Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wo finde ich Markus Post zu OTLPEN.exe? (https://www.trojaner-board.de/100107-finde-markus-post-otlpen-exe.html)

2ventiler 08.06.2011 20:17
Wo finde ich Markus Post zu OTLPEN.exe?
 
Hallo,
vielleicht eine blöde Frage, aber ich suche den oben genannten
Post. Hat jemand einen Link?

MfG Björn

cosinus 09.06.2011 10:20
Meinst du eine Anleitung für OTLPE über USB-Stick oder normal über CD?

2ventiler 10.06.2011 09:20
Hallo Cosinus,

Markus schrieb in so ziemlich allen Beiträgen zu BKA Virus diesen Text:

"dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist."

Also nachdem ich über CD den Rechner gestartet habe.
Suche den von Markus gemeinten Post.

Björn

cosinus 10.06.2011 10:07
Hm meinst du das?


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

2ventiler 10.06.2011 13:27
Hallo Cosinus,

ja, genau das, Danke.

Ich hab auch den BKA Virus aufm Laptop,
hatte den Scan mit OTLpe durchgeführt und war mir über die nächsten
Schritte nicht sicher.

MfG Björn

2ventiler 11.06.2011 11:53
Hallo,

also nochmal hier.
Ich habe den Scan von OTLPEN von meinem Bruder auswerten lassen.
Leider funktionierte die von Ihm erstellte Textdatei nicht.

Im Anhang das Ergebnis des Scan.

MfG Björn

cosinus 11.06.2011 17:20
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKU\ulla_ON_C..\Run: [361WRGcsC]  File not found
O4 - HKU\ulla_ON_C..\Run: [8zaaygLfoOnCQQ]  File not found
O4 - HKU\ulla_ON_C..\Run: [jDt0ucED6Uv]  File not found
O4 - HKU\ulla_ON_C..\Run: [n2GkVAXnRI]  File not found
O4 - HKU\ulla_ON_C..\Run: [ReanSoQr9yl]  File not found
O4 - HKU\ulla_ON_C..\Run: [VtEBhBGvHKFVrdI.exe]  File not found
O4 - HKU\ulla_ON_C..\Run: [vXKIZsv5OZB09]  File not found
O4 - HKU\ulla_ON_C..\Run: [xH3CIGK9G]  File not found
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\ulla\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHETLLFK\setup[1].exe) - C:\Dokumente und Einstellungen\ulla\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHETLLFK\setup[1].exe (Wxpekwgc Nfnsy)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/01/03 20:11:50 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
:Files
C:\Dokumente und Einstellungen\ulla\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHETLLFK\setup[1].exe) - C:\Dokumente und Einstellungen\ulla\Lokale Einstellungen\Temporary Internet Files\Content.IE5
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

2ventiler 11.06.2011 19:36
Hallo Arne,

das hat jetzt endlich geklappt.

Vielen Dank.

MfG Björn

Hier noch das Ergebnis:

========== OTL ==========
Registry value HKEY_USERS\ulla_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\361WRGcsC deleted successfully.
Registry value HKEY_USERS\ulla_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\8zaaygLfoOnCQQ deleted successfully.
Registry value HKEY_USERS\ulla_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\jDt0ucED6Uv deleted successfully.
Registry value HKEY_USERS\ulla_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\n2GkVAXnRI deleted successfully.
Registry value HKEY_USERS\ulla_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\ReanSoQr9yl deleted successfully.
Registry value HKEY_USERS\ulla_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\VtEBhBGvHKFVrdI.exe deleted successfully.
Registry value HKEY_USERS\ulla_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\vXKIZsv5OZB09 deleted successfully.
Registry value HKEY_USERS\ulla_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\xH3CIGK9G deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\ulla\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHETLLFK\setup[1].exe deleted successfully.
C:\Dokumente und Einstellungen\ulla\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHETLLFK\setup[1].exe moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\ulla\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHETLLFK\setup[1].exe) - C:\Dokumente und Einstellungen\ulla\Lokale Einstellungen\Temporary Internet Files\Content.IE5 not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.46.0 log created on 06122011_022223

Files\Folders moved on Reboot...
File\Folder X:\AUTORUN.INF not found!

Registry entries deleted on Reboot...

cosinus 11.06.2011 19:43
Ok. Startet Windows wieder normal?

Wenn ja: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom aus dem normalen Windows-Modus:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

2ventiler 11.06.2011 21:10
Hier dir Logdatei vom Malwarescan.
Das Program hat vier Funde,
gemacht habe ich noch nichts.

Gruß Björn

cosinus 11.06.2011 22:53
Zitat:
-> No action taken.
Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

2ventiler 12.06.2011 13:05
Hallo,
die Funde habe ich gestern noch mit Malwarebytes gelöscht.
Im Anhang noch die letzte Logdatei vom OTL Quick Scan.

Vielen Dank für die Hilfe

MfG Björn

cosinus 13.06.2011 18:51
Wieso denn schon wieder mit OTLPE? Ich wollte eins aus dem normalen Windowsmodus!


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:34 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129