Habe den BKA- Virus. schaffe es nicht die cd mit OTLPE zu booten. es öffnet sich reatogo x pe
 

Guten Tag,

ich habe gestern den BKA- Virus auf meine Laptop (IBM ThinkPad, Lenovo T60) bekommen.
Habe mir OTLPE gedownloaded und auf CD gebrannt.
Wollte darauf diese booten. Es erschien allerdings kein Hinweisdarauf, dass ich F6 oder DEL drücken kann. Es erschien lediglich der Hinweis, dass ich Reatogo X PE starten könne. Nachdem ich dies, mit Hilfe einer auf meinem Laptop vorhandenen Tast namems "ThinkVintage", getan hatte öffnete sich dieses Programm auch.
Auch nach Lesen mehrer Artikel über dieses programm habe ich ehrlich gesagt nicht verstanden was dieses kann.
Ich wollte daher den Laptop erneut starten um nochmals nach Hinweisen zum booten zu suchen. Wenn ich nun aber den Laptop starte öffnet sich jedes mal Reatogo X PE.

ich würde mich freuen wenn mir jemand sagt wie ich die CD jetzt booten kann und wie ich weiter vorgehen soll.

MfG

Niclas

Boote von der Reatogo (OTLPE-CD)

Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Danke schonmal.
Ich hab jetzt also den Scan durchgeführt im Anhang befindet sich die OTL.txt datei.
Eine Datei namen Extra.txt wurde allerdings nicht erstellt.
muss ich irgendwelche einstellungen ändern damit diese erscheint oder was soll ich am besten tun?

Mfg

Niclas

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Ok werde ich machen, hab nur noch eine (vllt. dämliche frage):
Wie kann ich diesen Text kopieren und bei Custom Scans/Fixes einfügen? Ich habe auf dem anderen rechner kein Schreibprogramm, mit welches den Text darstellen könnte.

oder muss ich den Abtippen?

mfg

So ich habe es geschafft die Fix-Datei zu erstellen. Sie ist im Anhang zu finden.

Jetzt muss ich den Laptop nur noch neu starten?

Wo finde ich den Quarantäne- Ordner von OTL?
ist der bei windows oder bei reatogo?

VIELEN DANK!

niclas

Windows läuft wieder! Vielen vielen Dank!!!
unglaublich das so funktioniert hat!!!
hätte ich NIEMALS hinbekommen.

Habe die Datei dort hochgeladen.
Wie kann ich mich denn in Zukunft schützen?

Nochmal vielen Dank

niclas

Wir sind noch nicht durch!! Die Frage kommt zum Schluss, da ich jetzt nicht von der Bereinigung ablenken will.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

ok also da scheint noch nicht alles weg zu sein...

hier also die beiden logs...
vielen dank schon im voraus...

mfg
niclas

Du hast erneut das OTLPE-Log gepostet, ich wollte den CustomScan aus dem von Festplatte installierten Windows sehen.

alos ich habe diesen quick scan jetzt nochmal durchgeführt, während in dem feld darunter das stand was du mir geschickt hattest.
muss ich da sonst noch irgendwas umstellen oder ist das jetzt die richtige otl.txt datei?

lg

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

ich habe den quick scan jetzt nochmal durchgeführt, während der text den du mir geschickt hattest in dem feld darunter stand.
ist das jetzt die richtige datei?

lg

sry ich dachte eben der hätte meine nachricht nicht gepostet....

Schon ok :D
Mach einfach den von mir genannten Fix

so habe den jetzt durchgeführt. hoffe dann das dies die richtige datei ist.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

ich hatte den scan durchgeführt. In dem Report stand allerdings nicht drin.
der laptopist dann aber ausgegange, nachdem er angezeigt hatte dass ein threat oder ähnliches unerwartet geschlossen wurde. als ich wieder anmachte sagte er er könne über keine hardware starten. (das ist alles nur sinngemäß wiedergegeben).
jetzt ist er wieder an.
weiß ja nicht ob so etwas zu bedeuten hat, wollte es dir daher lieber mitteilen

Auf meine eigenen dateien kann ich soweit ich das beurteilen kann zugreifen.

Probier den bitte nochmal aus.

habe es nochmal probiert.
der laptop hat dieselbe fehlermeldung angezeigt ( prozess oder threat unerwartet geschlossen, daher wird der pc zum schutz runtergefahren)

hab ihn dann wieder angemacht, was diesmal problemlos ging.

sollen bei diesem scan eig auch alle programme einschließlich avira etc., geschlossen sein?

Ja, ruhig vorher alles schließen.

ja hatte ich getan....

Nagut, wenn es nicht will machst du dann mit CF weiter:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ich habe jetzt diesen log erstellt.
beim ersten versuch ist der laptop wieder aus gegangen nachdem er diese fehlermeldung angeeigt hatte....
beim zweiten mal hat es dann geklappt.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

ich habe leider ein doofes problem dabei: ich weiß mein passwort nicht mehr.
ich hab mit diesem laptop die möglichkeit anstatt meines passwortes meinen fingerabdruck einzugeben, daher hab ich das passwort einfach vergessen.

ich kann also nicht als administrator das programm öffnen.

gibt es eine mögichkeit ein neues passwort zu erdstellen ohne das alte zu wissen?

lg

Wenn du noch Zugang zum vordefinierten "Administrator" hast - meistens wird da ein leeres Kennwort definiert. Versuch das mal mit dem Konto "Administrator" zu starten. Oder versuch dich mit diesem schon bei Windows einzuloggen.

ne das geht alles nicht. er will immer ein kennwort von mir haben.
habe auch schon probiert ein neues passwort zu erstellen indem ich windows im abgesicherten modus starte.

Dann musst du hiermit ran => Offline NT Password & Registry Editor
Genaue Anleitung darf/will ich aber nicht posten, weil man damit Passwörter zurücksetzt und sowas missbraucht werden kann.

Oder du sicherst jetzt einfach alle noch ungesicherten Daten über Ubuntu und machst eine saubere Neuinstallation von Windows.