| |
| |||||||
Log-Analyse und Auswertung: 50€-AKM-Virus: OTL-Files bereits vorhandenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
15.03.2012, 22:19
| #1 |
 |  50€-AKM-Virus: OTL-Files bereits vorhanden Liebes Team, ich habe mich in diesem Forum bereits umgesehen und die einzelnen Schritte durchgeführt (Boot from CD mit Reatogo-x-pe). Zuvor konnte ich auf meinen Laptop (Lenovo R61, 32-bit Windows Xp) nichts mehr machen, weil nach dem Hochfahren und Einsteigen ins Windows sofort ein großes Popup-Fenster kam mit dem Text "Verbindung wird hergestellt" - und dann tat sich nichts mehr. Anbei mein OTL-File (gesplittet, weil zu groß). Bitte um eure Mithilfe, danke, lg, markus |
|
15.03.2012, 22:40
| #2 |
  | 50€-AKM-Virus: OTL-Files bereits vorhanden Hi,
__________________Fix für OTL: Script auf CD oder USB-Stick kopieren, OTLPE starten und wie folgt vorgehen... (notepad aufrufen, Script laden und Inhalt der Codebox wie u. beschrieben in OTL kopieren)
 Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O4 - HKU\M_ON_C..\Run: [] File not found
O4 - HKU\M_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O20 - HKU\M_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O20 - HKU\M_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\M\Anwendungsdaten\flint4ytw.exe (Microsoft Corp., Veritas Software)
O27 - HKLM IFEO\notepad.exe: Debugger - "C:\Programme\Notepad2\Notepad2.exe" /z ()
:Commands
[emptytemp]
[Reboot]
Rechner sollte sich jetzt wieder normal booten lassen... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. chris
__________________ Geändert von Chris4You (15.03.2012 um 22:47 Uhr) |
|
15.03.2012, 22:58
| #3 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden He Chris,
__________________besten Dank für die schnelle Antwort, bin gerade dabei die Anweisungen durchzuführen - geb dir dann Bescheid... |
|
15.03.2012, 23:07
| #4 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden so, hab den Laptop neu gestartet - er hat vor dem Starten von Windows XP einen Check gemacht. Das Virus-PopUp ist weg und ich sehe die gewohnten Desktophintergrund - allerdings sind keine Icons zu sehen und die Taskleiste ist auch weg. Der Taskmanager lässt sich auch nicht starten, folgende Meldung kommt nach dem Drücken von STRG+ALT+ENTF: "Der Task-Manager wurde durch den Administrator deaktiviert". ... |
|
15.03.2012, 23:15
| #5 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden Hi, dann ging beim fixen was in die Hose, oder gibt es mehrer Konten (M wurde von OTL beackert)? Versuche in den abgesicherten Modus mit Netzwerk zu booten und poste ein neues OTL-Log... Taskmanager etc. sollte eigentlich laufen, da ich die Änderungen der Malware zurückgenommen habe (OTL löst diese Einträge)... Code:
ATTFilter O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\M_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
15.03.2012, 23:38
| #6 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden Booten im abgesicherten Modus mit Netzwerk hat nicht funktioniert (endet mit einem schwarzen Bildschirm und einem blinkenden Unterstrich-Zeichen). Aber: wenn ich von der CD-boote komme ich zumindest zu meinen Daten - das Wichtigste ist somit schon einmal geschafft: herzlichen Dank! |
|
15.03.2012, 23:42
| #7 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden Hi, poste bitte noch mal ein neues OTL-Logfile... Brenne die CD und lass ihn dann laufen, das geht so ca. 5-6 stunden... Dr. Web-Live-CD Lade Dir das Abbild (Dr.Web CureIt!) runter (jeweils die neuste Version, z. Z. http://download.geo.drweb.com/pub/dr...livecd-600.iso) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: Dr.Web CureIt! Danach (wenn der Rechner laufen sollte): Unhide Lade Dir unhide von folgender Adresse runter und dann per Doppelklick als Admin ausführen: http://filepony.de/download-unhide/ Es werden alle versteckten Dateien sichtbar gemacht, ggf. welche die versteckt sein sollten wieder unsichtbar machen (Auswählen im Explorer->Eigenschaften->versteckt) chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
15.03.2012, 23:48
| #8 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden was meinst du mit "neues OTL-Logfile"? Soll ich noch einmal von der CD booten und den OTLPEN starten (ScanFix-Prozedur)? |
|
16.03.2012, 11:53
| #9 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden Hi, ja... Was macht Dr. Web? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
17.03.2012, 19:18
| #10 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden So, bin jetzt dabei dr. web runterzuladen... ich meld mich nachdem dr. web den scan gemacht. |
|
17.03.2012, 22:51
| #11 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden Hi, ok... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
18.03.2012, 17:16
| #12 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden hi, hab den Dr. Web-Scan 18h laufen lassen, aber die letzten vier Stunden ist er bei einer Datei hängen geblieben. Folgende infizierte Viren wurden bis dahin (40% des Scans absolviert) festgestellt: c:/dokumente und einstellungen/m/eigene dateien/downloads/pdfconvertersetup.exe c:/dokumente und einstellungen/all users/anwendungsdaten/spybot - search & destroy/snapshots2/regubp2b-m.reg Kannst du mir weiterhelfen? Und: Ich wollte meine Daten auf eine Festplatte sichern (mit REATOGO-X-PE-Boot), leider wird keine Festplatte erkannt... |
|
18.03.2012, 19:53
| #13 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden Hi, zur Datensicherung bitte Knoppix verwenden: http://www.trojaner-board.de/75619-a...x-live-cd.html.. Bitte poste noch ein neues OTL-Log vom Rechner... dann sehen wir weiter (Datensicherung kannst Du nebenher machen)... Das Dr. Web solange braucht und hängenbleibt ist ungewöhnlich... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
18.03.2012, 23:22
| #14 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden ok, ich schick dir gleich die otl daten wenn alles hinhaut |
|
19.03.2012, 00:05
| #15 |
| | 50€-AKM-Virus: OTL-Files bereits vorhanden kann die otl files auf keinen usb-stick speichern, weil der usb stick nicht erkannt wird... |
|
| Themen zu 50€-AKM-Virus: OTL-Files bereits vorhanden |
| 32-bit, akm-virus, bereits, boot, durchgeführt, einsteigen, einzelne, einzelnen, forum, großes, hergestellt, hochfahren, konnte, laptop, lenovo, nichts, otl-file, popup-fenster, reatogo-x-pe, schritte, sofort, verbindung, verbindung wird hergestellt, vorhanden, windows, windows xp, zuvor |
