You are not logged in.

Sunday, April 20th 2014, 5:13am

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "Flo_XXX" started this thread

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

  • Send private message

1

Sunday, April 8th 2012, 8:34am

Hilfe bei OTLPE für unbekannten Trojaner

Hallo liebe Mitglieder des Forums,
ich habe seit paar Tagen einen Trojaner am Rechner, wodurch ich nur noch einen weißen Bildschirm mit dem Schriftzug "Bitte warten, Verbindung wird hergestellt" sehe.
In anderen Beiträgen konnte ich mich schon ein wenig schlau machen, wie ich das Problem löse, komme aber jetzt nicht mehr weiter. Deshalb habe ich mich an euch gewended, vielleicht könnt ihr mir helfen.
Ich habe bereits OTLPE installiert, hier tritt jedoch schon der erste Fehler auf. Als ich das Programm starte und einen Ordner auswählen soll, sagt er mit "target is not windows 2000 or later".
Es geht wenn ich einen Unterverzeichnis nehme, aber hier ist dann mein Problem, welchen Ordner muss ich für den Scan nehmen.
Vielleicht ist es es ganz einfach und ich sehe es nur nicht. Ich habe auch gelesen, dass man eine fix.txt erstellen muss, würde dies auch selbst versuchen, habe jedoch von anderen Beiträgen den Eindruck, dass das meine Fähigkeiten übersteigen wird.
Über Hilfe würde ich mich sehr freuen.

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

2

Sunday, April 8th 2012, 10:01am

Ob es hilft steht in den Sternen....

Moin -- Flo__XXX

Hast Du denn schon ein Datenbackup ?
Das ist in deiner Situation wichtiger als jeder Scan ??

Bitte hier um Rückmeldung ..........


***


1. download OTLPE

http://oldtimer.geekstogo.com/OTLPENet.exe

Der download bringt Dir die

OTLPENET.EXE

die klickst du an .

Was passiert im Hintergrund ? -

Es wird ein Brenn Programm entpackt - und eine sogenannte ISO datei.
Das mitgebrachte Brennprogramm wird aufgerufen - und gestartet - gleichzeitig auch die ISO datei
als vorlage für die CD aufgerufen -

Eine Frage wird gestellt !

"Do YOu want to burn the CD?"

Du klickst auf YES Ja

Nun startet das Brennprogramm




Du legst die CD ein ....
und klickst auf das symbol unten was ich markiert habe mit pfeilen
und die ISO wird fachgercht auf eine CD gebrannt.
dann folge diesen Schritten
http://www.hiren.info/pages/bios-boot-cdrom


Boote nun die CD im kranken Rechner !

  • • Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
  • • Mache einen doppel Klick auf das OTLPE Icon. >>
  • • browse for folder : wähle C:\windows >> klicke ok
  • •Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!

  • • Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • • Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • • entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.
  • • OTL sollte nun starten.
  • • Drücke Run Scan um den Scan zu starten.
  • • Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
  • • sichere otl.txt auf den stick denn du kommst nach verlassen von Reatogo nicht mehr auf C:\ wegen des Befalls
  • •- poste den inhalt ins Forum vom 2ten Rechner.


lade die beiden dateien zu
www.file-upload.net
hoch, poste die download links.

Rajo

  • "Flo_XXX" started this thread

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

  • Send private message

3

Sunday, April 8th 2012, 10:15am

Nein, habe noch keinen Backup gemacht. Wie soll ich das in meiner Situation genau machen?

Die anderen Schritte habe ich schon gemacht, werde gleich die otl.txt hochladen.

  • "Flo_XXX" started this thread

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

  • Send private message

4

Sunday, April 8th 2012, 10:33am


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

5

Sunday, April 8th 2012, 10:42am

Nein, habe noch keinen Backup gemacht. Wie soll ich das in meiner Situation genau machen?


Eigentlich macht man dass ja vorher - jede Woche mal so locker ( vom Hocker) :)
aber selbst jetzt ist das machbar ! -

Du bootest mit einer Ubuntu Live CD - und machst Backups auf external drive ....
( Die Live CD wird in unserem Fakk Nicht Installiert - !! ) läuft im RAM und Swap !


So nun schau ich aber mal dein OTL an ....

Rajo

  • "Flo_XXX" started this thread

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

  • Send private message

6

Sunday, April 8th 2012, 11:04am

Hab ich bis jetzt noch nicht mal gemacht, lade mir jetzt aber das Programm.

Hoffe du kannst mir trotzdem helfen...

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

7

Sunday, April 8th 2012, 11:28am

Dieser FIX ist nur für FLO !! - andere User bitte NICHT benutzen !

Kopiere folgendes ohne das wort Zitat


Quoted



:OTL
O4 - HKU\asus_ON_C..\Run: [BX6kRBeYBXtpN21] C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe (vGHFK)
O7 - HKU\asus_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\asus_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\asus_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1



[2012/03/29 13:45:21 | 000,233,472 | ---- | M] (vGHFK) -- C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKU\asus_ON_C Winlogon: Shell - (C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe) - C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe (vGHFK)
O20 - HKU\asus_ON_C Winlogon: UserInit - (C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe) - C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe (vGHFK)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.


@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:734E442A
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:B88E99C8



:Files
ipconfig /flushdns /c
:Commands
[emptyflash]
[Reboot]



Das obere hier in der zitatbox speicherst du auf einem usb stick als fix.txt
Nun starten wir erneut OTLPENet.exe (starte also von der erstellten CD)
Start OTL
und kopierst den Inhalt in die Textbox von OTL

Klicke ins Bild zu Vergrössern ..... :!:



Klicke nun bitte auf den Fix Button.
pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk,

windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne arbeitsplatz, öffne c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.


Rajo

This post has been edited 4 times, last edit by "Rajo" (Apr 8th 2012, 1:12pm)


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

8

Sunday, April 8th 2012, 11:29am

und bitte nicht gleich bedanken und weglaufen ..... ;( 8o

...... hierbleiben und zuhören !!! :thumbsup:

Rajo :)

  • "Flo_XXX" started this thread

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

  • Send private message

9

Sunday, April 8th 2012, 11:37am

Damit du nicht auf eine Antowrt wartest... Ich muss erstmal weg vom PC. Werde es heute Nachmittag so machen und dir dann Antworten.
Aber schon mal vielen Dank für deine Hilfe. :)

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

10

Sunday, April 8th 2012, 11:40am

OK ! :)

  • "Flo_XXX" started this thread

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

  • Send private message

11

Sunday, April 8th 2012, 7:32pm

genauso wie vorher

Hallo.
Ich habe die Datei mit dem Namen fix.txt gespeichert und auf den Stick gemacht. Bei OTLPE habe ich auch wieder die C:Windows wie beim anderen Scan genommen...
Hab es bei OTLPE in das Textfeld eingegeben und auf Fix gegangen. es kann die Meldung, ob ich neu starten möchte (habe auf ja geklickt), aber danach ist nichts weiter passiert.
Ich habe danach manuell neu gestartet, aber ich habe immer noch den weißen Bildschirm, also alles wie gehabt.
Meine OTLPE ist ein wenig anders und auf englisch, aber daran wird es nicht liegen oder?
Habe ich mit dem fix evtl. etwas falsch gemacht? 8|

This post has been edited 1 times, last edit by "Flo_XXX" (Apr 8th 2012, 7:53pm)


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

12

Sunday, April 8th 2012, 8:27pm

info bringt das log was OTLl erstellt -

auch möglich das ich was übersah
oder was OTL nicht zeigt
dann Daten Retten - und Neuaufsetzen -

einen Versuch gönnen wir und aber noch
Dann auf ein neues - Neuer scan - mit OTLPE

oft gemachter Fehler ist das
:OTL
am Anfang wegggelassen oder nur
OTL kopiert ... das : vergessen

falls alles richtig war - ein Neuen Scan bitte

Rajo


edit ich guck das log nochmal durch ......

This post has been edited 1 times, last edit by "Rajo" (Apr 8th 2012, 8:30pm)


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

13

Sunday, April 8th 2012, 8:34pm

Upps

ich sehe grade ist alles hidden - dann ist es klar !!

besorge bitte unhide -

INFO KOMMT GLEICH

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

14

Sunday, April 8th 2012, 8:45pm

Jetzt brauch ich erstmal rückmeldung ob das
richtig kopiert wurde -

Dann Ist kommt unhide zur anwendung oder ein script - das entscheide ich noch
der Kamerad ist def. unschädlich ( wenn Du keinen kopierfehler gemacht hast -
er hat aber einiges durcjeinandergebracht - ( ganze ordner Hidden geschrieben . )


Rajo

besorge Dir unhide
Download unhide
lasse es über C:\ laufen -

berichte

wichtig
Mach bitte nichts anderes als die Tool die ich anordne -

Rajo

This post has been edited 2 times, last edit by "Rajo" (Apr 8th 2012, 9:38pm)


  • "Flo_XXX" started this thread

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

  • Send private message

15

Monday, April 9th 2012, 10:09am

Sorry, dass ich jetzt erst antworte, aber ich kann nicht dauerhaft am PC sitzen. :huh:

Richtig kopiert war es. Habe auch nochmal durchlaufen lassen.
unhide habe ich auch versucht, hier der link zum log:

http://www.file-upload.net/download-4255586/unhide.txt.html

Ich habe Windows ohne CD gestartet und habe wieder einiges von meinem gewohnten Desktop.
Meine Symbole fehlen, die rechte Maustaste geht nicht und es ist alles noch ziemlich ruckelig. Aber ich bin jetzt wieder guter Dinge, da ich schon mal wieder ein paar gewohnte Funktionen habe. :thumbsup:
Wie muss ich denn weiter vorgehen?

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

16

Monday, April 9th 2012, 10:16am

Daten sichern - und alles Neu machen wäre

1 das schnellste
2 auch das sicherste

Der Rechner ist also wieder Bootbar - darf ich mal hurz herausstellen -
keine Rede von "alles genauso wie vorher" :)


Rajo

  • "Flo_XXX" started this thread

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

  • Send private message

17

Monday, April 9th 2012, 10:23am

Was meinst du mit alles neu machen? Kann ich es nicht anders hin bekommen? Ich kann ja wieder normal booten...
Ich besitze nämlich keine Windows-CD. ?(

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

18

Monday, April 9th 2012, 10:32am

Du hast ne recovery Partition und in 45 min Hast Du den Rechner auf Werkszustand -
dann ist er wirklich clean .

**

Daten sichern ist ja ne Aufgabe die auch ohne den Vorfall zu machen ist .

Dein Weg ist zu mühsam - wochenlange Suche und logs - und bietet , ( das ist das Wichtigste! ) letztlich keine Sicherheit - dazwischen wird mal eben dein Bank Konto leer geräumt - und Du findest dann meine Arbeit richtig super und wirst mich mit Dank überhäufen ........

Alles klar :rolleyes:

Rajo :)

This post has been edited 3 times, last edit by "Rajo" (Apr 9th 2012, 11:41am)


  • "Flo_XXX" started this thread

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

  • Send private message

19

Monday, April 9th 2012, 10:41am

Wenn ich das ohne Windows-CD machen kann? :huh:
Wie sichere ich denn die Daten ohne die Erreger mit zu kopieren?
Ich habe das Ubuntu gebrannt, komm aber mit dem Linux nicht zurecht.

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

20

Monday, April 9th 2012, 10:45am

Die Malware wir nicht mit kopiert !
du sicherst nur Daten - >> Texte - Bilder - keine Programme

Du kannst Ubuntu nutzen -
Datenrettung mit ubuntu .....

http://forum.chip.de/viren-trojaner-wuermer/notfall-live-system-datenrettung-webzugang-etc-1453431.html#post8806518



das Wesentliche findest Du hier -
http://forum.chip.de/viren-trojaner-wuer…tc-1453431.html

zum brennen empfehle ich nicht Nero - sondern IMG BURN klein und fein -
und leichter zu bedienen
hier :
http://www.chip.de/downloads/ImgBurn_17759472.html


Rajo