Ähm ja, startet Windows jetzt wieder normal von der Festplatte?
Ich bin aus der Beschreibung ein wenig verwirrt, denn du schreibst was von einem anderen nicht betroffenen PC!

Hallo Arne,
das liegt daran, dass ich mich derzeit wieder an meinem Arbeitsplatz (Klinik) befinde .
Also: Der betroffene PC steht daheim, er zeigt nach wie vor den Reatogo-x-pe Bildschirm und hat sich offensichtlich aufgehängt. Er reagiert noch auf die Desctop-Icons, aber nicht mehr auf die Symbole in der Taskleiste. Windows kann also nicht normal gestartet werden. Er hatte sich nach der OTLPE-Bereinigung auch nicht automatisch neu gestartet. Darum hatte ich versucht ihn herunter zu fahren. Zu diesem Zweck hatte ich die CD entfernt (falsch?). Als er sich dann nicht runterfahren ließ, habe ich die CD wieder eingelegt und es noch einmal versucht, wieder ohne Erfolg. Die letzte Aktivität war dann der Versuch, mittels des Desktop-Icons in der Task-Leiste mir den Desktop anzeigen zu lassen. Seitdem steht er wie oben beschrieben. Meine letzte Frage an Dich war, ob ich ihn einfach ausstellen soll (Netzteil abschalten). Dass habe ich mich aber nicht getraut und bin dann ins Bett, weil ich heute früh um 07:30 zur Visite in unserer Klinik sein mußte.
Ich bin auch jetzt nur kurz (zwischen zwei Stationen) am PC, bekomme Deine Antworten aber auch via Push-Email auf mein Diensthandy. Um zu schauen, ob Windows wieder normal hochgefahren werden kann müßte ich den Rechner ja erst abstellen. Das könnte ich aber veranlassen, da mein Frauchen daheim ist.
Beste Grüße,
Rudi

Zitat:

er zeigt nach wie vor den Reatogo-x-pe Bildschirm und hat sich offensichtlich aufgehängt. Er reagiert noch auf die Desctop-Icons, aber nicht mehr auf die Symbole in der Taskleiste. Windows kann also nicht normal gestartet werden.

Äh, wenn er nach wie vor den Reatogo zeigt, hört sich das an als wenn du nach dem Fix noch nicht neu gestartet hast. Wieso kommst du dann zu der Aussage, dass "Windows kann also nicht normal gestartet werden" kann?

Du solltest nach dem Fix über OTLPE einfach WIndows normal starten und nicht wieder von der CD booten!!
Und ja, wenn er in Reatogo hängt, kannst du ja einfach nur noch resetten.
Mich interessiert eigentlich nur ob Windows wieder normal bootet nach dem Fix.

OK, das mache ich dann nach Dienstschluss lieber selber - wahrscheinlich dann so ab 15:00. Vielen Dank, der Bericht folgt dann postwendend.
Beste Grüße,
Rudi

Hallo Arne, ich freue mich Dir mitteilen zu können, dass ich Dir soeben von unserem Rechner aus schreibe. Windows läuft wieder normal. Jetzt stehen wahrscheinlich noch einige Schritte mehr an oder?
Beste (und dankbare) Grüße,
Rudi

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

So, schönen guten Morgen,
Malwarebyte hat für seinen Scan auf unserer Kiste gute 11h gebraucht. OTL ging erheblich schneller. Hier als Anhang schon einmal die ersten beiden logs (mbam und Extras) der letzte kommt dann gleich.
Gruß, Rudi

Hier als Zip-Datei (man ist ja lese- und lernfähig )nun auch die otl.txt
Ich glaube das die Schädlingsbekämpfung dank Deiner Hilfe sehr erfolgreich verlaufen ist, würde mich aber freuen, wenn Du mir helfen würdest, den PC zukünftig besser abzusichern. Ich hatte mir, da Avira ohnehin in Kürze abläuft und ich ja auch noch meinen neuen Laptop absichern will, die Kaspersky IS 2012 für bis zu drei Rechner gekauft. Ist das in Kombination mit regelmäßiger Systempflege (updates) schon ausreichend? Soll ich diesen Rechner jetzt trotz der erfolgreichen Säuberungsaktion formatieren und wieder neu aufspielen? Was empfiehlst Du?
Beste Grüße
Rudi

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.02.09 21:56:28 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell - "" = AutoRun
O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun\command - "" = F:\preinst.exe
O33 - MountPoints2\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\Shell\AutoRun\command - "" = F:\direc.exe
[2011.07.02 10:36:00 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\docgvtau.sys
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,
bueno, der Rechner ist nicht neu gestartet, der Log sieht folgendermaßen aus:

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.02.09 21:56:28 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell - "" = AutoRun
O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun\command - "" = F:\preinst.exe
O33 - MountPoints2\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\Shell\AutoRun\command - "" = F:\direc.exe
[2011.07.02 10:36:00 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\docgvtau.sys
:Commands
[purity]
[resethosts]

Gruß, Rudi

Sorry, falsch, hier kommt das richtige:

========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
File F:\preinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\ not found.
File F:\direc.exe not found.
File C:\WINDOWS\System32\drivers\docgvtau.sys not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.25.0 log created on 07032011_210136

Gruß, Rudi

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallöchen,
der Log ist im Anhang. Es scheint alles gut auszusehen. Kaspersky hat keine Bedrohung/Infektion gefunden. Auch auf die Dokumente in den eigenen Dateien können wir ohne Probleme zugreifen. Dürfen wir das langsam für ein gutes Zeichen halten?
Beste Grüße,
Rudi

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Moin moin,
ok, werde ich so machen, allerdings erst heute abend, da ich wieder im Dienst bin.
Danke und Gruß,
Rudi