Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
O7 - HKU\franky_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 
O20 - HKU\franky_ON_E Winlogon: Shell - (C:\Users\franky\AppData\Roaming\skype.dat) - E:\Users\franky\AppData\Roaming\skype.dat () 


@Alternate Data Stream - 1119 bytes -> E:\ProgramData\Temp:20454B07 
[2013/01/22 17:02:53 | 000,000,028 | ---- | C] () -- E:\Users\franky\Desktop\test.bat 
[2013/01/22 17:03:41 | 000,000,004 | ---- | M] () -- E:\Users\franky\AppData\Roaming\skype.ini 
[2012/01/10 23:37:02 | 000,045,568 | ---- | C] () -- E:\Users\franky\AppData\Roaming\skype.dat 

:Files

C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\franky\*.tmp
C:\Users\franky\AppData\Local\Temp\*.exe
C:\Users\franky\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Hallo t'john,

vielen Dank für Deine prompte Hilfe.

Nachdem ich am nächsten Tag dringend mit der Kiste arbeiten musste, hatte ich einen Kollegen gebeten, die Kiste zu entwanzen. Er arbeitete mit Kapersky Rescue, Disk 10 und hat das irgendwie hingefummelt. Da die Platte recht groß ist, dauerte das aber 14 Stunden, bis alles gescannt war.

Erfreulicherweise fand er die gleichen Files wie Du. Keine Ahnung wie ich mir das Ding trotz aktuellem Avira geangelt habe. Habe jetzt mal JAVA deinstalliert.

Keine Ahnung auch wie Du aus dem recht kyptischen Log genau die richtigen Files rausfinden konntest.

Also nochmal vielen Dank für den tollen Service. Das Trojaner-Board und seine Helfer ist eine tolle Sache.

Grüße

fjh