Hi,

Auf dem PC einer Freundin ist vor kurzem eine Problemmeldung aufgetreten, in der es heißt, dass die Bundespolizei 100€ via Ucash verlangt.

Das Betriebssystem ist Windows XP.
Habe mehrere Male etwas von OTL.exe gelesen, leider bin ich mir über die Anwendung dieser Anwendung nicht im Klaren.

Wäre nett, wenn ihr mir etwas Hilfestellung bieten und mich zur Lösung des Problems lotsen könntet.

Liebe Grüße
Tobi

hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

OTL lässt sich auch über USB stick einfach öffnen. Ist es trotzdem notwendig den Computer zu booten? Wenn ich das nämlich noch richtig in Erinnerung habe, hängt booten mit Datenverlust zusammen, den ich möglichst ausschließen möchte.
Nicht falsch verstehen, ich möchte dich nicht kritisieren oder sonst was, aber ich möchte sichergehen, dass ich dich richtig verstehe

LG

ne, booten heißt starten.
wenns auch vom usb stick geht ist das auch gut.

Vielen Dank
Soll ich dann einfach OTL.exe starten, oder besagte OTLPENet.exe?

Tut mir leid, das ich so doof frage und arbeit verursache

nö, das normale otl geht dann auch :-)

Sodale.

Wir haben OTL durchlaufen lassen und haben die folgenden logs bekommen:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\iexploer.exe deleted successfully.
C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\Microsoft\Internet Explorer\iexploer.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\RTHDBPL deleted successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
User: Stella
->Flash cache emptied: 65670 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33177 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2356189 bytes
 
User: Stella
->Temp folder emptied: 370900174 bytes
->Temporary Internet Files folder emptied: 101490081 bytes
->Java cache emptied: 143067 bytes
->FireFox cache emptied: 56537478 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1119339 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 19418903 bytes
RecycleBin emptied: 3776055740 bytes
 
Total Files Cleaned = 4.128,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 12292011_110144

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

und

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\iexploer.exe deleted successfully.
C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\Microsoft\Internet Explorer\iexploer.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\RTHDBPL not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
User: Stella
->Flash cache emptied: 1094 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Stella
->Temp folder emptied: 1923799 bytes
->Temporary Internet Files folder emptied: 34320 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 72761287 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 3665598464 bytes
 
Total Files Cleaned = 3.567,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 12302011_205420

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

LG

was soll das ist es das was ich angefordert hab, wohl kaum.
wenn du allein arbeiten willst, und irgendwelche löschungen vor nehmen willst, ist das io für mich, sag einfach bescheid, dann kann ich mit den anderen nutzern hier weiter arbeiten.b

Tut mir leid dich verärgert zu haben, aber ich habe nichts gelöscht oder sonst was... jedenfalls nicht bewusst... Glaubst du es wäre möglich, dass du mir noch einmal alle Schritte einzeln erläuterst? Ich weiß nicht was ich falsch gemacht habe.

Vielen Dank.

Tobi

du hast nen fix ausgeführt, den ich nicht gepostet hab
lies mal was ich für nen script in post 2 reingestellt hab und was du ausgeführt hst, sind doch 2 komplett unterschiedliche dinge.

Nunja, ich bin mir zwar ziemlich sicher auf "Scan" geklickt zu haben, aber dann mach ichs eben nochmal... Soll ich "Quick Scan" oder "Scan" verwenden? Zuletzt habe ich wie gesagt (zumindest bin ich mir da recht sicher) auf "scan" geklickt..

Danke dir.

Hey, ich hab meinen Fehler gefunden. Ich habe zwar auf "Run Scan" geklickt, es war aber noch auf "Standart-Output" eingestellt. Habe es jetzt mit "Minimal-Output" gemacht und habe eine Extra.txt und eine OTL.txt rausbekommen. Du findest sie im Anhang.

Danke dir.

LG

hi


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [{D12473B3-40AF-2F70-3C22-54B811FAA1FF}] C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\Bezaygf\yhyqixe.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
 :Files
C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\Bezaygf
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus