Trojaner-Board - grauer Bildschirm... "Es besteht noch keine Internetverbindung"

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - grauer Bildschirm... "Es besteht noch keine Internetverbindung" (https://www.trojaner-board.de/108676-grauer-bildschirm-besteht-noch-keine-internetverbindung.html)

grauer Bildschirm... "Es besteht noch keine Internetverbindung"

Hallo, hab gesehen das dem ein oder anderen USer der das selbe Problem hatte wie ich hier bereits geholfen werden konnte.
Problembeschreibung:
Beim Hochfahren von WIN XP erscheint am Ende ein grauer Bildschirm mit dem Text "Es besteht noch keine Internetverbindung...Bitte warten" Es gibt keine Taskleiste, TasManager kann nciht gestartet werden und auch sonst kann man nichts anklicken.

Im abgesichterten Modus mit EIngabeaufforderung OTL.exe ausgeführt. Die TXT Datei hänge ich mal an.

Hoffe auch mir kann geholfen werden.

Ps Wo rührt das Problem eigentlich genau her?

hi
streaming seiten die serien, kino und sport streams anbieten zb, diese sind nicht legal und sie werden zum verteilen von malware genutzt.
pornoseiten währen auch möglich
speichere das script mal direkt auf dem stick am besten, als script.txt
dann öffne zusätzlich zu otl die script.txt
drücke dann strg+a zum markieren, dann strg+c zum kopieren und dann im otl eingabefeld strg+v zum einfügen
txt datei dann schließen
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKLM..\Run: [IjmrHbDDJ3PyrXc] C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe ()

O4 - HKLM..\Run: [iv39od7ft9] C:\Dokumente und Einstellungen\All Users\iv39od7ft9.exe ()

O4 - HKLM..\Run: [Parental Control] C:\Programme\Parental Control\bin\pcontrol.exe (Burr Isolde Wallace ElisabethHelvetica Rowe TimSloane)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Burr Isolde Wallace ElisabethHelvetica Rowe TimSloane)

O4 - HKLM..\Run: [SynAsusAcpi] C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe (Burr Isolde Wallace ElisabethHelvetica Rowe TimSloane)

O4 - HKLM..\Run: [wintask] C:\Program Files\wintask.exe (Burr Isolde Wallace ElisabethHelvetica Rowe TimSloane)

O4 - HKCU..\Run: [Eee Docking] C:\Programme\ASUS\Eee Docking\Eee Docking.exe (Burr Isolde Wallace ElisabethHelvetica Rowe TimSloane)

O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe) -C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe ()

 :Files

C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe

C:\Dokumente und Einstellungen\All Users\iv39od7ft9.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe 

C:\Program Files\wintask.exe

C:\Programme\ASUS\Eee Docking\Eee Docking.exe

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

edit:
bei dir sollte moved files auf dem stick liegen.

Hi,
hat so weit geklappt....allerdings hat mein virenscanner scheinabar die elemente aus _moved files gelöscht :( Schätze es ist nicht möglich die nochmal zu bekommen, oder ?
hier auf jeden fall noch den Inhalt der txt datei.

Zitat:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\IjmrHbDDJ3PyrXc deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\iv39od7ft9 deleted successfully.
C:\Dokumente und Einstellungen\All Users\iv39od7ft9.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Parental Control deleted successfully.
C:\Programme\Parental Control\bin\pcontrol.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched deleted successfully.
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SynAsusAcpi deleted successfully.
C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\wintask deleted successfully.
C:\Program Files\wintask.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Eee Docking deleted successfully.
C:\Programme\ASUS\Eee Docking\Eee Docking.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe deleted successfully.
File \Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe) -C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: Admin
->Flash cache emptied: 3175551 bytes

User: Administrator

User: All Users

User: Default User

User: LocalService

User: NetworkService
->Flash cache emptied: 1234 bytes

Total Flash Files Cleaned = 3,00 mb

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 10633163 bytes
->Temporary Internet Files folder emptied: 40875511 bytes
->Java cache emptied: 7508 bytes
->Flash cache emptied: 0 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 25270928 bytes
->Java cache emptied: 13 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33130126 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 105,00 mb

OTL by OldTimer - Version 3.2.31.0 log created on 01282012_142256

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

1. upload machen wie beschrieben.
2. scanner meldungen posten.

So hab hochgeladen aber wie gesagt sieht für mich so aus als wäre da nur noch nee leere verzeichnissstruktur von übrig....hier was der scanner ausgeworfen hat:

"Q:\_OTL\MovedFiles\01282012_142256\C_Programme\Synaptics\SynTP\SynAsusAcpi.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL\MovedFiles\01282012_142256\C_Programme\Parental Control\bin\pcontrol.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL\MovedFiles\01282012_142256\C_Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL\MovedFiles\01282012_142256\C_Programme\ASUS\Eee Docking\Eee Docking.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL\MovedFiles\01282012_142256\C_Program Files\wintask.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL\MovedFiles\01282012_142256\C_Dokumente und Einstellungen\All Users\iv39od7ft9.exe";"Eventuell durch unbekanntes Virus infiziert: Win32/DH.00000000{00008008-00000001-00000000}";"In Virenquarantäne verschoben"
"Q:\_OTL\MovedFiles\01282012_142256\C_Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe";"Trojaner: Agent3.BBCB.dropper";"In Virenquarantäne verschoben"

"Q:\_OTL.zip:\_OTL\MovedFiles\01282012_142256\C_Programme\Synaptics\SynTP\SynAsusAcpi.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL.zip:\_OTL\MovedFiles\01282012_142256\C_Programme\Parental Control\bin\pcontrol.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL.zip:\_OTL\MovedFiles\01282012_142256\C_Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL.zip:\_OTL\MovedFiles\01282012_142256\C_Programme\ASUS\Eee Docking\Eee Docking.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL.zip:\_OTL\MovedFiles\01282012_142256\C_Program Files\wintask.exe";"Trojaner: Clicker.AUEJ";"In Virenquarantäne verschoben"

"Q:\_OTL.zip:\_OTL\MovedFiles\01282012_142256\C_Dokumente und Einstellungen\All Users\iv39od7ft9.exe";"Eventuell durch unbekanntes Virus infiziert: Win32/DH.00000000{00008008-00000001-00000000}";"In Virenquarantäne verschoben"

"Q:\_OTL.zip:\_OTL\MovedFiles\01282012_142256\C_Dokumente und Einstellungen\Admin\Anwendungsdaten\5suxrt589cxuftg.exe";"Trojaner: Agent3.BBCB.dropper";"In Virenquarantäne verschoben"

"Q:\_OTL.zip";"Trojaner: Agent3.BBCB.dropper";"In Virenquarantäne verschoben"

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

So weit wieder alles geklappt hier die log.txt

deaktiviere mal dein antimalware programm
öffne jetzt mal c: qoobox, rechtsklick auf quarantain, packen und im upload channel hochladen bitte

danke.
nutzt du das system für onlinebanking, einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches?

ist nicht direkt mein netbook sondern das von meiner cousine....würde die frage aber eher mit nein beantworten.

frag sie bitte, das ist wichtig.
außerdem solltest du sie drauf hinweisen das sie verschiedene passwort stealer wie spyeye auf dem gerät hatt.
ein formatieren und absichern wäre das beste.

werd ich machen. gibt es ansonsten noch was zu tun? oder ist der patient bereits geheilt?

du hast schon gelesen was ich geschrieben hab? bei dem befall gibt es keine 100 %ige heilung.
zumal mich einige hinweise auf ein rootkit schließen lassen, zb der befall von einigen programm dateien wie zb unter Synaptics.

Alles klar. Werde das so weiter geben bzw in die wege leiten. Eine frage noch: die _moved elements.zip wollte ich von meinem system hochladen. Dabei hat der virenscanner ja direkt alarm geschlagen und sich der dateien entledigt. Kann ich da sicher sein das er alles erwischt hat oder besteht da jetzt auch eine ernstzunehmende gefahr für mein system?