BKA 100 € /UKASH:Laptop gesperrt, Kasperski Rescue Disk wird nicht erkannt
 

Hallo,

ich habe mal wieder auf einem Rechner Besuch von der GVU, allerdings hat das gute Stück seit dem letzten Mal vor einem Jahr anscheinend dazugelernt und ich komme nicht mehr in den abgesicherten Modus von Windows Vista, da in diesen Modi jeweils sofort eine Boot-Schleife getriggert wird.

Ich habe versucht eine Kasperski Rescue Disk zu erstellen. Diese funktionierte auf dem erstellenden Laptop, jedoch wird sie mysteriöserweise vom infizierten Laptop nicht erkannt.
(Das Laufwerk ist im BIOS aktiviert und die Bootreihenfolge ist auf DVD, USB, Harddrive eingestellt.)

Also habe ich versucht OTLPE mittels eepcfr auf einen USB-stick zu bringen.
Dazu nutze ich einen 8GB Emtec USB-2-Stick, den ich auf FAT32 vorformatiert habe.

Mein Problem ist zunächst, dass eepcfr im Konfigurationsfenster oben im Pulldown angibt, dass kein USB-Stick gefunden wurde, und ich somit den Stick nicht anwählen kann, um überhaupt einen Bootstick zu erstellen. :pukeface:

Hätte jemand Hilfe für mich?

Hi,
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Den selben Effekt habe ich jetzt auch mit der OTLPE-CD erzielt. Der infizierte Rechner erkennt die CD nicht (die CD bootet jedoch den sauberen Rechner) und geht dann in der Bootreihenfolge weiter.

hast du auch die Boot reihenfolge im Bios geändert?

Ich möchte nicht undankbar erscheinen, aber das hatte ich bereits zweimal geschrieben.

Sorry, hatte das zitat nur überrflogen, und es beim ersten mal nicht gelesen.
aber wir haben ja noch Möglichkeiten.
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

So ... hier der FRST.txt


FRST Logfile:
--- --- ---

Hi,

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



Navigiere bitte zu:
C:\FRST\Quarantine
Rechtsklick, mit Winrar oder einem anderen Archvierer packen und im Uploadchannel hochladen.
Trojaner-Board Upload Channel

Da sind wir...

bist du wieder im normalen Modus, dann mal weiter mit dem Upload

Hrm.

Beim Boot im Abgesicherten Modus mit Netzwerktreiber wird der Rechner unmittelbar wieder heruntergefahren.

Im Normalmodus immer noch der weisse GVU/BSI-Screen.

hab ich mir fast gedacht, für den fix noch mal aus, da hast du anscheinend etwas nicht richtig gemacht.
edit:
der fix wurde von mir nicht als fließtext gepostet, du hast ihn aber so eingefügt. machs so bitte, wie es da steht

o.k. also nochmal

- Fixlist.txt auf den Stick gespeichert
- Stick an infizierten Lappie
- Bootmanager - Start von Festplatte
- F8 -Bootmenü
- Systemreparatur gestartet
- FRST64.exe vom stick gestartet
- gefixt
- Fixlog hier:
- als Nächstes
- Start im abgesicherten Modus mit Netzwerktreibern
- Defogger auf Desktop laden und weiter wie im Hinweis für Neuposter beschrieben...?

schau dir doch mal bitte meinen fix an, und dann, was du daraus gemacht hast :-)
schon wieder ein fließtext

Ich habe mit dem "alles markieren Knopf" über dem Code alles markiert und dann mit Ctrl+V das Ganze in fixlist.txt kopiert.