSoft1\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
reg query HKLM\TempHive1\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempHive1\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempSoft2\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
reg query HKLM\TempHive2\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempHive2\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
reg unload HKLM\TempSys1\
reg unload HKLM\TempSoft1\
reg unload HKLM\TempSys2\
reg unload HKLM\TempSoft2\


echo ---end--- >> %log%

pizzaman1 · 14.07.2013, 14:44

okay, und das jetzt wieder mit frst fixen oder was soll ich mit dem text machen?

ryder · 14.07.2013, 14:48

Das ist eine neue Batchdatei ... probiere es mit dieser.

pizzaman1 · 14.07.2013, 14:51

system kann die datei immer noch nicht finden. text-datei immer nur "end", allerdings lädt es jetzt länger und am ende steht "der vorgang wurde erfolgreich beendet"

ryder · 14.07.2013, 14:55

Ich hab das so echt schon lange nimmer gemacht

Beim dritten Mal klappt ja immer alles:

Code:

ATTFilter

@echo off
set log=%0\..\look.txt
echo ---start--- > %log%

reg Load HKLM\TempSys1\ "d:\Windows\System32\config\system"
reg Load HKLM\TempSoft1\ "d:\Windows\System32\config\software"
reg Load HKLM\TempSys2\ "e:\Windows\System32\config\system"
reg Load HKLM\TempSoft2\ "e:\Windows\System32\config\software"

reg query HKLM\TempSoft1\Microsoft\Windows NT\CurrentVersion\Winlogon\ >>  %log%
reg query HKLM\TempHive1\ControlSet001\Control\SafeBoot  /v AlternateShell  >>  %log%
reg query HKLM\TempHive1\ControlSet002\Control\SafeBoot  /v AlternateShell  >>  %log%
reg query HKLM\TempSoft2\Microsoft\Windows NT\CurrentVersion\Winlogon\ >>  %log%
reg query HKLM\TempHive2\ControlSet001\Control\SafeBoot  /v AlternateShell  >>  %log%
reg query HKLM\TempHive2\ControlSet002\Control\SafeBoot  /v AlternateShell  >>  %log%
reg unload HKLM\TempSys1\
reg unload HKLM\TempSoft1\
reg unload HKLM\TempSys2\
reg unload HKLM\TempSoft2\


echo ---end--- >> %log%

pizzaman1 · 14.07.2013, 14:59

okay, leider muss ich jetzt los, heute abend werde ich weiter machen. DANKE dir für deine super hilfe

und das sonntags

eben nochmal versucht, läuft wieder (hoffe ich). tausend dank! hier die adw-datei:

Code:

ATTFilter

# AdwCleaner v2.305 - Datei am 14/07/2013 um 16:28:05 erstellt
# Aktualisiert am 11/07/2013 von Xplode
# Betriebssystem : Windows 7 Starter Service Pack 1 (32 bits)
# Benutzer : Thorben - THORBEN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Thorben\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\Public\Desktop\eBay.lnk
Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\Users\Thorben\AppData\Local\PackageAware

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Ask.com.tmp
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v [Version kann nicht ermittelt werden]

Datei : C:\Users\Thorben\AppData\Roaming\Mozilla\Firefox\Profiles\9itt6y41.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [2485 octets] - [14/07/2013 16:28:05]

########## EOF - C:\AdwCleaner[S1].txt - [2545 octets] ##########

schlechte nachricht. nachdem combofix durchgelaufen ist, erscheint auf dem desktop wieder gvu. allerdings komme ich noch ins startmenü.

ryder · 14.07.2013, 18:51

Was ist das denn jetzt? Du hast doch jetzt was komplett anderes gemacht?

14.07.2013, 14:19	#18
ryder /// TB-Ausbilder	GUV Trojaner - kein abgesichter Modus möglich Kann schon sein. In der Anleitung habe ich eigentlich alles Nötige geschrieben. Mit dem Befehl "dir" kannst du schauen, ob die Datei wirklich so auf dem Stick ist. __________________ __________________

14.07.2013, 14:26	#20
ryder /// TB-Ausbilder	GUV Trojaner - kein abgesichter Modus möglich Du meinst hoffentlich "I:" ? Erscheint das sofort? oder erst nach einer Weile? Wurde dennoch eine look.txt angelegt? __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

14.07.2013, 14:48	#26
ryder /// TB-Ausbilder	GUV Trojaner - kein abgesichter Modus möglich Das ist eine neue Batchdatei ... probiere es mit dieser. __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

14.07.2013, 18:51	#30
ryder /// TB-Ausbilder	GUV Trojaner - kein abgesichter Modus möglich Was ist das denn jetzt? Du hast doch jetzt was komplett anderes gemacht? __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

GUV Trojaner - kein abgesichter Modus möglich

Plagegeister aller Art und deren Bekämpfung: GUV Trojaner - kein abgesichter Modus möglich