Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   'Windows has been shut down' beim Starten von (https://www.trojaner-board.de/106874-windows-has-been-shut-down-beim-starten.html)

Johannes93 25.12.2011 18:13
'Windows has been shut down' beim Starten von
 
Hallo,

der PC von meinem Bruder, ist wie von vielen anderen hier, wie ich gelesen habe, genauso mit dem Virus 'sbcvvhost_win86' infiziert.

Habe schon versucht, seinen PC mit OTLPENet.exe zu booten, damit ich auf den REATOGO-X-PE Desktop zugreifen kann.
Allerdings bekomme ich, nachdem die Installation zum Zugriff auf den Desktop zu 100% geladen hat und ich gesehen habe wie Windows hochgestartet wird (3-Klotze-Balken bewegt sich nach rechts), einen blue screen.

Hier die Fehlermeldung:
A problem has been detected and windows has been shut down to prevent damage to your computer.

If this is the first time you've seen this stop error screen, restart your computer. If this screen appears again, follow these steps:

Check for viruses on your computer. Remove any newly installed hard drives or hard drive controllers. Check your hard drive to make sure it is properly configured and terminated.
Run CHKDSK /F to check for hard drive corruption, and then restart your computer.
technical information:

*** STOP: 0x0000007B (0xF78DA528, 0xC0000034, 0x00000000, 0x00000000)


Nachdem ich das erste mal das gesehen habe, habe ich den PC mittels Power-knopf ausgeschaltet (hat auf nichts reagiert, auch strg+umschalt+esc funktionierte nicht) und den Boot nochmal versucht, kam allerdings exakt das selbe.
Kann ja aber weder Antiviren Programm durchlaufen lassen, weil ja der PC von der 'GEMA' angeblich (der Virus) gesperrt wurde, noch kann ich auf den PC sonst noch wie zugreifen, außer im abgesicherten Modus auf den explorer.

Wie kann ich dann auf den REATOGO-X-PE Desktop zugreifen, damit ich OTLpe auf dem PC starten kann?

Danke schon mal und frohe Weihnachten euch allen!
LG
Johannes

markusg 25.12.2011 18:18
hi
du kannst im abgesicherten modus arbeiten?
dann mach dort folgendes:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Johannes93 25.12.2011 18:31
Nein, im abgesicherten Modus kann ich leider auch nicht arbeiten.
Ich kann nur im abgesicherten Modus mit Eingabeaufforderungen auf den explorer zugreifen. Die Registry funktioniert da aber leider nicht.
Und OTL wollte ich ja installieren und auf dem Desktop speichern, ist aber kurz bevor der Desktop angezeigt werden sollte, der blue screen aufgetreten.

Damit ich das was du mir geschrieben hast, muss ich ja erstmal auf den Desktop zugreifen können, da erscheint aber wie schon oben beschrieben der blue screen.

Kann ich das Problem irgendwie beheben? :)
LG
Johannes

markusg 25.12.2011 18:41
hi,
folgendes auf nen usb stick kopieren:
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

stick in den infizierten pc, abges. modus mit eingabeaufforderung wählen.
eingeben:
d:\combofix.exe
enter
falls d: nicht das richtige laufwerk ist versuche e: f:
usw.
pc sollte nach cf wieder normal starten, dann log posten.

Johannes93 25.12.2011 19:04
Ok, habe jetzt den Stick im infizierten PC, allerdings kann ich Antivir jetzt nicht deaktivieren, da ich ja keinen Zugriff habe.
Soll ich jetzt mit combofix fortfahren?

markusg 25.12.2011 19:23
ja kannst du trotzdem

Johannes93 25.12.2011 19:58
Vielen Dank schon mal für deine Hilfe!! :)

markusg 25.12.2011 20:02
kommst du wieder in den normalen modus?

Johannes93 25.12.2011 20:08
Jep, jetzt schon.
Soll ich jetzt OTLPENet.exe starten und den log hier einfügen?

markusg 27.12.2011 16:18
nö otl brauchen wir nicht.

malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Johannes93 28.12.2011 13:01
ok hab jetzt 3 Dateien entfernt.
desktop hat sich nicht verändert - aber unter arbeitsplatz seh ich alle meine "desktop -icons"

markusg 28.12.2011 13:04
meinst du der hintergrund fehlt? dann rechtsklick auf desktop eigenschaften, bild suchen.
ansonsten rechtsklick, ansicht symbole einblenden.

Johannes93 28.12.2011 13:24
ok jetzt kann ich die icons auch sehen. Vielen Dank
Hab jetzt noch mal alles überprüft und mir ist nur noch eins aufgefallen.
Wenn ich den computer starte - startet er nicht wie üblich, sondern hat die ersten 3-4 minuten sowas stehen:
"

Intel UNDI, PXE-2.1 (build 082)
Copyright (C) 1997-2000 Intel Corporation

This Product is covered by one or more of the following patents:
US5, 307, 459, US5, 434, 872, US5, 732, 094, US6, 570,884, US6, 115 776 and US6, 327, 625

Realtek PCI Express Gigabit Ethernet Controller Series v2.26 (090219)

CLIENT MAC ADDR: 00 24 21 F5 DD 31 GUID: 00000000-0000-0000-0000002421F5DD31

DHCP... (hier läd er)"
dann kommt noch eine Zeile aber die schaltet sofort nach 1 Sek zum normalen starten um

markusg 28.12.2011 13:39
auf nem weisen hintergrund oder wie?
also wo normalerweise das hersteller logo kommt?

Johannes93 28.12.2011 13:43
ja wo normalerweise ein herstell logo kommt (bei mir ist es ein schwarzer hintergrund).
nach ein paar minuten schaltet es zu dem herstell logo um und startet normal weiter


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131