Hallo zusammen,

hab auch den Trojaner erwischt.
Hab die Anweisungen für OTLPE befolgt. (hab es nur für einen user gemacht)

Im Anhang ist die txt datei.
fehlt noch eine weitere datei?

vielen dank schon mal für die hilfe!

grüsse,
kuemme

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\Programme\Opera\0.6804201383294265.exe) - D:\Programme\Opera\0.6804201383294265.exe (raqp)
O4 - HKU\die_Mändy_ON_D..\RunOnce: [nK07602BiOiK07602] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nK07602BiOiK07602\nK07602BiOiK07602.exe ()

:Files
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nK07602BiOiK07602
D:\Programme\Opera\0.6804201383294265.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Hey Markus,

danke für deine schnelle antwort.

wär zu einfach gewesen, wenns funktioniert hätte

ich hab die fix.txt geladen, aber danach hats den inhalt von otlpe "eingefroren".
ich konnt nicht mehr auf "fix" klicken. fenster rumschieben ging noch.

naja, ich in meinem (über)eifer hab die gefundenen fehler von hand gelöscht.

windows von HDD neu gestartet - desktop ohne startmenü + icons.
immerhin ohne BKApopUP.
explorer wird laut taskmngr nicht gestartet. (fenster lässt sich mit /run/explorer.exe öffnen)

irgendwelche ideen, was ich machen kann?

grüsse,

kuemme

warum hast dus nicht einfach erst mal richtig gelesen, es stand dort, den fix manuell eingeben falls es probleme gibt, mach das bitte.

sorry, nochmal. bin etwas im stress.

habs von hand eingefügt, danach: neustart.
pc hats nich gemacht.
von hand neugestartet.

leider immer noch kein desktop zu sehen.

gibts vielleicht irgend ne andere möglich den explorer wieder herzustellen?

und entschuldige bitte nochmal wegen meinem voreiligen handeln!

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

hi markus,

habs hinbekommen.
mit abgesichertem starten mit eingabeaufforderung.
temp ordner gelöscht. und in HKLM und HKCU sichergestellt, dass explorer.exe anstatt dem trojaner ausgeführt wird.

jetz läufts wieder.

danke nochmal für deine hilfe

wieso hast du den temp ordner gelöscht? den braucht das system.
poste das otl log bitte, ich muss was nachprüfen.
wenn du doch eh machen wolltest was du willst, warum hast du dann hier überhaupt nach hilfe angefragt?