|
Ähm ja, startet Windows jetzt wieder normal von der Festplatte? Ich bin aus der Beschreibung ein wenig verwirrt, denn du schreibst was von einem anderen nicht betroffenen PC! |
Hallo Arne, das liegt daran, dass ich mich derzeit wieder an meinem Arbeitsplatz (Klinik) befinde ;). Also: Der betroffene PC steht daheim, er zeigt nach wie vor den Reatogo-x-pe Bildschirm und hat sich offensichtlich aufgehängt. Er reagiert noch auf die Desctop-Icons, aber nicht mehr auf die Symbole in der Taskleiste. Windows kann also nicht normal gestartet werden. Er hatte sich nach der OTLPE-Bereinigung auch nicht automatisch neu gestartet. Darum hatte ich versucht ihn herunter zu fahren. Zu diesem Zweck hatte ich die CD entfernt (falsch?). Als er sich dann nicht runterfahren ließ, habe ich die CD wieder eingelegt und es noch einmal versucht, wieder ohne Erfolg. Die letzte Aktivität war dann der Versuch, mittels des Desktop-Icons in der Task-Leiste mir den Desktop anzeigen zu lassen. Seitdem steht er wie oben beschrieben. Meine letzte Frage an Dich war, ob ich ihn einfach ausstellen soll (Netzteil abschalten). Dass habe ich mich aber nicht getraut und bin dann ins Bett, weil ich heute früh um 07:30 zur Visite in unserer Klinik sein mußte. Ich bin auch jetzt nur kurz (zwischen zwei Stationen) am PC, bekomme Deine Antworten aber auch via Push-Email auf mein Diensthandy. Um zu schauen, ob Windows wieder normal hochgefahren werden kann müßte ich den Rechner ja erst abstellen. Das könnte ich aber veranlassen, da mein Frauchen daheim ist. Beste Grüße, Rudi |
Zitat:
Du solltest nach dem Fix über OTLPE einfach WIndows normal starten und nicht wieder von der CD booten!! Und ja, wenn er in Reatogo hängt, kannst du ja einfach nur noch resetten. Mich interessiert eigentlich nur ob Windows wieder normal bootet nach dem Fix. |
OK, das mache ich dann nach Dienstschluss lieber selber - wahrscheinlich dann so ab 15:00. Vielen Dank, der Bericht folgt dann postwendend. Beste Grüße, Rudi |
Hallo Arne, ich freue mich Dir mitteilen zu können, dass ich Dir soeben von unserem Rechner aus schreibe. Windows läuft wieder normal. Jetzt stehen wahrscheinlich noch einige Schritte mehr an oder? Beste (und dankbare) Grüße, Rudi |
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL-Custom: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
So, schönen guten Morgen, Malwarebyte hat für seinen Scan auf unserer Kiste gute 11h gebraucht. OTL ging erheblich schneller. Hier als Anhang schon einmal die ersten beiden logs (mbam und Extras) der letzte kommt dann gleich. Gruß, Rudi |
Hier als Zip-Datei (man ist ja lese- und lernfähig ;) )nun auch die otl.txt Ich glaube das die Schädlingsbekämpfung dank Deiner Hilfe sehr erfolgreich verlaufen ist, würde mich aber freuen, wenn Du mir helfen würdest, den PC zukünftig besser abzusichern. Ich hatte mir, da Avira ohnehin in Kürze abläuft und ich ja auch noch meinen neuen Laptop absichern will, die Kaspersky IS 2012 für bis zu drei Rechner gekauft. Ist das in Kombination mit regelmäßiger Systempflege (updates) schon ausreichend? Soll ich diesen Rechner jetzt trotz der erfolgreichen Säuberungsaktion formatieren und wieder neu aufspielen? Was empfiehlst Du? Beste Grüße Rudi |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hallo Arne, bueno, der Rechner ist nicht neu gestartet, der Log sieht folgendermaßen aus: :OTL O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.02.09 21:56:28 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell - "" = AutoRun O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun\command - "" = F:\preinst.exe O33 - MountPoints2\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\Shell\AutoRun\command - "" = F:\direc.exe [2011.07.02 10:36:00 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\docgvtau.sys :Commands [purity] [resethosts] Gruß, Rudi |
Sorry, falsch, hier kommt das richtige: ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found. File F:\preinst.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\ not found. File F:\direc.exe not found. File C:\WINDOWS\System32\drivers\docgvtau.sys not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.25.0 log created on 07032011_210136 Gruß, Rudi |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Hallöchen, der Log ist im Anhang. Es scheint alles gut auszusehen. Kaspersky hat keine Bedrohung/Infektion gefunden. Auch auf die Dokumente in den eigenen Dateien können wir ohne Probleme zugreifen. Dürfen wir das langsam für ein gutes Zeichen halten? :Boogie: Beste Grüße, Rudi |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Moin moin, ok, werde ich so machen, allerdings erst heute abend, da ich wieder im Dienst bin. Danke und Gruß, Rudi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board