Hallo Leute,

hoffe es sitzt noch gerade jmd am PC und kann mir bei meinem kleinem großem Problem helfen. Ich hab mir nen Trojaner eingefangen und komm nicht mehr ins System.
nun bin ich genau im Klausurenblock und brauch so schnell wie möglich meine Daten wieder....

ich hab das selbe Problem schon bei euch gefunden: http://www.trojaner-board.de/106759-...blockiert.html

kann damit aber reichlich wenig anfangen.
Folgendes hab ich schon gemacht:

hab mir die OTL.EXE auf nen stick gepackt. hab den pc mit eingabeaufforderung gestartet hab "copy E:\OTL.EXE" eingegeben (1 Datei(en) kopiert.) und nun ja, jetzt steh ich absolut auf dem schlauch wie ich die datei starten soll....

mfg Peter

EDIT: habs nun starten können, und nach der Anleitung Gescant. Alles Schön und gut, nur sind die dateien die ich bekommen LEER :/

Hi,

einfach starten durch Eingabe von otl in dem Fenster... Er sollte sie dahin kopiert haben, wo die Eingabekonsole steht (im selben Verzeichnis)...

Du kannst Otl auch durch die Eingabe von E:\otl direkt starten...
Das Log sollte dann auf dem Stick landen...

chris

Hey guten morgen,

danke für die Antwort. Scheinen ja einige sich mit dem Trojaner rumzuschlagen....
okay hab die OTL.EXE gestartet bekommen (danke ). Nun hab ich alles so eingestellt wie es in dem anderen Thread beschrieben war. Nur leider sind die 2 txt dateien ohne inhalt :/

Hi,

wo hat er sie abgelegt?
Wie hast Du otl eingestellt?

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

nunja da ich ja kein klassisches windows menu hab sondern nur die eingabeaufforderung hab ich keine ahnung wo er das ablegt....
ich habe alle auf "Benutze Safelist" stehen dann die LOP Prüfung und Purity Prüfung an. dann Scan und es öffnen sich 2 leere txt dokumente im bildschirm :/

Hi,

probieren wir es nochmal, Du hst Windowsin den abgesicherten Modus mit Eingabeaufforderung gestartet, E-ist Dein USB-Stick

mit copy E:\OTL.exe . (beachte den Punkt) wir die Exe auf die Festplattekopiert (gib mal cd in dei Eingabeaufforderung ein, dann zeigt er dir Laufwerk und Verzeichns, mit dir kannst Du dir den Inhalt anzeigen lassen, da sollte dann auch die otl.exe angezeigt werden.

Jetzt die OTL.exe starten und so einstellen wie angegeben...

chris

soll bei drweb ein fullscan oder ein schneller scan durchgeführt werden?

desktop icons sind immer noch nicht zu sehen

naja die DrWeb.txt Datei war nicht annähernd 5MB groß

Code: Alles auswählenAufklappen

ATTFilter

03e4843f.qua;C:\Documents and Settings\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;BackDoor.Zbot.74;Gelöscht.;
492cf00b.qua;C:\Documents and Settings\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;BackDoor.Zbot.74;Gelöscht.;
4b4ca8b9.qua;C:\Documents and Settings\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Adware.Hotbar.700;Verschoben.;
4c2b6525.qua;C:\Documents and Settings\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Tool.Winlock.2;;
51bbd578.qua;C:\Documents and Settings\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;BackDoor.Zbot.74;Gelöscht.;
4c2b6525.qua;C:\Documents and Settings\All Users\Avira\AntiVir Desktop\INFECTED;Tool.Winlock.2;;
4b4ca8b9.qua;C:\Documents and Settings\DevilTech\DoctorWeb\Quarantine;Adware.Hotbar.700;Verschoben.;
fs1.pdf/EmbeddedStream[00000003][0002ACA8]\JSTAG_3[4d8][11af];C:\Documents and Settings\DevilTech\DoctorWeb\Quarantine\fs1.pdf/EmbeddedStream[00000003][0002ACA8];Wahrscheinlich SCRIPT.Virus;;
fs1.pdf/EmbeddedStream[00000003][0002ACA8]\JSTag_9[4dd][11aa];C:\Documents and Settings\DevilTech\DoctorWeb\Quarantine\fs1.pdf/EmbeddedStream[00000003][0002ACA8];Wahrscheinlich SCRIPT.Virus;;
EmbeddedStream[00000003][0002ACA8];C:\Documents and Settings\DevilTech\DoctorWeb\Quarantine;Container enthält infizierte Objekte;;
fs1.pdf;C:\Documents and Settings\DevilTech\DoctorWeb\Quarantine;Container enthält infizierte Objekte;Verschoben.;
4c2b6525.qua;C:\ProgramData\Avira\AntiVir Desktop\INFECTED;Tool.Winlock.2;;
4c2b6525.qua;C:\Users\All Users\Avira\AntiVir Desktop\INFECTED;Tool.Winlock.2;;
         

Hi,

was macht der Rechner, ausser der PDF-Datei "fs1.pdf"...

Wenn sich der Rechner normal gibt, sollten wir durch sein...

chris

Frohes neues.

naja er gibt sich ganz okay,nur meine desktop icons sind immernoch verschwunden .

soll ich die dateien aus dem log einfach ganz normal löschen?

lg

PS MAM zeigt mir öfter mal an dass er einen internet zugriff stoppt (dann steht da was mit einer ip adresse) 83.128.33.126 Art einkommend Port 573759 oder port 53024 pmb.exe

Hi,

pmb.exe=PandoraMedaiBooster, sagt Dir das etwas... ?

Unhide
Lade Dir unhide von folgender Adresse runter und dann per Doppelklick als Admin ausführen:
[url[http://filepony.de/download-unhide/[/url]
Es werden alle versteckten Dateien sichtbar gemacht, ggf. welche die versteckt sein sollten wieder unsichtbar machen (Auswählen im Explorer->Eingenschaften->versteckt)

Poste mal ein neues OTL-Logfile..

chris