Nachdem mein Sohn in unserer Abwesenheit den Wohnzimmer Mediacenter-PC benutzt hat (Motto: Egal was kommt ich klick mal O.K.) öffnete sich nun beim Neustart die Warnung vom BKA/Bundespolizei.
Eine Neuinstalation ist nicht bzw. nur mit sehr sehrt viel Aufwand möglich, da die Treiber-Software der einzelnen Komponenten nicht mehr vorhanden ist und somit ewiges Suchen im Internet bedeutet. Wir nutzen den PC eigentlich auch nur um mal nebenher was bei google nachzuschauen (Ausgenommen natürlich unser Sohn, grrrrrr)

Ein Scan mit der Avira-Notfall CD ergab eine Meldung (Exploit...) aber nach Quarantänestellung/Umbenennung konnte der Rechner trotzdem nicht starten.
Das gleiche Spiel mit der Kaspersky 10 Notfall CD. Wieder Fehlermeldung, aber trotz Löschen kam bei Neustart wieder die Bundespolizei/Ukash Forderung.

Bitte um Hilfe welche Schritte ich als nächstes Tun soll

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

O.K. habe alles wie beschrieben durchgeführt.
Es trat alles so ein wie beschrieben. Erstmal vielen Dank!!!
Nun habe ich wieder Zugriff auf meinen Rechner.

Die shell.text Datei sieht folgendermaßen aus:

Code: Alles auswählenAufklappen

ATTFilter

WIN_XP X86

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\Media Center\Anwendungsdaten\jashla.exe
File C:\Dokumente und Einstellungen\Media Center\Anwendungsdaten\jashla.exe moved to I:\ infected or not found
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run[ehTray] = C:\WINDOWS\ehome\ehtray.exe
HKLM\..\Run[Verknüpfung mit der High Definition Audio-Eigenschaftenseite] = HDAShCut.exe
HKLM\..\Run[VFD_DISPLAY] = C:\WINDOWS\sddetect.exe
HKLM\..\Run[MXOBG] = C:\WINDOWS\MXOALDR.EXE
HKLM\..\Run[igfxtray] = C:\WINDOWS\system32\igfxtray.exe
HKLM\..\Run[igfxhkcmd] = C:\WINDOWS\system32\hkcmd.exe
HKLM\..\Run[igfxpers] = C:\WINDOWS\system32\igfxpers.exe
HKLM\..\Run[RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run[SoundMan] = SOUNDMAN.EXE
HKLM\..\Run[AlcWzrd] = ALCWZRD.EXE
HKLM\..\Run[Alcmtr] = ALCMTR.EXE
HKLM\..\Run[dvd43] = C:\Programme\dvd43\dvd43_tray.exe
HKLM\..\Run[MSC] = "c:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey

HKCU\..\Run[CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run[WMPNSCFG] = C:\Programme\Windows Media Player\WMPNSCFG.exe
HKCU\..\Run[Personal ID] = C:\COOLSP~1\PERSON~1\PID.EXE

HKU\.DEFAULT\Winlogon; Shell = 
HKU\S-1-5-20\Winlogon; Shell = 
HKU\S-1-5-20_Classes\Winlogon; Shell = 
HKU\S-1-5-21-146863646-2488735475-1843380180-1007\Winlogon; Shell = 
HKU\S-1-5-21-146863646-2488735475-1843380180-1007_Classes\Winlogon; Shell = 
HKU\S-1-5-18\Winlogon; Shell =
         

Was soll ich nun als nächstes ausführen? Malwarebytes Anti-Malware ? Oder ein anderes Programm? Eine Grundsätzliche Frage: soll ich bei den folgenden Programmen auffällige Dateien löschen oder nur in Quarantäne verschieben? Ich habe immer die Sorge, dass so ein Schadcode auch aus der Quarantäne wieder herausgelangen könnte, oder denke ich da zu naiv?

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

so habe nun Anti-Malware im Vollscan drüberlaufen lassen. er hat 2 infizierte Dateien gefunden, aber während dem Scan habe ich mehrere male einen Alarm von Microsoft security essentials erhalten. Es waren jedesmal (ca. 3mal) ein Trojaner, der aber von mir bestätigt gelöscht wurde.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7487

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.08.2011 21:48:52
mbam-log-2011-08-17 (21-48-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|)
Durchsuchte Objekte: 280141
Laufzeit: 2 Stunde(n), 32 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{b5aabd65-0e58-4d9f-bc32-7b00bfedb125}\RP238\A0029173.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\media center\eigene dateien\downloads\powerdvd_9\powerdvd 9\power dvd 9\CORE10k.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully.
         

die Meldung bei Microsoft Security essentials war immer Trojan:Win32/Ransom.DU

und zwar bei der ersten Meldung

Code: Alles auswählenAufklappen

ATTFilter

Elemente: 
file:C:\Dokumente und Einstellungen\Media Center\Lokale Einstellungen\Temp\jar_cache2371147123135404784.tmp
file:C:\Dokumente und Einstellungen\Media Center\Lokale Einstellungen\Temp\jar_cache4225292727350377640.tmp
         

bei der zweiten Meldung

Code: Alles auswählenAufklappen

ATTFilter

Elemente: 
file:C:\System Volume Information\_restore{B5AABD65-0E58-4D9F-BC32-7B00BFEDB125}\RP238\A0029173.exe
         

bei der dritten Meldung

Code: Alles auswählenAufklappen

ATTFilter

Elemente: 
file:I:\infected\jashla.exe
filelocalcopy:\\?\c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\LocalCopy\{DFE9508B-5620-4D2A-9F1E-C0016AD13873}-jashla.exe
         

Alle 3 Microsoft Security Essentials-Meldungen kamen während dem Scan mit Anti-Malware. Alle 3 Fälle sind als entfernt markiert/gelöscht.

Auffällig war, dass der Scan mit Malwarebytes Anti-Malware sehr langsam war, jednfalls kam es mir viel langsamer vor, als ich es auf anderen Rechnern (ähnlicher Konfiguration und Leistung) kenne.

Ich habe nun noch keinen Scan mit olt.exe gemacht, soll ich evtl noch einen weiteren Entfernungsscan mit Antimalware oder einem anderen Programm machen?

Zitat:

c:\dokumente und einstellungen\media center\eigene dateien\downloads\powerdvd_9\powerdvd 9\power dvd 9\CORE10k.EXE (Dont.Steal.Our.Software)

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Also bitte, ich versteh die Welt nicht mehr?

CORE10k.EXE ist nach Google Suche eine Schadsoftware, bzw. im unmittelbaren Zusammenhang mit dem Trojaner zu sehen. "Dont Steal our Software" ist ein comment, der automatisch von Anti-Malware angehängt wird und eben nicht garantiert für irgendwelche illegal genutzte Software steht.

Ich habe zu keinem (!!!) Zeitpunkt auf dem System einen Keygenerator oder Crack betrieben. Der Ordner Powerdvd9 indem die Datei gefunden wurde gehört zur Trial-Software von Power-DVD, welche ich vor ca. 1,5 Jahren mal installiert habe um zu sehen, ob der MPEG2-Codec davon besser ist, als der bereits installierte von Intervideos WinDVD. Nach der Trial-Phase habe ich die Software nicht mehr aktiviert, weil der unterschied nicht so groß war.

Ich finde es super nett, dass man hier geholfen bekommt, aber bin traurig, dass man ohne Grund kriminalisiert wird.

Evtl. könnt ihr mir nun ein wenig vorurteilsfreier helfen?

Zitat:

"Dont Steal our Software" ist ein comment, der automatisch von Anti-Malware angehängt wird und eben nicht garantiert für irgendwelche illegal genutzte Software steht.

So ein Unsinn, CORE10k.EXE und ähnliche Dateinamen sind ein Synonym für Cracks/Keygens!

Zitat:

Ich habe zu keinem (!!!) Zeitpunkt auf dem System einen Keygenerator oder Crack betrieben.

Ja, ist klar. Deswegen findet Malwarebytes ja auch sowas weil du nie sowas drauf hattest