Trojaner-Board - GEMA - Trojaner ...shell.text bereits erstellt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GEMA - Trojaner ...shell.text bereits erstellt (https://www.trojaner-board.de/106930-gema-trojaner-shell-text-bereits-erstellt.html)

GEMA - Trojaner ...shell.text bereits erstellt

Hallo zusammen.
Ich hab mir heute irgendwie diesen GEMA-Trojaner eingefangen und schonmal die ersten wichtigen Schritte, wie hier beschrieben (EDIT: ich kann wohl keine Links erstellen, darum hier das Thema das ich eigentlich verlinken wolte: http://www.trojaner-board.de/105536-...-laufwerk.html ), befolgt.

Noch zur Info: Ich habe ein Acer-Netbook und nach der erstellung der shell.txt kann ich wieder auf mein Benutzerkonto zugreifen. Allerdings ist der Desctop schwarz und ich sehe keine Icons.

hier nun die shell.txt

WIN_7 X86 Service Pack 1
Running from F:\

Modified HKLM shell extension. Current Shell File = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe
.
.
File C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe moved to F:\\infected or not found
HKCU\..\Winlogon; Shell not found
.

[System Process]
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
conhost.exe
ctfmon.exe
srep.exe

HKLM\..\Run [IAAnotif] = C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
HKLM\..\Run [LManager] = C:\Program Files\Launch Manager\LManager.exe
HKLM\..\Run [SynTPEnh] = %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [IgfxTray] = C:\Windows\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\Windows\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\Windows\system32\igfxpers.exe
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\..\Run [IjmrHbDDJ3PyrXc] = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe

HKCU\..\Run [IjmrHbDDJ3PyrXc] = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe

HKU\.DEFAULT\..\Winlogon; Shell = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-255489488-3253161425-1575784739-1000\..\Winlogon; Shell = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-21-255489488-3253161425-1575784739-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe

HKU\.DEFAULT\..\Run [IjmrHbDDJ3PyrXc] = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-255489488-3253161425-1575784739-1000\..\Run [IjmrHbDDJ3PyrXc] = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-18\..\Run [IjmrHbDDJ3PyrXc] = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe

==== FINISH 26.12-20.21 ====

Ich weiß nicht ob das weiter Hilft, aber ich habe über den Facebook-chat nen link zu "chinamartusa.com" bekommen. Der führte nicht wirklich zu einer Internet-Seite, sondern Google-Chrome hat versucht eine Dateirunter zu laden, was ich aber untersagt habe.
Danach hatte ich schon die ersten Probleme mit Viren. AntiVir meldete sich aufgrund einer Maleware und 2 Viren. Nach einem kompletten Scan mit Antivir und einem Antimalewareprogramm (dass sogar 11 Funde vorweisen konnte) schien erstmal alles sauber.
Später bekam ich jedoch wieder Nachricht von AntiVir über Maleware und 2 Viren (nach AntiVir-Protokoll waren es wohl die selben wie zuvor) UND AntiVir blockte aus Sicherheitsgründen die Host-Datei.
Ich war erstmal ratlos weil ich dachte mein PC wäre sauber, aber bevor ich groß wieder suchen konnte hatte ich dieses Gema-Trojanerproblem.

Könnte das im Zusammenhang stehen? Zwischen den einzelnen Vorkommen vergehen nämlich über 24 Stunden.

Vielen Dank schonmal im Vorraus für die Hilfe.

mfg

Probier mal bitte:

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hi cosinus,
danke für deine schnelle Antwort und das noch am 2. Weihnachtsfeiertag. Ihr seid wirklich klasse :)

Den Vollscan mit Malwarebytes hab ich noch gestern Abend ausgeführt.
Die Vollscans vor dem Trojanerbefall poste ich am besten auch gleich mit.

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 911122601
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 8.0.7601.17514
 

26.12.2011 05:26:35

mbam-log-2011-12-26 (05-26-35).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 285303

Laufzeit: 2 Stunde(n), 46 Minute(n), 40 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 2

Infizierte Dateien: 13
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

c:\program files\relevantknowledge (Spyware.MarketScore) -> Quarantined and deleted successfully.

c:\Users\Tamrin\m-1-25-5432-6437-5685 (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

c:\$Recycle.Bin\s-1-5-21-255489488-3253161425-1575784739-1000\$RPVQYXE.exe (Affiliate.Downloader) -> Quarantined and deleted successfully.

c:\programdata\sectaskman\winmgr.exe.q_quarantine_5f58c00_q (Trojan.MSIL) -> Quarantined and deleted successfully.

c:\Users\Tamrin\AppData\Local\Google\Chrome\user data\Default\Cache\f_00335b (Trojan.MSIL) -> Quarantined and deleted successfully.

c:\Users\Tamrin\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\OCLIRLSK\fa[1].exe (Trojan.MSIL) -> Quarantined and deleted successfully.

c:\Users\Tamrin\AppData\Local\Temp\0.031457084596690166.exe (Trojan.MSIL) -> Quarantined and deleted successfully.

c:\Users\Tamrin\AppData\Local\Temp\2218193.exe (Trojan.MSIL) -> Quarantined and deleted successfully.

c:\Users\Tamrin\AppData\Local\Temp\CSMFCA.tmp (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.

c:\Users\Tamrin\AppData\Local\Temp\4425571.exe (Trojan.MSIL) -> Quarantined and deleted successfully.

c:\Users\Tamrin\AppData\Local\Temp\7624970.exe (Trojan.MSIL) -> Quarantined and deleted successfully.

c:\Users\Tamrin\AppData\LocalLow\Sun\Java\deployment\cache\6.0\57\5c565cf9-27d6991b (Trojan.MSIL) -> Quarantined and deleted successfully.

c:\Users\Tamrin\downloads\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\program files\relevantknowledge\MSVCP71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully.

c:\program files\relevantknowledge\MSVCR71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully.

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 911122601
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 8.0.7601.17514
 

26.12.2011 14:06:32

mbam-log-2011-12-26 (14-06-32).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 283102

Laufzeit: 2 Stunde(n), 55 Minute(n), 11 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 911122605
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 8.0.7601.17514
 

27.12.2011 00:34:45

mbam-log-2011-12-27 (00-34-45).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 283257

Laufzeit: 2 Stunde(n), 4 Minute(n), 18 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 4

Infizierte Dateiobjekte der Registrierung: 3

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{TIXrGaSC-eWNX-NSWd-i9pl-PgdxpRdF4nbF} (Backdoor.Agent) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IjmrHbDDJ3PyrXc (Backdoor.Agent.H) -> Value: IjmrHbDDJ3PyrXc -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Value: IjmrHbDDJ3PyrXc -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Value: IjmrHbDDJ3PyrXc -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\Windows\System32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe (Backdoor.Agent.H) -> Quarantined and deleted successfully.

c:\Windows\Temp\sdpgfc\setup.exe (Backdoor.Agent.H) -> Quarantined and deleted successfully.

Danach war mein Desktop auch nicht mehr schwarz. Die Icons fehlen jedoch immernoch.

Bei der benutzung von ESET Online Scanner tuen sich allerdings nun einige Probleme auf.
Das Erste ist, dass ich die ESET.exe nicht auf meinem Desctop speichern kann, weil dort ja keine Icons zu sehen sind. Ich hab es versucht, aber es ist nicht zu erkennen, dass ein Kopiervorgang statt findet.

Ich habe dann die .exe von einem Windows XP Rechner heruntergeladen und auf einen USB-Stick gespeichert.
Danach wollte ich ESET über den USB-Stick auf meinem infizierten Rechner starten (ist das überhaupt ratsam, oder führt das wieder zu Problemen?) jedoch bin ich nicht weit gekommen, weil mir ESET sagt, dass noch Windows Defender im Hintergrund läuft.

Hier weiß ich wieder nicht wie ich es ausschalten soll.
Als ich nach dem Programm erfolgreich gesucht habe stand dort, dass Windows Defender auf Grund eines Problems angehalten wurde. Also ist es doch schon aus, oder?

Nochmals Danke für die schnelle Hilfe. Ich hoffe ich schreibe verständlich genug für eine Ferndiagnose. Falls nicht, unbedingt zur Ansprache bringen! Ich versuche mich dann zu bessern.

mfg

Zitat:

Hier weiß ich wieder nicht wie ich es ausschalten soll.

Versuch trotzdem ESET einfach scannen zu lassen oder will es nicht wenn der Defender angeblich aktiv ist?

Ok also es scannt trotz Windows Defender im Hintergrund.
Hab es wie gesagt vom USB-Stick aus starten lassen.

Hier der gewüschte Text:

Code:

ESETSmartInstaller@High as downloader log:

Can not open internetESETSmartInstaller@High as downloader log:

Can not open internetESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=81e2b2100558fd40963ed3f4681fedd8

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-12-27 08:11:11

# local_time=2011-12-27 09:11:11 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1792 16777215 100 0 6240104 6240104 0 0

# compatibility_mode=5893 16776574 66 94 186522 76635831 0 0

# compatibility_mode=8192 67108863 100 0 64602 64602 0 0

# scanned=129424

# found=10

# cleaned=0

# scan_time=12032

C:\ABC\Spiele\WoW\sblauncher.exe        probably a variant of Win32/TrojanDownloader.Agent.SVNSNU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Stormblade\zlconf.exe        probably a variant of Win32/TrojanDownloader.Agent.SVNSNU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Tamrin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OCLIRLSK\st[1].exe        a variant of Win32/Kryptik.XZM trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Tamrin\AppData\Local\Temp\jar_cache572285927657068335.tmp        a variant of J2ME/Agent.AA trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Tamrin\AppData\Roaming\toolplugin\toolbar.dll        Win32/Adware.ToolPlugin application (unable to clean)        00000000000000000000000000000000        I

C:\Users\Tamrin\Downloads\sblauncher (1).exe        probably a variant of Win32/TrojanDownloader.Agent.SVNSNU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Tamrin\Downloads\sblauncher.exe        probably a variant of Win32/TrojanDownloader.Agent.SVNSNU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Tamrin\Downloads\SoftonicDownloader_fuer_wowmatrix.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

C:\Windows\Temp\ymoimg\setup.exe        a variant of Win32/Kryptik.YBK trojan (unable to clean)        00000000000000000000000000000000        I

${Memory}        a variant of Win32/Sirefef.DN trojan        00000000000000000000000000000000        I

Ich hoffe das hilft.

mfg

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hi.
Mit OTL gibts es ein kleines Problem. Nach einer Weile hängt sich das Programm bei einem bestimmten Ordner auf.
Ich hab es schon zwei mal probiert und musste dann das Netbook kalt ausschalten, weil nix mehr weiter ging.
Wenn OTL bei dem Dateipfad "C:\ABC\Programme\VLC\locale\pt4\..." angekommen ist scheint es nicht mehr weiter zu arbeiten und, wenn ich dann irgendwas klicke (egal was... auch ins Lehre), steht bei OTL (keine Rückmeldung).
Hab dann immer versucht OTL zu beenden indem ich auf X drücke, aber es passiert einfach nichts oder es ist wirklich ewig langsam.

Ich habe auch drauf geachtet, dass keine Programme neben OTL laufen. Habe auch AntiVir deaktiviert und die Internetverbindung ist für den Zeitraum des Scans auch abgeschaltet.
Ich habe OTL auch als Admin gestartet.

Was soll ich tun? :(

mfg

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Wenn ja probier da nochmal OTL

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Ok also ich bin gerade etwas am verzweifeln, aber eins nach dem anderen.

Zunächst habe ich versucht im abgesicherten Modus OTL scannen zu lassen, aber da hängt es wieder an der gleichen stelle.
Daraufhin habe ich mir gedacht, dass ich den VLC-Player eh nicht brauche und wollte den Ordner einfach löschen. Deinstallation hat auch soweit funktioniert, aber der q4t-Ordner war noch da und ließ sich nicht löschen, da folgende Fehlermeldung kam:

Zitat:

Fehler 0x8007045D: Die Anforderung konnte wegen eines E/A-Gerätefehlers nicht ausgeführt werden.

Daraufhin habe ich mit Sweepi herunter geladen und den Ordner mit gewalt gelöscht. (Bitte verzeiht meine Ungeduld, aber ich konnte mir nicht vorstellen, dass die Dateien noch wichtig seien und hielt das für eine pragmatische Lösung)
Nach dem Löschen des Ordners habe ich OTL wieder gestartet, doch wieder blieb es nach eine Weile hängen und ich sah folgenden Dateipfad:

Zitat:

"C:\ABC\Programme\TIJZCM\FNRSXI\qt4..."

... schonwieder dieser qt4-Ordner?
Was mir jetzt echt angst macht, ist, dass ich diesen \TIJZCM noch nie vorher gesehen hatte und mir sicher bin so einen nie erstellt zu haben.
Ich habe ihn gleich wieder mit Sweepi gelöscht und prompt war einer neuer Ordner in meinem \Programme-Ordner. Wieder nach dem selben Muster von 6 willkührlichen Großbuchstaben

Zitat:

"...\HOPXHI\QP@LYA\qt4..."

.
OTL hängt sich jedes mal an der gleichen stelle auf und ich kann den Ordner nich los werden.
Was genau ist das?

mfg

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Mein infizierter Rechner ist ein Netbook, da kannich nicht von einer CD aus booten :(

mfg

PS: Ich persönlich halte mich nicht für dumm und wäre auch über etwas background sehr dankbar. Ich würde gerne wissen wieso etwas nicht so funktioniert wie es soll, oder was mein Rechner denn überhaupt hat.

Wenn wirklich garnichts mehr geht brauchst du aber eine eine Möglichkeit von einem anderem Laufwerk zu booten.

Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.

Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
Solltest Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere es.
Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".

http://larusso.trojaner-board.de/Images/otlpe.jpg

Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken

http://larusso.trojaner-board.de/Images/otlpe2.jpg

Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.

http://larusso.trojaner-board.de/Images/otlpe3.jpg

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens C:\).

Leere den USB Stick auf den Du OTLPE erstellen willst.
Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
Drücke im DOS Fenster eine beliebige Taste.
Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
Für Drive Label: gib ein OTLPE.
Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
Setze ein Häckchen bei Enable File Copy.
Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Ok ich habe den bootbaren USB-Stick erstellt und im Bootmenü den USB-Stick als ersten Bootdriver ausgewählt.
Wenn dann der Rechner hoch fährt steht da im schwarzen Bildschirm.

Zitat:

Datenträger entfernen.
Neustart: Taste drücken

is für mich zumindest nen zeichen, dass das mit dem vom USB booten schonmal erkannt wurde.
ICh drücke dann immer irgend ne Taste und er fährt ganz normal hoch.
Wann genau erkenne ich, dass er wirklich vom USB-stick gebootet hat?
dieser REATGO desktop erschweint nämlich nicht, nach dem ich mich mit meinem Benutzerkonto angemeldet habe.

mfg

Sry wenn du das nicht hinbekommst gibt es nicht mehr viele Möglichkeiten. Die letzte außer OTLPE von USB-Stick wäre ein Booten von CD wenn du ein externes optisches Laufwerk dran hättest.

Wenn das mit OTLPE nicht klappt wäre das noch eine Option => Kaspersky WindowsUnlocker - Anwendung für die Bekämpfung von Ransomware

Ja aber kann es denn nicht sein, dass ich irgendwas falsch gemacht habe.
Muss ja nicht automtisch heißen, dass es mit dem USB stick nicht geht.
Kann doch nicht euer Ernst sein, dass ich mir extra ein externes Laufwerk kaufen muss. Vor allem .. wo ist denn da der große Unterschied zum USB-stick? Wer garantiert mir, dass es mit dem Laufwerk geht und warum?

Kann doch nicht sein, dass so ein popeliger Trojaner mein komplettes Netbook schrottet. Anfang nächsten Monats gehts mitder Prüfungszeit los und da brauch ich meinen Rechner :(

Ich würd vor allem erstmal wissen was denn mit meinem Rechner nicht in Ordnung ist. Das hat mir immernoch keiner erklärt, obwohl ich schonmal drum gebeten habe. Ich sitz hier und soll ein Programm nach dem anderen voll ahnungslos über meinen Rechner jagen und kann mir kein Stück selber helfen, wenn mal die kleinste Kleinigkeit nicht so funktioniert wie sie soll.
Was bedeutet dieses

Zitat:

Datenträger entfernen.
Neustart: Taste drücken

?
Was genau hab ich eigentlich auf meinen USB-stick gespeichert oder erstellt?

Versteht mich um Himmels willen nicht falsch. Ich bin echt froh, dass es ein Forum wie dieses hier gibt wo einem so schnell geholfen wird. Aber ich fühl mich hier wie als 12 jähriger behandelt.

mfg