Windows 7 Pro gesperrt - 100 Euro- abgesicherter Modus funktioniert nicht
 

Hallo,

Ich habe hier schon quergelesen und das gleiche Problem wie viele User hier. Plötzlich Bildschirm mit Aufforderung, dass ich eine nicht registrierte Windows Kopie hätte, die mit 100 Euro und Paysafe Bezahlung zu aktivieren wäre.
Habe versucht, im abgesicherten Modus (alle Varianten, mit/ ohne Netzwerktreiber) zu starten, ohne Erfolg. Man sieht kurzzeitig den typischen "abgesicherten Modus" Bildschirm mit allen Icons, dann aber schwarzer Bildschirm mit Versionsangabe Windows oben mittig und "abgesicherter Modus" Schriftzug in allen vier Bildschirmecken. Wenn man Keyboardcommands (z.B. Windows+E) ausführt, sieht man kurzfristig für einen Sekundenbruchteil die Effekte (in diesem Falle Explorer Fenster), springt aber sofort wieder in den oben beschriebenen schwarzen Bildschirm.
System: Windows 7 Pro mit SP 1, 64 bit
Was tun?

Schon mal vielen Dank für die Hilfe!!

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Sieht gar nicht gut aus!
Alles wie beschrieben durchgeführt, System versucht auch das Reatogo Desktop zu laden, dann bekomme ich aber einen Bluescreen:
"A problem has been detected and windows has been shut down to prevent damage to your computer.."
Check for viruses on your computer. Remove any newly installed hard drives or hard drive controllers. Check your hard drive to make sure it is properly confirgured and terminated. Run chckdsk/F to check for hard drive corruption, and then restart your computer"
Technical information: ***STOP: 0x0000007B (0xF78DA528, 0xC0000034,0x00000000,0x00000000)

???

gehe mal ins bios deines betriebssystem und prüfe ob ide oder Ahci eingestellt ist, endere es dann auf die jeweils gegenteilige einstellung und probiere es noch mal.

Das Desktop läuft jetzt nach Umstellung auf IDE, sehr gut!
Leider bekomme ich mit dem Desktop weder Internetverbindung (WLAN oder LAN) noch einen USB Port zum funktionieren um den Custom Scan bzw. danach die Logfiles zu übertragen. Der USB Stick wird erkannt, kann aber nicht genutzt werden (gelbes Fragezeichen), wahrscheinlich, weil ein entsprechender Treiber fehlt. Was tun ?
Schwieriger Fall, sorry!

stick raus, neustarten, dann wieder die otl cd starten und stick dann rein stecken, sollte dann gehen.

Allright, hier mal das OTL Scan Logfile:

hi


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.





• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hat leider nicht richtig geklappt. Rechner hat nach Durchlauf des Fixes zwar angekuendigt, neu zu starten, es dann aber nicht gemacht, dementsprechend gab es auch kein Textfile. Habe dann versucht, manuell im Normalmodus zu starten, das endet leider mit Bluescreen und endlos Boot-Schleife. Die MOVED FILES habe ich hochgeladen.
1000 Dank fuer die Hilfe!
P.S: Lasse auf einem anderen Rechner gerade McAfee Vollscan laufen, hat jetzt bisher Generic Exploit!1up sowie diverse Generic.dx!bct4 entdeckt. War die ganze Zeit aktiviert und auch atuell (anderer Rechner als der mit dem Problem..).

hi,
eröffne für den andern pc nen neues thema.
wir sind mit dem nicht fertig, bitte surfe damit nur auf von mir genannten seiten.
danke für den upload

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Danke fuer die Hilfe. Ich hoffe ich mache das alles richtig.
Nur noch mal zur Klarstellung: Ich kann immer noch nicht im Normalmodus starten, fahre den Rechner immer noch ueber das Reatogo-Desktop und habe auch keine Internetverbindung damit (klappt nicht), sondern kopiere mir bisher immer alle Files mit einem USB Stick hin und her..Das mache ich jetzt auch mit Combofix..
Ist das OK ?
Sorry, aber ich bin ganz schön am Verzweifeln.. Forschungsergebnisse etc...

Leider funktioniert Combofix bei mir nicht vom Reatogo Desktop aus. Es möchte eine Datei zum Schreiben öffnen (x:\32788R22FWJFW\023.dat), die es aber irgendwie nicht öffnen kann. Weder "Abort" noch "Retry" noch "ignore" bringen mich da weiter. Wahrscheinlich sollte man es im Normalmodus ausführen? Der funktioniert bei mir ja leider noch nicht..

+++ UPDATE +++
Habe jetzt im Bios die Festplatte wieder umgestellt (hatte ich vorher für Reatogo Desktop von AHCI auf IDE umgestellt).
Jetzt kann ich Windows im abgesicherten Modus fahren, habe auch Combofix so ausgeführt, hier das Log File. 1000 Dank schon mal für die Hilfe!

bekommst du immernoch die fehlermeldung?
wurde combofix von dem betroffenen konto ausgeführt?

Hi,

Ich habe Combofix jetzt und vorher als Administrator im abgesicherten Modus ausgeführt 8der Normalmodus geht ja noch nicht).
Hier noch mal das aktuelle Combofix Logfile von einem Durchlauf von vor 1 Minute