Hallo,
auf unseren Firmen-PC hat der Gema-Trojaner zugeschlagen. Ich habe bereits erfolglos mit der Kaspersky Rescue CD versucht, das Problem zu beheben.
Nun wollte ich mittels OTLPENet.exe ein Logfile erstellen, jedoch bootet der PC nicht mit der gebrannten CD. Bitte um Hilfe.

Lg

ok, mittlerweile geht das booten von cd, nur kommt kurz nach dem start des bootvorgangs folgende fehlermeldung: \i386\system32\ntoskrnl.exe could not be loaded. The error code is 256

Setup cannot continue. Press any key to exit.

ich weiss echt nicht mehr weiter.

edit:
das mit den Logfiles hat jetzt endlich funktioniert. Sie sind im Anhang zu finden

Zitat:

auf unseren Firmen-PC hat der Gema-Trojaner zugeschlagen.

Seid ihr eine kleine EDV ohne IT-Abteilung? Normalerweise bereinigen wir keine Bürocomputer, siehe auch Löschen von Logfiles und andere Anfragen

ich bin sozusagen die IT-Abteilung...bzw. Firma ist übertrieben

Ok...
Ich nehme mal an, die abgesicherten Modi hast du ausprobiert?
Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hallo,
ja habe ich ausprobiert. mit netzwerktreibern wird zwar gestartet, jedoch kommt dann wieder der gema-screen, ohne dass ich etwas machen kann. die anderen beiden abgesicherten modi starten nicht einmal. es kommt nur ein schwarzer bildschirm mit einem blinken cursor.

lg

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

:OTL
O20 - HKLM Winlogon: Shell - (C:\WINDOWS\Temp\yvuirb\setup.exe) - C:\WINDOWS\Temp\yvuirb\setup.exe ()
O31 - SafeBoot: AlternateShell - C:\WINDOWS\Temp\yvuirb\setup.exe
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/04/25 11:00:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2012/03/27 14:39:05 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hnj1Ip2.dat
[2012/03/27 13:57:33 | 000,099,328 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jRhExDDK.exe
[2012/03/27 03:49:29 | 000,046,080 | ---- | M] () -- C:\WINDOWS\System32\Vo1B3V.com
:Files
C:\WINDOWS\Temp\yvuirb
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => Anleitung: UploadChannel - Trojaner-Board
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo,
hab die _OTL gerade geuploaded. Und hier ist das Fix-Log:

Code: Alles auswählenAufklappen

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\WINDOWS\Temp\yvuirb\setup.exe deleted successfully.
C:\WINDOWS\Temp\yvuirb\setup.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\\AlternateShell deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hnj1Ip2.dat moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jRhExDDK.exe moved successfully.
C:\WINDOWS\system32\Vo1B3V.com moved successfully.
========== FILES ==========
C:\WINDOWS\Temp\yvuirb folder moved successfully.
========== COMMANDS ==========
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 04062012_212109
         

lg

Hätte da mal zwei Fragen bevor es weiter geht

1.) Startet Windows wieder und geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo,
sry...ja windows startet wieder und der normale modus geht, allerdings funktioniert die rechte maustaste nicht richtig. weiss nicht, ob das mit dem virus zu tun hat.
Im startmenü vermisse ich nichts und leere Ordner seh ich auch keine.
Und antivir hat mir beim start noch virenmeldungen angezeigt.

lg

Zitat:

Und antivir hat mir beim start noch virenmeldungen angezeigt.

Log dazu posten!!