Trojaner-Board - Nach Trojanabekämpfung nur mehr schwarzer Bildschirm

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Nach Trojanabekämpfung nur mehr schwarzer Bildschirm (https://www.trojaner-board.de/117328-trojanabekaempfung-nur-mehr-schwarzer-bildschirm.html)

Nach Trojanabekämpfung nur mehr schwarzer Bildschirm

Habe mir den Bmi Virus/Trojaner vor zwei Tagen eingefagen und mit Kapersky und dann mit Antivier vor dem starten von Win 7 bekämpft und habe seitdem nach dem an melden nur mehr einen schwarzen Bildschirm. Vorher hatte ich die Meldung das ich 50 euro zahlen solte dann das die Seite nicht geöffnet werden kann (keine Internetverbindung) und jetzt alles schwarz. Kann aber denn Taskmanager öffnen und auf alle Datein zugreifen. Auch im abgesichertem Modus keine Veränderung. Habe win normal gestarte und über den Taskmanager auf die Cd mit OTL einen Scan durchgeführt (ist nur ein Zusammenfassung gekommen.

Thx für euer Bemühen im voraus.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O2 - BHO: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} -  File not found

O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} -  File not found

O4 - HKU\S-1-5-21-753473530-67319056-3164970275-1000..\Run: [Updater shortcut] C:\Program Files\tele.ring Verbindungsmanager\WTGU.exe ()

O4:64bit: - HKLM..\RunOnce: [*Restore]  File not found

O4:64bit: - HKLM..\RunOnce: [*Restore]  File not found

O4:64bit: - HKLM..\RunOnce: [WinSATRestorePower] C:\Windows\System32\powercfg.exe (Microsoft Corporation)

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin]  File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin]  File not found

O4 - Startup: C:\Users\Cheesy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Startup\pkg_0ll.exe.lnk =  File not found

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 1

O7 - HKU\S-1-5-21-753473530-67319056-3164970275-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O31 - SafeBoot: AlternateShell - C:\Users\Cheesy\AppData\Local\Temp\pkg_0ll.exe

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006.03.24 13:06:41 | 000,000,053 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]

O32 - AutoRun File - [2008.09.05 13:50:58 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.) - F:\AutoRun.exe -- [ CDFS ]

O32 - AutoRun File - [2009.02.05 17:02:14 | 000,000,049 | R--- | M] () - F:\AUTORUN.INF -- [ CDFS ]

O33 - MountPoints2\{145fdb9c-579a-11e1-9850-0090f58a5902}\Shell - "" = AutoRun

O33 - MountPoints2\{145fdb9c-579a-11e1-9850-0090f58a5902}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{21b5a523-f0fe-11df-bc6e-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{21b5a523-f0fe-11df-bc6e-806e6f6e6963}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{2f403b67-8d17-11e1-b934-0090f58a5902}\Shell - "" = AutoRun

O33 - MountPoints2\{2f403b67-8d17-11e1-b934-0090f58a5902}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a

O33 - MountPoints2\{40ce7a0a-d4f7-11df-bde8-00216a379a62}\Shell - "" = AutoRun

O33 - MountPoints2\{40ce7a0a-d4f7-11df-bde8-00216a379a62}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{587725c6-7e55-11e1-a683-00216a379a62}\Shell - "" = AutoRun

O33 - MountPoints2\{587725c6-7e55-11e1-a683-00216a379a62}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{87ec6c69-20b3-11e0-a5ec-0090f58a5902}\Shell - "" = AutoRun

O33 - MountPoints2\{87ec6c69-20b3-11e0-a5ec-0090f58a5902}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a

O33 - MountPoints2\{94388aca-4c30-11e1-96d4-0090f58a5902}\Shell - "" = AutoRun

O33 - MountPoints2\{94388aca-4c30-11e1-96d4-0090f58a5902}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{b31b44ad-171a-11e0-a3d6-0090f58a5902}\Shell - "" = AutoRun

O33 - MountPoints2\{b31b44ad-171a-11e0-a3d6-0090f58a5902}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{d6dde39f-15a3-11e1-8590-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{d6dde39f-15a3-11e1-8590-806e6f6e6963}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{db7bb438-0b85-11e0-b5ea-0090f58a5902}\Shell - "" = AutoRun

O33 - MountPoints2\{db7bb438-0b85-11e0-b5ea-0090f58a5902}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{f6e4cc93-d491-11df-a8c9-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{f6e4cc93-d491-11df-a8c9-806e6f6e6963}\Shell\AutoRun\command - "" = D:\autorun.exe

O33 - MountPoints2\{ffecb3ac-eafd-11df-960d-0090f58a5902}\Shell - "" = AutoRun

O33 - MountPoints2\{ffecb3ac-eafd-11df-960d-0090f58a5902}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\E\Shell - "" = AutoRun

O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\AutoRun.exe

[2012.06.15 00:59:33 | 000,000,000 | -HSD | C] -- C:\RECYCLER

[2012.06.14 11:18:14 | 000,000,000 | -HSD | C] -- C:\found.000

[2012.06.01 12:06:13 | 000,000,000 | ---D | C] -- C:\Users\Cheesy\AppData\Roaming\Babylon

[2012.06.01 12:06:13 | 000,000,000 | ---D | C] -- C:\Users\Cheesy\AppData\Local\Babylon

[2012.06.01 12:06:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon

[2012.06.13 12:06:11 | 000,000,924 | ---- | M] () -- C:\Users\Cheesy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Startup\pkg_0ll.exe.lnk

[2012.06.06 01:06:52 | 000,002,525 | ---- | M] () -- C:\test.spr

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Habe alles so gemacht wie oben beschrieben hat aber leider nichts gebracht.
Außer das jetzt zwei Fenster offen sind. Beide Dos Eingabeaufvorderungen
mit 1. cmd.exe /k start cmd.exe
und 2. c:/windows/system32/cmd.exe

Habe wieder den Tastmanager in win 7 (bei schwarzen Bildschirm) gestartet und OTPE von cd gestartet und euch das Script vom Scan geschickt.
Hoffe ihr könnt mir immernoch helfen.

Mach einen neuen Fix mit dem Script unten

Code:

:OTL

O4 - HKU\S-1-5-21-753473530-67319056-3164970275-1000..\Run: [Updater shortcut]  File not found

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin]  File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin]  File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 1

O20:64bit: - Winlogon\Notify\psfus: DllName - Reg Error: Key error. -  File not found

O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

Habs mit neuem Text probiert wie oben beschrieben, leider noch immer das selbe schwarze Bild. Und noch immer die zwei Fenster der dos Eingabeaufoderung.

Habe jetzt das Scribt nach dem Fix und die den neuen Scan mitgeschickt.

Mfg Cheesy

So jetzt aber hoffentlich der letzte Fix über OTLPE:

Code:

:OTL

O4 - HKU\S-1-5-21-753473530-67319056-3164970275-1000..\Run: [Updater shortcut]  File not found

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin]  File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin]  File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 1

O20:64bit: - HKLM Winlogon: Shell - (cmd.exe) - C:\Windows\System32\cmd.exe (Microsoft Corporation)

O20:64bit: - HKLM Winlogon: Shell - (/k start cmd.exe) -  File not found

O32 - HKLM CDRom: AutoRun - 1

Echt super hat funktioniert kann jetzt wieder alles sehen. THX

Nur noch eins, ich weiß bin nervig wie bekomme ich die zwei Fenster,wie oben schon beschrieben noch weg.

Nochmal THX THX THX

Die MovedFiles sollten in den Upchannel! :nono:

Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hier die zwei logs.

Code:

 ESETSmartInstaller@High as CAB hook log:

OnlineScanner64.ocx - registred OK

OnlineScanner.ocx - registred OK

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.25.07
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Cheesy :: CHEESY-PC [limitiert]
 

25.06.2012 15:14:35

mbam-log-2012-06-25 (15-14-35).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 405555

Laufzeit: 50 Minute(n), 24 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 3

C:\Program Files (x86)\Duels of the Planeswalkers 2012\TDU1k.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Cheesy\Documents\Stuff\Gemeinheiten\alkomat.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

G:\Medal of Honor™\Binaries\loader.dll (Riskware.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

und Movedfiles sind im upchannel!

Code:

G:\Medal of Honor™\Binaries\loader.dll (Riskware.Tool.CK)

:pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials