Guten Morgen, bitte um Eure Hilfe. Betriebssystem XP 32 bit. Seit gestern Sperrbildschirm der BKA/GVU usw. Leider waren alle Versuche im abgesicherten Modus erfolglos.
Habe die Schritte scan mit OTLPE unternommen. Die OTL.txt ist im Anhang dabei. Kann ich bei Aufforderung aber auch gerne posten.

Vielen Dank.

Mein Name ist Sandra, ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Ich bedanke mich für deine Geduld

Hallo brombello1

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Posten in Code Tags
Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke.
Dazu:

• Klicke über dem Antwortfenster auf die Raute #, dann steht dort in eckigen Klammern [code][/code]
• Zwischen den beiden code-Bausteinen fügst Du dann deine Logfiles ein. Also [CODE] Logfile [/CODE]
• Wenn die Logs zu lang sein sollten, dann teile sie bitte auf und poste sie dann hier in Deinem Thread, notfalls in mehreren Antworten.

Startet der Rechner nach diesem Fix wieder normal?
Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\hhboy0.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Florecita\Startmenü\Programme\Autostart\hhboy0.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Ronny\Startmenü\Programme\Autostart\hhboy0.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
:files
C:\DOKUME~1\ALLUSE~1\ANWEND~1\2992199F9A\0yobhh.cpp 
:Commands
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Achtung, dies ist ein Entsperrungsversuch, auch wenn der Rechner normal startet, heißt das nicht, dass der nicht weiterhin infiziert sein könnte!
Bitte arbeite weiter mit.

Hallo Sandra,

vielen Dank für die superschnelle Reaktion.
Wo genau soll ich den Inhalt der Codebox in das Textfeld einfügen? Soll dieser dann nur eingesetzt werden oder die O4 Startup Zeilen ersetzen?

Vielen Dank.

brombello1

Hallo brombello1,

du machst prinzipiell das gleiche, was du vorher getan hast, um mir das Log zu posten, drückst aber nicht auf Scan, sondern fügst diesen Text

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\hhboy0.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Florecita\Startmenü\Programme\Autostart\hhboy0.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Ronny\Startmenü\Programme\Autostart\hhboy0.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
:files
C:\DOKUME~1\ALLUSE~1\ANWEND~1\2992199F9A\0yobhh.cpp 
:Commands
[emptytemp]
         

in die Codebox von OTL ein, das ist die ganz unten, wo oben drüber blau unterlegt Benutzerdefinierte Scans/Fixes steht

Hier nochmal eine detailiiertere Anleitung

Fixen mit OTLpe
Bitte vor dem Fix etwaige Sternchen wieder durch Deinen Benutzernamen austauschen.

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.
  
  
• Kopiere folgendes Skript in das Textfeld unterhalb von benutzerdefinierte Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein, dann
  kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von benutzerdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\hhboy0.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Florecita\Startmenü\Programme\Autostart\hhboy0.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Ronny\Startmenü\Programme\Autostart\hhboy0.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
:files
C:\DOKUME~1\ALLUSE~1\ANWEND~1\2992199F9A\0yobhh.cpp 
:Commands
[emptytemp]
         

• Klicke auf den Fix Button.
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
• Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste nun, ob du den Computer wieder normal starten kannst und berichte mir hier

Hallo Sandra,

vielen Dank für Deine Hilfe, hatte das Feld übersehen.
Rechner startet jetzt wieder ohne Sperrbildschirm.

Anbei Textdokument nach Neustart:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\hhboy0.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
C:\Dokumente und Einstellungen\Florecita\Startmenü\Programme\Autostart\hhboy0.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
C:\Dokumente und Einstellungen\Ronny\Startmenü\Programme\Autostart\hhboy0.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
========== FILES ==========
C:\DOKUME~1\ALLUSE~1\ANWEND~1\2992199F9A\0yobhh.cpp moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32969 bytes
->Flash cache emptied: 41 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32969 bytes
->Flash cache emptied: 41 bytes
 
User: Florecita
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 2762293 bytes
->FireFox cache emptied: 161376287 bytes
->Google Chrome cache emptied: 6732818 bytes
->Flash cache emptied: 2289 bytes
 
User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 82412 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49554 bytes
 
User: Ronny
->Temp folder emptied: 2231489 bytes
->Temporary Internet Files folder emptied: 186573299 bytes
->Java cache emptied: 51597403 bytes
->FireFox cache emptied: 318986688 bytes
->Google Chrome cache emptied: 133959007 bytes
->Flash cache emptied: 1856598 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 413681 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23441120 bytes
 
Total Files Cleaned = 849.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 04222014_223630

Files\Folders moved on Reboot...
File\Folder X:\I386\SYSTEM32\RUNDLL32.EXE not found!

Registry entries deleted on Reboot...
         

Vielen, vielen Dank für Deine Hilfe
und

Grüße brombello1

Hallo brombello1,

danke

Ist es korrekt, dass du soviele unterschiedliche Netzwerke in deiner Konfiguration hast?

Zitat:

Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Tcpip\Parameters: [NameServer] 207.68.160.190 194.25.2.129 208.67.222.222 207.68.160.190 194.25.2.129 208.67.222.222
Tcpip\..\Interfaces\{1FC68364-42B0-4F08-A59A-E76329CD5009}: [NameServer]207.68.160.190 194.25.2.129 208.67.222.222 ,207.68.160.190 194.25.2.129 208.67.222.222
Tcpip\..\Interfaces\{290FCC9C-E000-428B-A947-572FA25E7922}: [NameServer]207.68.160.190 194.25.2.129 208.67.222.222 ,207.68.160.190 194.25.2.129 208.67.222.222

Schritt 1
Bitte deinstalliere folgende Programme:
FileParade Bundle
Java(TM) 6 Update 7
Search Protect

Dazu gehe auf
Start --> Systemsteuerung -- > Software --> Programm auswählen --> entfernen

Schritt 2

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

S2 winmgmt; C:\DOKUME~1\ALLUSE~1\ANWEND~1\2992199F9A\0yobhh.cpp [X]
hxxp://websearch.ask.com/redirect?client=ie&tb=NCH&o=15487&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=OX&apn_dtid=YYYYYYYYDE&apn_uid=5BB74E51-3FCE-4C73-AC3C-0AD4559234B8&apn_sauid=30BA770B-21C4-4D4D-B064-CEF7B1AE6584
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=NCH&o=15487&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=OX&apn_dtid=YYYYYYYYDE&apn_uid=5BB74E51-3FCE-4C73-AC3C-0AD4559234B8&apn_sauid=30BA770B-21C4-4D4D-B064-CEF7B1AE6584
FF SearchPlugin: C:\Dokumente und Einstellungen\Ronny\Anwendungsdaten\Mozilla\Firefox\Profiles\untjff36.default\searchplugins\askcom.xml
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 3

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Windows Vista und höher: mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language German aus.
• Klicke auf Armaturenbrett und auf Jetzt aktualisieren, um die Datenbank zu updaten.
• Klicke im Anschluss auf Suchlauf, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf jetzt starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Aktionen anwenden.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Suchlauf-Protokoll aus und klicke auf Ansicht. Wähle Exportieren auf Textdatei (.txt) und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Sandra,

ein Netzwerk wurde durch mich nicht wissentlich eingerichtet.

Schritt 1 habe ich ausgeführt
nach Schritt 2 wurde ein Neustart gefordert und von mir ausgeführt.

Leider bootet der Rechner jetzt nicht mehr, es erscheint NTLDR is missing Press Ctrl+Alt+Del to restart - nach der Ausführung lande ich wieder bei NTLDR...

Was ist falsch gelaufen?

Danke. Grüße

brombello1

Zitat:

Leider bootet der Rechner jetzt nicht mehr, es erscheint NTLDR is missing Press Ctrl+Alt+Del to restart - nach der Ausführung lande ich wieder bei NTLDR...

Was ist falsch gelaufen?

Das kann unterschiedliche Gründe haben, Hardwaredefekt, Dateien kaputt... schwierig so zu sagen.

Wir müssen als erstes schauen, ob deine Festplatte noch im BIOS erkannt wird und ob die Bootreihenfolge noch stimmt.

Weißt du, wie man bei deinem Rechner ins BIOS gelangt? Wenn dein PC hochfährt steht dort, noch bevor Windows überhaupt startet; Press (und hier dann die Taste) to run setup.
Meistens ist das die Entfernen-Taste (del) F2 oder F12.
Sobald du weißt, welche Taste das ist, starte den Rechner erneut und drücke dann sofort am besten mehrfach die Taste.

Wenn du im BIOS bist hast du verschiedene Auswahlmöglichkeiten.
Leider gibt es verschiedene BIOS-Systeme und alle haben eine andere Oberfläche. Bitte schau, um welches BIOS es sich bei dir handelt, damit ich dir besser helfen kann
Du findest diese Informationen wenn du ins BIOS gelangt bist ganz oben im Bildschirm.

Guten Moregn Sandra,

PhoenixBIOS V1.30

Grüße brombello1

Hallo Sandra,

im Bios wird die Festplatte erkannt. Reatogo startet auch, wenn ich von CD aus boote. Ich kann anschließend auf alle Laufwerke zugreifen.

Grüße

brombello1

Ok, das ist schon mal gut. Hast du eine XP-CD?

Hallo Sandra,

leider nur eine Recovery CD, die offensichtlich aber nicht als Boot CD funktioniert.

Grüße brombello1

Kannst du dir woanders her eine besorgen? Wir brauchen diese um von dort Dateien zu ersetzen, dazu müssen wir aber in den Reparaturmodus kommen. Wichtig ist, dass es dasselbe XP ist und auch das Servicepack das gleiche ist, was du auf deinem Rechner hast. Also ein 32bit XP mit ServicePack 3.

Hallo,

ich habe schon länger keine Antwort mehr von Dir erhalten. Benötigst Du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von Dir höre, gehe ich davon aus, dass sich das Thema erledigt hat wenn du weiter machen möchtest schicke mir bitte eine PN

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.