Hi,

meine Schwester rief mich gestern an und sagte mir, das sie ein komisches Popup nach hochfahren des PCs bekäme, sie solle 110€ an die Bundespolizei überweisen.

Ich habe schon oft von diesem Trojaner gehört, nur habe ich keine Ahnung wie nun vozugehen ist.

Ich habe hier schon einiges im Forum darüber gelesen und man soll, ich hoffe ich habs richtig verstanden, für jeden User einen neuen Thread anlegen, da die Scripte immer für die User unterschiedlich sind.

Nun wüsste ich gern, wie ich vorzugehen habe.

Auf dem Laptop läuft Windows Vista, auf meinem PC Windows XP SP3.

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Also, irgendwas läuft mit dem Programm nicht rund...ich konnte im Abgesichertem Modus mit Eingabeaufforderung starten, die Dialogmeldung der Laufwerke war anders, und zwar: "Das Gerät ist nicht bereit".

Ich hab dann bei g: einfach keine Meldung erhalten, aber auch keine Auflistung der Dateien auf dem Laufwerk, ich hab dann einfach srep.exe eingegeben, woaruf sich ein Fenster öffnete, srep.exe By Larusso mit den Buttons Scan und Fix, drücke ich auf Scan, passiert aber leider nichts .... was nun?
Danke erstmal für die super schnelle Antwort

EDIT: Ok war wohl etwas zu ungeduldig und unwissend :P Das Programm ist im Hintergrund gelaufen und hat, wie gesagt neu gestartet, ich kann auch auf das Konto zugreifen, hier die Textdatei:

WIN_VISTA X86 Service Pack 2
Running from G:\

HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
srep.exe
WmiPrvSE.exe


HKLM\..\Run [Windows Defender] = %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\..\Run [RtHDVCpl] = C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
HKLM\..\Run [ISBMgr.exe] = "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"
HKLM\..\Run [] =
HKLM\..\Run [PAC207_Monitor] = C:\Windows\PixArt\PAC207\Monitor.exe
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [SynTPEnh] = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
HKLM\..\Run [StartCCC] = "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM\..\Run [Skytel] = C:\Program Files\Realtek\Audio\HDA\Skytel.exe
HKLM\..\Run [QuickTime Task] = "C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM\..\Run [PlusService] = C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe
HKLM\..\Run [MarketingTools] = C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
HKLM\..\Run [LogitechQuickCamRibbon] = "C:\Program Files\Labtec\WebCam10\WebCam10.exe" /hide
HKLM\..\Run [LogitechCommunicationsManager] = "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
HKLM\..\Run [Google Desktop Search] = "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
HKLM\..\Run [Browser companion helper] = C:\Program Files\BrowserCompanion\BCHelper.exe /T=3
HKLM\..\Run [BMISR] = C:\Program Files\KYE\WebMate\BM.exe
HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\..\Run [DivXUpdate] = "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

HKCU\..\Run [NSUFloatingUI] = "C:\Program Files\Sony\Network Utility\LANUtil.exe"
HKCU\..\Run [WMPNSCFG] = C:\Program Files\Windows Media Player\WMPNSCFG.exe
HKCU\..\Run [Linkury Chrome Smartbar] = C:\Program Files\Linkury\Linkury.exe startup
HKCU\..\Run [Sony Ericsson PC Companion] = "C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /systray /nologon
HKCU\..\Run [msnmsgr] = "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
HKCU\..\Run [ICQ] = "C:\Program Files\ICQ7.1\ICQ.exe" silent loginmode=4
HKCU\..\Run [vasja] = C:\Users\Ramona\AppData\Local\Temp\upd.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-3010530086-2772525806-2566683182-1001\..\Winlogon; Shell =
HKU\S-1-5-21-3010530086-2772525806-2566683182-1001_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-19\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-20\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-3010530086-2772525806-2566683182-1001\..\Run [NSUFloatingUI] = "C:\Program Files\Sony\Network Utility\LANUtil.exe"
HKU\S-1-5-21-3010530086-2772525806-2566683182-1001\..\Run [WMPNSCFG] = C:\Program Files\Windows Media Player\WMPNSCFG.exe
HKU\S-1-5-21-3010530086-2772525806-2566683182-1001\..\Run [Linkury Chrome Smartbar] = C:\Program Files\Linkury\Linkury.exe startup
HKU\S-1-5-21-3010530086-2772525806-2566683182-1001\..\Run [Sony Ericsson PC Companion] = "C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /systray /nologon
HKU\S-1-5-21-3010530086-2772525806-2566683182-1001\..\Run [msnmsgr] = "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
HKU\S-1-5-21-3010530086-2772525806-2566683182-1001\..\Run [ICQ] = "C:\Program Files\ICQ7.1\ICQ.exe" silent loginmode=4
HKU\S-1-5-21-3010530086-2772525806-2566683182-1001\..\Run [vasja] = C:\Users\Ramona\AppData\Local\Temp\upd.exe

==== FINISH 20.11-14.21 ====

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hab leider heute nichtmehr so die Zeit dafür das zu machen, werds morgen in Angriff nehmen, ich hoffe ich kann weiter auf deinen Support zählen, danke nochmals