Hilfe bei OTLPE für unbekannten Trojaner

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

Sunday, April 8th 2012, 8:34am

Hallo liebe Mitglieder des Forums,
ich habe seit paar Tagen einen Trojaner am Rechner, wodurch ich nur noch einen weißen Bildschirm mit dem Schriftzug "Bitte warten, Verbindung wird hergestellt" sehe.
In anderen Beiträgen konnte ich mich schon ein wenig schlau machen, wie ich das Problem löse, komme aber jetzt nicht mehr weiter. Deshalb habe ich mich an euch gewended, vielleicht könnt ihr mir helfen.
Ich habe bereits OTLPE installiert, hier tritt jedoch schon der erste Fehler auf. Als ich das Programm starte und einen Ordner auswählen soll, sagt er mit "target is not windows 2000 or later".
Es geht wenn ich einen Unterverzeichnis nehme, aber hier ist dann mein Problem, welchen Ordner muss ich für den Scan nehmen.
Vielleicht ist es es ganz einfach und ich sehe es nur nicht. Ich habe auch gelesen, dass man eine fix.txt erstellen muss, würde dies auch selbst versuchen, habe jedoch von anderen Beiträgen den Eindruck, dass das meine Fähigkeiten übersteigen wird.
Über Hilfe würde ich mich sehr freuen.

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

2

Sunday, April 8th 2012, 10:01am

Ob es hilft steht in den Sternen....

Moin -- Flo__XXX

Hast Du denn schon ein Datenbackup ?
Das ist in deiner Situation wichtiger als jeder Scan ??

Bitte hier um Rückmeldung ..........

***

1. download OTLPE

http://oldtimer.geekstogo.com/OTLPENet.exe

Der download bringt Dir die

OTLPENET.EXE

die klickst du an .

Was passiert im Hintergrund ? -

Es wird ein Brenn Programm entpackt - und eine sogenannte ISO datei.
Das mitgebrachte Brennprogramm wird aufgerufen - und gestartet - gleichzeitig auch die ISO datei
als vorlage für die CD aufgerufen -

Eine Frage wird gestellt !

"Do YOu want to burn the CD?"

Du klickst auf YES Ja

Nun startet das Brennprogramm

Du legst die CD ein ....
und klickst auf das symbol unten was ich markiert habe mit pfeilen
und die ISO wird fachgercht auf eine CD gebrannt.
dann folge diesen Schritten
http://www.hiren.info/pages/bios-boot-cdrom

Boote nun die CD im kranken Rechner !

• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon. >>
• browse for folder : wähle C:\windows >> klicke ok
•Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.
• OTL sollte nun starten.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• sichere otl.txt auf den stick denn du kommst nach verlassen von Reatogo nicht mehr auf C:\ wegen des Befalls
•- poste den inhalt ins Forum vom 2ten Rechner.

lade die beiden dateien zu
www.file-upload.net
hoch, poste die download links.

Rajo

Telepolis

Go to the top of the page

Flo_XXX

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

3

Sunday, April 8th 2012, 10:15am

Nein, habe noch keinen Backup gemacht. Wie soll ich das in meiner Situation genau machen?

Die anderen Schritte habe ich schon gemacht, werde gleich die otl.txt hochladen.

Go to the top of the page

Flo_XXX

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

4

Sunday, April 8th 2012, 10:33am

Hier die OTL.txt vom Scan

http://www.file-upload.net/download-4253252/OTL.Txt.html

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

5

Sunday, April 8th 2012, 10:42am

Quoted from "Flo_XXX"

Nein, habe noch keinen Backup gemacht. Wie soll ich das in meiner Situation genau machen?

Eigentlich macht man dass ja vorher - jede Woche mal so locker ( vom Hocker)

aber selbst jetzt ist das machbar ! -

Du bootest mit einer Ubuntu Live CD - und machst Backups auf external drive ....
( Die Live CD wird in unserem Fakk Nicht Installiert - !! ) läuft im RAM und Swap !

So nun schau ich aber mal dein OTL an ....

Rajo

Telepolis

Go to the top of the page

Flo_XXX

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

6

Sunday, April 8th 2012, 11:04am

Hab ich bis jetzt noch nicht mal gemacht, lade mir jetzt aber das Programm.

Hoffe du kannst mir trotzdem helfen...

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

7

Sunday, April 8th 2012, 11:28am

Dieser FIX ist nur für FLO !! - andere User bitte NICHT benutzen !

Kopiere folgendes ohne das wort Zitat

Quoted

:OTL
O4 - HKU\asus_ON_C..\Run: [BX6kRBeYBXtpN21] C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe (vGHFK)
O7 - HKU\asus_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\asus_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\asus_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

[2012/03/29 13:45:21 | 000,233,472 | ---- | M] (vGHFK) -- C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKU\asus_ON_C Winlogon: Shell - (C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe) - C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe (vGHFK)
O20 - HKU\asus_ON_C Winlogon: UserInit - (C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe) - C:\Users\asus\AppData\Roaming\y6drxuj c7ti.exe (vGHFK)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:734E442A
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:B88E99C8

:Files
ipconfig /flushdns /c
:Commands
[emptyflash]
[Reboot]

Das obere hier in der zitatbox speicherst du auf einem usb stick als fix.txt
Nun starten wir erneut OTLPENet.exe (starte also von der erstellten CD)
Start OTL
und kopierst den Inhalt in die Textbox von OTL

Klicke ins Bild zu Vergrössern ..... :!:

Klicke nun bitte auf den Fix Button.
pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk,

windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne arbeitsplatz, öffne c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.

Rajo

Telepolis

This post has been edited 4 times, last edit by "Rajo" (Apr 8th 2012, 1:12pm)

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

8

Sunday, April 8th 2012, 11:29am

und bitte nicht gleich bedanken und weglaufen .....

...... hierbleiben und zuhören !!! :thumbsup:

Rajo

Telepolis

Go to the top of the page

Flo_XXX

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

9

Sunday, April 8th 2012, 11:37am

Damit du nicht auf eine Antowrt wartest... Ich muss erstmal weg vom PC. Werde es heute Nachmittag so machen und dir dann Antworten.
Aber schon mal vielen Dank für deine Hilfe.

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

10

Sunday, April 8th 2012, 11:40am

OK !

Telepolis

Go to the top of the page

Flo_XXX

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

11

Sunday, April 8th 2012, 7:32pm

genauso wie vorher

Hallo.
Ich habe die Datei mit dem Namen fix.txt gespeichert und auf den Stick gemacht. Bei OTLPE habe ich auch wieder die C:Windows wie beim anderen Scan genommen...
Hab es bei OTLPE in das Textfeld eingegeben und auf Fix gegangen. es kann die Meldung, ob ich neu starten möchte (habe auf ja geklickt), aber danach ist nichts weiter passiert.
Ich habe danach manuell neu gestartet, aber ich habe immer noch den weißen Bildschirm, also alles wie gehabt.
Meine OTLPE ist ein wenig anders und auf englisch, aber daran wird es nicht liegen oder?
Habe ich mit dem fix evtl. etwas falsch gemacht?

This post has been edited 1 times, last edit by "Flo_XXX" (Apr 8th 2012, 7:53pm)

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

12

Sunday, April 8th 2012, 8:27pm

info bringt das log was OTLl erstellt -

auch möglich das ich was übersah
oder was OTL nicht zeigt
dann Daten Retten - und Neuaufsetzen -

einen Versuch gönnen wir und aber noch
Dann auf ein neues - Neuer scan - mit OTLPE

oft gemachter Fehler ist das
:OTL
am Anfang wegggelassen oder nur
OTL kopiert ... das : vergessen

falls alles richtig war - ein Neuen Scan bitte

Rajo

edit ich guck das log nochmal durch ......

Telepolis

This post has been edited 1 times, last edit by "Rajo" (Apr 8th 2012, 8:30pm)

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

13

Sunday, April 8th 2012, 8:34pm

Upps

ich sehe grade ist alles hidden - dann ist es klar !!

besorge bitte unhide -

INFO KOMMT GLEICH

Telepolis

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

14

Sunday, April 8th 2012, 8:45pm

Jetzt brauch ich erstmal rückmeldung ob das
richtig kopiert wurde -

Dann Ist kommt unhide zur anwendung oder ein script - das entscheide ich noch
der Kamerad ist def. unschädlich ( wenn Du keinen kopierfehler gemacht hast -
er hat aber einiges durcjeinandergebracht - ( ganze ordner Hidden geschrieben . )

Rajo

besorge Dir unhide
Download unhide
lasse es über C:\ laufen -

berichte

wichtig
Mach bitte nichts anderes als die Tool die ich anordne -

Rajo

Telepolis

This post has been edited 2 times, last edit by "Rajo" (Apr 8th 2012, 9:38pm)

Go to the top of the page

Flo_XXX

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

15

Monday, April 9th 2012, 10:09am

Sorry, dass ich jetzt erst antworte, aber ich kann nicht dauerhaft am PC sitzen. :huh:

Richtig kopiert war es. Habe auch nochmal durchlaufen lassen.
unhide habe ich auch versucht, hier der link zum log:

http://www.file-upload.net/download-4255586/unhide.txt.html

Ich habe Windows ohne CD gestartet und habe wieder einiges von meinem gewohnten Desktop.
Meine Symbole fehlen, die rechte Maustaste geht nicht und es ist alles noch ziemlich ruckelig. Aber ich bin jetzt wieder guter Dinge, da ich schon mal wieder ein paar gewohnte Funktionen habe. :thumbsup:

Wie muss ich denn weiter vorgehen?

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

16

Monday, April 9th 2012, 10:16am

Daten sichern - und alles Neu machen wäre

1 das schnellste
2 auch das sicherste

Der Rechner ist also wieder Bootbar - darf ich mal hurz herausstellen -
keine Rede von "alles genauso wie vorher"

Rajo

Telepolis

Go to the top of the page

Flo_XXX

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

17

Monday, April 9th 2012, 10:23am

Was meinst du mit alles neu machen? Kann ich es nicht anders hin bekommen? Ich kann ja wieder normal booten...
Ich besitze nämlich keine Windows-CD.

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

18

Monday, April 9th 2012, 10:32am

Du hast ne recovery Partition und in 45 min Hast Du den Rechner auf Werkszustand -
dann ist er wirklich clean .

**

Daten sichern ist ja ne Aufgabe die auch ohne den Vorfall zu machen ist .

Dein Weg ist zu mühsam - wochenlange Suche und logs - und bietet , ( das ist das Wichtigste! ) letztlich keine Sicherheit - dazwischen wird mal eben dein Bank Konto leer geräumt - und Du findest dann meine Arbeit richtig super und wirst mich mit Dank überhäufen ........

Alles klar :rolleyes:

Rajo

Telepolis

This post has been edited 3 times, last edit by "Rajo" (Apr 9th 2012, 11:41am)

Go to the top of the page

Flo_XXX

Date of registration:
Apr 6th 2012

Version:
Avira Free Antivirus

Operating System:
windows 7

19

Monday, April 9th 2012, 10:41am

Wenn ich das ohne Windows-CD machen kann? :huh:

Wie sichere ich denn die Daten ohne die Erreger mit zu kopieren?
Ich habe das Ubuntu gebrannt, komm aber mit dem Linux nicht zurecht.

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

20

Monday, April 9th 2012, 10:45am

Die Malware wir nicht mit kopiert !
du sicherst nur Daten - >> Texte - Bilder - keine Programme

Du kannst Ubuntu nutzen -
Datenrettung mit ubuntu .....

http://forum.chip.de/viren-trojaner-wuermer/notfall-live-system-datenrettung-webzugang-etc-1453431.html#post8806518

das Wesentliche findest Du hier -
http://forum.chip.de/viren-trojaner-wuer…tc-1453431.html

zum brennen empfehle ich nicht Nero - sondern IMG BURN klein und fein -
und leichter zu bedienen
hier :
http://www.chip.de/downloads/ImgBurn_17759472.html

Rajo

Telepolis

Go to the top of the page

Avira Support Forum