Trojaner-Board - GEMA-Virus!Abgesicherter Modus funktioniert nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GEMA-Virus!Abgesicherter Modus funktioniert nicht (https://www.trojaner-board.de/108817-gema-virus-abgesicherter-modus-funktioniert.html)

GEMA-Virus!Abgesicherter Modus funktioniert nicht

Hallo,

ich habe mir gestern den GEMA Virus eingefangen. Der Task Manager "wurde vom Administrator deaktiviert", im abgesichterten Modus stoße ich nur auf einen Bildschirm, mit "Es besteht keine Internetverbindung". Habe mir die vorherigen Beiträge durchgelesen, stehe jedoch trotzdem schon am Anfang vor einem Problem.
Was ich bislang nach Beschreibung in diesem Forum getan hab:
1.Download der OTLPENet.exe Datei
2.Downoad von IsoBurner

Nun verstehe ich nicht, wie ich weiter vorgehen soll. Soll ich die OTLPENet.exe Datei mit dem ISO Burner brennen, die CD dann in meinen infizierten Laptop packen und davon booten? Oder muss ich eine ISO Datei auswählen und wenn ja welche?

Danke schon im voraus für jede Antwort!!

Besten Gruß
Patrick

isoburner anleitung:
http://www.trojaner-board.de/83208-b...ei-cd-dvd.html
• Wenn der Download fertig ist mache ein doppel Klick auf die OTLPENet.exe, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html

• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

Danke, in das reatogoxpe bin ich gekommen. doppelklicke ich nun aber auf das otlpe icon, taucht ein fenster auf: "browse for folder".
er zeigt mir die optionen: my computer, ram disk , local disk, reatogope und shared documents an.
schließe ich otlpe, so sehe ich ein fenster, wohl eine fehlermeldung: no windows installations found

wie soll ich weiter vorgehen?

danke im voraus

hi,
öffne mal
my computer
dort sollte der windows ordner zu finden sein, wenn nich mal alle aufklappen und gucken, dann einfach auf den windows ordner klicken und los gehts :-)

Hey,

habe deinen Text eingegeben und den scan begonnen. scheint jedoch nicht zu funktionieren. es kommt die meldung unten im Bild "Manual File Scan - Getting folder structure.. " .. Und es kommt eine Meldung OTLPE "Out of memory."
Was soll ich tun?

versuche es mal ohne mein script.

hier die einzige datei, die ich finden konnte, otl.txt

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

O4 - HKLM..\Run: [WftacQBXWC5kcdU] C:\Users\Patrick\AppData\Roaming\aerhuy5e4u.exe ()

O4 - HKU\Patrick_ON_C..\Run: [WftacQBXWC5kcdU] C:\Users\Patrick\AppData\Roaming\aerhuy5e4u.exe ()

O7 - HKU\Patrick_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1

O7 - HKU\Patrick_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\Patrick_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O20 - HKLM Winlogon: Shell - (C:\Users\Patrick\AppData\Roaming\aerhuy5e4u.exe) - C:\Users\Patrick\AppData\Roaming\aerhuy5e4u.exe ()

O20 - HKU\Patrick_ON_C Winlogon: Shell - (C:\Users\Patrick\AppData\Roaming\aerhuy5e4u.exe) - C:\Users\Patrick\AppData\Roaming\aerhuy5e4u.exe ()

[2012/01/30 14:15:15 | 000,134,144 | ---- | C] (Корпорация Майкрософт) -- C:\Users\Patrick\AppData\Roaming\dwlGina3.dll

[2012/01/30 14:10:19 | 000,569,344 | ---- | M] () -- C:\Users\Patrick\AppData\Roaming\aerhuy5e4u.exe

:Files

C:\Users\Patrick\AppData\Roaming\aerhuy5e4u.exe

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

habe den fix text manuell eingegeben und auf fix geklickt. dann kam eine meldung "needs to reboot" ..und daraufhin habe ich yes geklickt. es ist aber nichts mehr passiert. unten steht processing complete. soll ich den pc jetzt normal hochfahren, ohne von der cd zu booten? bin mir etwas unsicher wegen der reboot meldung, auf die sich nicht wirklich was getan hat...

ja, versuch es mal.
entweder über die cd, oder du musst reset drücken und die cd raus nehmen.

wenn ich die cd rausnehme und den pc neustarte, heißt das, dass ich vorher wieder ins boot menü muss und das cd laufwerk als erstes tauschen muss?
habe das nämlich nicht gemacht, den pc neugestartet, die cd vorher rausgenommen und es tut sich nach der passworteingabe nichts! habe einen schwarzen bildschirm.

ok, kopiere mal folgendes auf nen usb stick

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

stick in den infizierten pc, neustarten, f8 drücken abgesicherter modus mit netzwerk wählen.
tippe dort:
d:\combofix.exe
enter
falls das nicht klappt,
e:\combofix.exe
enter
bbis du das laufwerk hast.
falls ein aktieves antimalware angezeigt wird, mit ok bestätigen, nach beendigung in den normalen modus, falls alles läuft, combofix.txt posten.

so ein mist! habe combofix runtergeladen und auf einen stick gepackt. wenn ich meinen laptop starte und f8 drücke bekomme ich nur folgende auswahlmöglichkeiten: windows normal staren und windos mit starthilfe starten

oben drüber steht : windows fehlerbehebung

ist es egal, dass ich im setup immernoch das cd laufwerk als 1st boot ausgewählt habe?

dankedanke

sollte egal sein.
hmm ist es vllt eine der anderen f-tasten, probiere es mal bitte.

hey,

ich habe das menü gefunden und den laptop mit eingestecktem usb´stick im abgesichterten modus mit netzwertreibern hochgefahren. nachdem ich mich anmelde, kommt nur ein schwarzer bildschirm, in jeder ecke stehe <abgesicherter modus< . wenn ich strg alt entf drücke und den task manager öffnen will, sagt er mir: vom administrator deaktiviert.

was kann ich tun :(