Trojaner-Board - "please wait while the connection is being established" @Windows XP

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "please wait while the connection is being established" @Windows XP (https://www.trojaner-board.de/112936-please-wait-while-the-connection-is-being-established-windows-xp.html)

"please wait while the connection is being established" @Windows XP

Hallo, habe nun schon einiges über den im Betreff genannten Plagegesit gelesen (Weißer Bildschirm / Text "please wait while the connection is being established"), habe mir auch schon OTL runtergeladen, ABER wie kann ich auf der Kiste OTL starten? Auch im abgesicherten Modus kann ich meines Erachtens nix machen wenn der PC hochgefahren ist.

Viele Grüße
bigurbi

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hi,

danke schonmal für deine Hilfe. Möchte an dieser Stelle noch darauf hinweisen, dass es sich nicht um meinen PC handelt, daher hat es auch etwas länger gedauert ;)

Anbei die beiden Dateien.

Viele Grüße
Markus

Zitat:

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe

Kein Wunder wenn dein Kumpel da ständig als Admin drin ist :balla:
Solltest du wenn wir duch sind mal umstellen, man surft nicht mit Adminrechten

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKLM..\Run: [ZPseiK15zRSy1wG] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe (lyqU)

O4 - HKU\Administrator_ON_C..\Run: [Sony Ericsson PC Companion]  File not found

O4 - HKU\Administrator_ON_C..\Run: [ZPseiK15zRSy1wG] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe (lyqU)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 128

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 128

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O7 - HKU\Gast_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 128

O7 - HKU\Gast_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1

O7 - HKU\Gast_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 128

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 128

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0

O9 - Extra Button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -  File not found

O9 - Extra 'Tools' menuitem : Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -  File not found

O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe (lyqU)

O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe (lyqU)

O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe (lyqU)

O20 - HKU\Administrator_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe (lyqU)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2010/01/07 23:43:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{0e89bbe2-5e5d-11df-82a4-0090f53e02a2}\Shell - "" = AutoRun

O33 - MountPoints2\{0e89bbe2-5e5d-11df-82a4-0090f53e02a2}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{0e89bbe2-5e5d-11df-82a4-0090f53e02a2}\Shell\AutoRun\command - "" = E:\pushinst.exe

O33 - MountPoints2\{d3b18ba4-db05-11e0-838f-0090f53e02a2}\Shell - "" = AutoRun

O33 - MountPoints2\{d3b18ba4-db05-11e0-838f-0090f53e02a2}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{d3b18ba4-db05-11e0-838f-0090f53e02a2}\Shell\AutoRun\command - "" = E:\Startme.exe

[2012/03/19 05:01:03 | 000,294,912 | ---- | C] (lyqU) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hw56suzj11.exe

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Danke du bist der Beste :) Windows startet wieder relativ normal, den Rest muss ich mir noch anschauen. Die _OTL.zip habe ich wie beschrieben hochgeladen.

Hat das "Tier" einen Namen, das den PC lahmgelegt hatte?

Grüße und nochmal ein großes DAAAANKEEE
Markus

*edit* Ups, Logfile vergessen...

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Ist das eine reine Vorsichtsmaßnahme oder kannst du aus den Logs erkennen, dass weitere Schadsoftware auf dem PC ist? Wie gesagt, es ist nicht meiner, und ich bin nicht scharf drauf mich weitere 5 Stunden mit der lahmen Kiste zu beschäftigen wenn es nicht unbedingt sein muss...

Viele Grüße
Markus

Das ist ein Standard-Vorgehen damit die gröbsten Schädling schon rausgesiebt werden!
Wenn dir alles zu lange dauert darfst du eben keine Bereinigung machen sondern eine Neuinstallation von Windows

Ich weiß... Im Wesentlichen ging es darum, dass das System wieder läuft, damit er (erstmalig!!! :headbang:) eine Datensicherung machen kann. Was er danach damit macht ist mir wurscht... So wie ich den Typen kenne hat er eh in 2-3 Monaten den nächsten Virus drauf.

Also nochmal danke für deine Hilfe!

Grüße
Markus

Wenn es nur um die Datensicherung geht, dann hätte man auch das ohne erstmal irgendwas am System schon bereinigen zu müssen schon machen können. Und zwar mit einem Linux-Live-System wie Knoppix, Ubuntu, etc. pp.