Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

1. Ja, bei Windows ist alles super, läuft alles wie vor dem Befall durch den Trojaner.
2. Mir ist jetzt nichts aufgefallen was fehlt und leere Ordner scheinen auch nicht vorhanden zu sein.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Kurze Zwischenfrage:

OTL ist ja momentan nur auf dem Boot-USB-Stick.
Heißt also, ich muss es mir im "normalen" Windows nochmal runterladen und dann die Anleitung befolgen?

Öhm nein?
Du sollst OTL.exe neu runterladen und ein Log machen wie oben beschrieben - alles im normalen Modus wo du hoffentlich eine Internetverbindung hast oder hat du damit Probleme?

Ja ja, genauso meinte ich es.
Tschuldigung, wenn ich es irgendwie unverständlich ausgedrückt habe :$
Internet und alles geht ja, kein Problem, Log kommt dann noch im Laufe des Abends!

Ok, trotzdem gut, dass wir das geklärt hätten ^^

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{3a07b19f-690e-11e0-980f-0025d3e50b4a}\Shell - "" = AutoRun
O33 - MountPoints2\{3a07b19f-690e-11e0-980f-0025d3e50b4a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3a07b19f-690e-11e0-980f-0025d3e50b4a}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{3a07b1a0-690e-11e0-980f-0025d3e50b4a}\Shell - "" = AutoRun
O33 - MountPoints2\{3a07b1a0-690e-11e0-980f-0025d3e50b4a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3a07b1a0-690e-11e0-980f-0025d3e50b4a}\Shell\AutoRun\command - "" = E:\AutoRun.exe
:Files
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Ryow
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Also irgendwie will da irgendwas nicht so ganz funktionieren :/

Ich habe alles wie beschrieben gemacht und sobald ich auf den "Fix" Button drücke, steht unten am Ende des OTL Fenster "Killing processes. Do not interrupt."
Und weiter kommt er dann nicht. Hab eine Weile gewartet, aber der PC schien sich aufgehängt zu haben, beim zweiten Versuch war es genauso.

Was ist falsch gelaufen? Oder habe ich nicht lang genug gewartet?

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Habe versucht, Windows im abgesicherten Modus zu starten (mit Netzwerktreibern und "normaler" abgesicherter Modus), aber beides fährt dummerweise nichtmal hoch. :/
Danach habe ich es nochmal ganz normal versucht, hat sich aber wieder hochgehängt.

Bin jetzt die nächsten 3 Tage nicht zu Hause, also werde erst dann neue "Befehle" ausführen können
Vorausgesetzt, wir können für das Problem irgendeine Lösung finden.

Dann probier es bitte mit diesem gekürzten Script:

Code: Alles auswählenAufklappen

ATTFilter

:Files
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Ryow
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
         

Bin jetzt wieder zu Hause,
aber auch das gekürzte Script funktioniert nach mehrmaligem Probieren nicht. :/
Woran liegt es? Kann ich irgendwas tun?

Auch im abgesicherten Modus probiert?

Wie gesagt, der abgesicherte Modus fährt leider immer noch nicht hoch :/