Guten Abend,

ein Verwandter hat mich gebeten seinem Pc auf die Gänge zu helfen.

Problem:
Nachdem Hochfahren des Win7 64bit Rechners erscheint die Meldung

"Es besteht noch keine Internetverbindung, bitte warten"

Wenn man den Task Manager öffnen möchte, taucht dieser allerdings nicht auf und der Bildschirm zeigt nach wie vor die o.g. Fehlermeldung.

Drückt man den Power Knopf am Gehäuse, meldet Windows , dass ein Program namens hrt54is56ijfgte das Herunterfahren verhindert und das Beenden des Programms erzwungen werden muß.

Selbiges Problem taucht auch auf, wenn man das System im abgesicherten Modus startet.


Mein Vorgehen:
Nun habe ich glücklicherweise in diesem Hilfeboard mehrere Themen um diesen Trojaner gefunden.

Daher habe ich schonmal ein otl.txt erstellt. Otl.exe konnte ich aus dem Cmd fenster starten, nachdem ich das system im abgesicherten Modus mit Eingabeaufforderung gestartet habe. Zuvor habe ich auch mit otlpenet eine Boot Cd erstellt(bzw. DVD,hatte kein CD-Rohling). Diese Boot-Cd ist jedoch nach anzeigen eines Windows XP ladebildschirms in einem Bluescreen gelandet.

Meine Bitte:Normalerweise würde ich versuchen, die angebotenen Problemlösungen anderer Threads zu diesem Trojaner schrittweise durchzuarbeiten, allerdings wird dort vom Helfer ein auf das jeweilige System maßgeschneidertes Script (fix) angeboten, welches ich mangels Kenntnis nicht eigenständig umschreiben kann. http://www.trojaner-board.de/105888-...jfgte-exe.html

Würde mich über mögliche Hilfe und nützliche Links sehr freuen =)

edit :-)
...

Hi,

Doppelpost ;o)

chris

Also keine Hilfe

na toll, jetzt haben wir beide unsere posts editiert
@Chris4You *
würd das dann gern an dich abgeben
@Aenden *
wenn er nicht antwortet bzw mehr in diesem thema liest, mal ne kurze private anachicht an chris

Hi,

Arrrgh... jetzt habe ich gerade das notepad mit dem Fix zugemacht...
Ok...
nochmal von vorne...
Sorry an Euch Beide...

Fix kommt gleich...

chris

Hi,

script auf CD oder USB-Stick kopieren, OTL starten und wie folgt vorgehen...
(Abgesicherter Modus mit CommandLine, wie im anderen Thread...)

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL

O4 - HKLM..\Run: [6zvcaxR5ls4KB9Y] C:\Users\Helmut\AppData\Roaming\hrt54is56ijfgte.exe (anno aliti)
O4 - HKCU..\Run: [6zvcaxR5ls4KB9Y] C:\Users\Helmut\AppData\Roaming\hrt54is56ijfgte.exe (anno aliti)
O4 - HKCU..\Run: [sxr5tu7hdxyfr] C:\Users\Helmut\AppData\Roaming\w4si6r57i\drx6tij7ri.exe (anno aliti)

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O20 - HKLM Winlogon: Shell - (C:\Users\Helmut\AppData\Roaming\hrt54is56ijfgte.exe) -C:\Users\Helmut\AppData\Roaming\hrt54is56ijfgte.exe (anno aliti)
O20 - HKCU Winlogon: Shell - (C:\Users\Helmut\AppData\Roaming\hrt54is56ijfgte.exe) -C:\Users\Helmut\AppData\Roaming\hrt54is56ijfgte.exe (anno aliti)

[2011/12/07 23:07:37 | 000,348,160 | ---- | C] (anno aliti) -- C:\Users\Helmut\AppData\Roaming\hrt54is56ijfgte.exe
[2011/12/07 23:07:26 | 000,000,000 | ---D | C] -- C:\Users\Helmut\AppData\Roaming\w4si6r57i
[2011/12/07 23:07:28 | 000,348,160 | ---- | M] (anno aliti) -- C:\Users\Helmut\AppData\Roaming\hrt54is56ijfgte.exe


:Commands
[emptytemp]
[EMPTYFLASH]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

macht ja nichts, hätte meins ja auch stehen lassen können
hatte nach dem editieren extra noch gegukct ob deins noch alles da steht aber so kanns gehen.

Guten Morgen markusg & Chris4You,

erstmal vielen Dank, aber müßt euch wirklich nicht um mich prügeln

Habe gestern noch versucht das Script von Chris4You aus dem anderen Thread eigenständig umzuschreiben:
Das führte auch zu Teilerfolg: Nach dem Ausführen meines Scripts auf dem infizierten System und einem anschließendem Reboot schaffte es dann neuerdings Microsoft Security Essentials mit einem Popup durch die sonst so verblockte Oberfläche zu dringen. Es sei eine mögliche Bedrohung festgestellt worden. Ein Mouseclick und das Virenkiller-Programm machte sich mit einem vollständigen Scan auf die Suche... jedoch mit wenig Erfolg. Während des Durchlaufs war zwar der Desktop wieder normal zu sehen, jedoch endete der nächste Bootvorgang wieder im vorherigen Zustand.

Andere Frage: Hab auch immer eine Ubuntu-CD dabei - Kann man die Änderungen nicht auch aus einem Linux-Live System heraus in Gang setzen ? Scheinen mir ja im Wesentlichen nur Registry-Änderungen zu sein.

Melde mich dann heute Nachmittag nochmal mit den log files von otl nach dem Einsatz deines Scripts Chris4You...

Einen schönen Sonntag erstmal

Hi Chris4You,

nachdem ich dein Script im OTL laufen lassen habe fuhr der Rechner wieder ganz normal hoch

Anbei das Ergebnis log.

Werde mal noch den Tip mit dem TDSS Killer durchgehen...

Hoffe damit wäre das Problem erstmal geklärt =)

mfg Theo

Edit : So, das mit dem TDSS ging ja flott, anbei jetzt auch noch das result davon.

Hi,

sieht gut aus, bitte jetzt noch ein Check mit MAM und ein neues OTL-Log...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL kennst Du ja schon, wie man ein neues Log erstellt ;o)

chris

Ohje, dachte wäre schon erledigt.

Aber werde dann wohl doch noch einen dritten Besuch bei dem Verwandten unternehmen müssen.

Oder ich versuch ihn mal telefonisch dazu zu bewegen teamviewer drauf zu machen.

Waren jetzt zwei tage jeweils 30 min. autofahrt -.-

aber sicher ist sicher

DENN : beim abmelden des Benutzerkontos erscheint für eine zehtelsekunde noch so ein taskmanager fenster, dass irgendwas geschlossen wird. Man kann es nur in der zeit nicht erkennen.

Also melde mich dann die Tage mit dem Rest.

BTW : Hab noch nie eine so ausführliche Hilfe im netz erhalten, danke dir/euch !