Trojaner-Board - grauer Bildschirm... "Es besteht noch keine Internetverbindung"... nichts mehr möglich...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - grauer Bildschirm... "Es besteht noch keine Internetverbindung"... nichts mehr möglich... (https://www.trojaner-board.de/108663-grauer-bildschirm-besteht-noch-keine-internetverbindung-nichts-mehr-moeglich.html)

grauer Bildschirm... "Es besteht noch keine Internetverbindung"... nichts mehr möglich...

Ich hab das gleiche Problem, wie einige andere hier auch. Mein PC zeigt mir nurnoch einen grauen Bildschirm und "Es besteht noch keine Internetverbindung".
Ich kann sonst nichts mehr machen außer den PC ausschalten.

Hab mir nach der Anleitung hier im Forum OTL runtergeladen und damit gebootet, da stand was von 2 Logfiles, aber an dem Ort, der da angegeben war konnte ich nur eins finden.
Das hab ich mal angehängt.

Ich würde mich freuen, wenn ihr mir hefen könntet,
Vielen vielen Danke und liebe Grüße

Hanna

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Das habe ich gerade ausprobiert, es hat aber leider nicht geholfen... der weiße Bildschirm ist immernoch da...
Gibt es auch noch andere Möglichkeiten?

Und danke, dass du so schnell geantwortet hast :)

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Okay, das hat funktioniert :)
Hier sind die beiden txt-Dokumente :)

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKU\Hanna_ON_C..\Run: [lZoxBNSHVhEHmPm] C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )

O4 - HKU\Hanna_ON_C..\RunOnce: [Shockwave Updater]  File not found

O7 - HKU\Hanna_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\Hanna_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found

O20 - HKLM Winlogon: Shell - (C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe) - C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )

O20 - HKU\Hanna_ON_C Winlogon: Shell - (C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe) - C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006/09/18 16:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O33 - MountPoints2\{43a037c6-f675-11df-9e2c-001d60193405}\Shell\AutoRun\command - "" = F:\InstallTomTomHOME.exe

O33 - MountPoints2\{5eac7e61-837b-11de-8a69-001d60193405}\Shell - "" = AutoRun

O33 - MountPoints2\{5eac7e61-837b-11de-8a69-001d60193405}\Shell\AutoRun\command - "" = K:\LaunchU3.exe -a

O33 - MountPoints2\{8cf42460-fe15-11de-8d5b-001d60193405}\Shell - "" = AutoRun

O33 - MountPoints2\{8cf42460-fe15-11de-8d5b-001d60193405}\Shell\AutoRun\command - "" = J:\pushinst.exe

O33 - MountPoints2\F\Shell - "" = AutoRun

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\start.exe

:Files

C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe

C:\Users\Hanna\AppData\Roaming\dwlGina3.dll

:Commands

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Ohh super, der PC wurde jetzt wieder ganz normal gestartet :)
Vielen vielen Dank! :)

Ich lade jetzt einmal diese log Datei hoch und dann noch die ZIP-Datei.
Soll ich dann als nächstes noch etwas machen?
Also z.B. den OTL-Ordner löschen oder so?
Und kann ich sicher sein, dass jetzt alles vom PC verschwunden ist?

Und ist es normal, dass mein Desktop jetzt leer ist?
Also es ist kein einziges Symbol und auch keiner meiner Ordner mehr da... Ich kann nicht mal einen "Rechtsklick" auf dem Desktop machen.. Und kann ich die Ordner irgendwie wiederbekommen?

Vielen Dank!!! :D

Liebe Grüße
Hanna

[edit]
movedfiles.zip entfernt
Die Logs sollten nach Möglichkeit hier immer in CODE-Tags gepostet werden und nicht als Anhang!

Code:

========== OTL ==========

Registry value HKEY_USERS\Hanna_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\lZoxBNSHVhEHmPm deleted successfully.

C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe moved successfully.

Registry value HKEY_USERS\Hanna_ON_C\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Shockwave Updater deleted successfully.

Registry value HKEY_USERS\Hanna_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_USERS\Hanna_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA}\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe deleted successfully.

File C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe not found.

Registry value HKEY_USERS\Hanna_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe deleted successfully.

File C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe not found.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\autoexec.bat moved successfully.

File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{43a037c6-f675-11df-9e2c-001d60193405}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43a037c6-f675-11df-9e2c-001d60193405}\ not found.

File F:\InstallTomTomHOME.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5eac7e61-837b-11de-8a69-001d60193405}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5eac7e61-837b-11de-8a69-001d60193405}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5eac7e61-837b-11de-8a69-001d60193405}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5eac7e61-837b-11de-8a69-001d60193405}\ not found.

File K:\LaunchU3.exe -a not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8cf42460-fe15-11de-8d5b-001d60193405}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8cf42460-fe15-11de-8d5b-001d60193405}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8cf42460-fe15-11de-8d5b-001d60193405}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8cf42460-fe15-11de-8d5b-001d60193405}\ not found.

File J:\pushinst.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\ not found.

File F:\start.exe not found.

========== FILES ==========

File\Folder C:\Users\Hanna\AppData\Roaming\h4w5eu5zy.exe not found.

C:\Users\Hanna\AppData\Roaming\dwlGina3.dll moved successfully.

========== COMMANDS ==========

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 01292012_153501
 

Files\Folders moved on Reboot...

File\Folder X:\AUTORUN.INF not found!
 

Registry entries deleted on Reboot...

//cosinus
[/edit]

Die movedFiles sollten doch in den Upchannel! Stand doch eindeutig da, dass es dort hin soll und nicht direkt in den Beitrag angehangen werden soll! Willst du dass andere sich deine movedFiles laden und sich infizieren?!

Bitte lad es in den Upchannel hoch!

Oh, das tut mir leid.
Ich hatte da was falsch verstanden aber jetzt ist es dort hochgeladen :)

Die Dokumente usw., die auf meinen Desktop gehören sind übrigens unter Laufwerk C: Desktop noch da, allerdings wird auf dem Desktop trotzdem nichts angezeigt und man kann auch nichts weiter machen... Weißt du, wie ich das reparieren kann? Und ist der PC eigentlich jetzt Trojaner-frei?

Vielen Dank und liebe Grüße

Hanna

Du bist schon wieder bei beim übernächsten Schritt! Erstmal müssen wir sehen, ob wir deinen System noch benutzbar machen können!
Also beantworte bitte ob der normale Modus jetzt halbewegs wieder funktioniert. Wenn ja, machst du bitte mit Malwarebytes und ESET weiter; geht das nicht, machst du das ganze im abgesicherten Modus mit Netzwerk.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Ohjee, da war ich ja wirklich schon zu weit...

Bevor ich das alles durchführe habe ich noch eine Frage:
Ist es ungefährlich, wenn ich mir die Dateien auf einem anderen PC speicher? Oder hängt der Trojaner auch in den Fotos/Dokumenten etc.?

Und zweitens: wäre das Problem auch behoben, wenn ich danach den PC formatiere und Vista neu aufspiele? (Denn mein PC ist schon seit einiger Zeit ziemlich langsam und ich habe schon überlegt, ob ich Vista einfach mal neu aufspiele)
Falls nicht, dann werde ich mich gleich mal daran machen, all deine Schritte zu befolgen :)

Vielen Dank für deine ausführlichen Antworten,
liebe Grüße

Hanna

Achjaa und generell funktioniert das System im Moment...
Also falls das neue Aufspielen von Vista nicht hilft dann kann ich deine Anweisungen befolgen...