Hallo,

Ich habe das Problem, dass ich keinen Zugriff mehr auf meinen Desktop habe, auch nicht im abgesicherten Modus. Es kommt der Bildschirm der angeblichen Gema mit der Aufforderung 50€ zu zahlen. Ich nutze Win7 64Bit und F-Secure als AntiViren Programm. Über Hilfe würde ich mich sehr freuen.

MfG DerNeue

Probier erstmal bitte SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

So, hier der Inhalt der shell.txt.

Code: Alles auswählenAufklappen

ATTFilter

[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
conhost.exe
ctfmon.exe
WmiPrvSE.exe
svchost.exe
dinotify.exe
srep.exe


HKLM\..\Run [IAStorIcon] = C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
HKLM\..\Run [MessengerPlus3] = "C:\Program Files (x86)\MessengerPlus! 3\MsgPlus.exe"
HKLM\..\Run [QuickTime Task] = "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
HKLM\..\Run [Adobe Photo Downloader] = "C:\Program Files (x86)\Adobe\Photoshop Elements 5.0\apdproxy.exe"
HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\..\Run [F-Secure Manager] = "C:\Program Files (x86)\F-Secure\Common\FSM32.EXE" /splash
HKLM\..\Run [F-Secure TNB] = "C:\Program Files (x86)\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\..\Run [Adobe ARM] = "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\..\Run [SweetIM] = C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe
HKLM\..\Run [WBhXTAWuFpmNyON] = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe

HKCU\..\Run [Pando Media Booster] = C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
HKCU\..\Run [DriverScanner] = "C:\PROGRA~2\Uniblue\DRIVER~1\launcher.exe" delay 20000 
HKCU\..\Run [WBhXTAWuFpmNyON] = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe

HKU\.DEFAULT\..\Winlogon; Shell = 
HKU\S-1-5-19\..\Winlogon; Shell = 
HKU\S-1-5-20\..\Winlogon; Shell = 
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000\..\Winlogon; Shell = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000_Classes\..\Winlogon; Shell = 
HKU\S-1-5-18\..\Winlogon; Shell = 

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000\..\Run [Pando Media Booster] = C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000\..\Run [DriverScanner] = "C:\PROGRA~2\Uniblue\DRIVER~1\launcher.exe" delay 20000 
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000\..\Run [WBhXTAWuFpmNyON] = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe


x64
HKLMx64\..\Winlogon; Shell = explorer.exe [ 2870272- ]
No action taken
HKCUx6464\..\Winlogon; Shell = 
No action taken
HKLMx64\..\Winlogon, Shell = explorer.exe
HKCUx64\..\Winlogon, Shell = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe

==== FINISH 26.12-11.07 ====
         

Wird der Rechner noch blockiert? Wenn müssen wir mal doch mit was anderem ran, sofern der abgesicherte Modus mit Netzwerktreibern nicht geht.

Es funktioniert soweit alles. Wenn ich Windows normal starte habe ich vollen Zugriff inkl. Internetzugriff. Die einzige Einschränkung ist der Desktop, der nicht anklickbar ist (kein Rechtsklickmenu sowie keine Icons, sondern nur das Hintergrundbild ist vorhanden).

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

So, hat ein wenig gedauert, aber hier sind sie. Malwarebytes Scan musste ich aus Zeitgründen zweimal machen.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122605

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

27.12.2011 00:42:09
mbam-log-2011-12-27 (00-42-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Durchsuchte Objekte: 701673
Laufzeit: 1 Stunde(n), 53 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6ScJzIf0-kevt-RkjF-pr7R-UIAZ3ihJ5KXN} (Backdoor.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Arne\downloads\downloadsetup (64).exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
c:\Users\Arne\downloads\downloadsetup (89).exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
c:\Users\Arne\downloads\fastdownload.exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
c:\Users\Arne\downloads\msgplus3-setup.exe (Adware.Agent) -> Quarantined and deleted successfully.
d:\Arne\sonstiges\battlefront 2\battlefront 2\pizza dox\pztrain.exe (Malware.Gen) -> Quarantined and deleted successfully.
d:\Arne\sonstiges\battlefront 2\pizza dox\pztrain.exe (Malware.Gen) -> Quarantined and deleted successfully.
         

Malwarebytes Scan 2

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2011.12.29.02

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Arne :: ARNE-PC [Administrator]

Schutz: Aktiviert

29.12.2011 12:27:00
mbam-log-2011-12-29 (12-27-00).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 1202173
Laufzeit: 3 Stunde(n), 10 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen) -> Daten: C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WBhXTAWuFpmNyON (Trojan.Agent) -> Daten: C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WBhXTAWuFpmNyON (Trojan.Agent) -> Daten: C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|HideIcons (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\asdjhasuhas (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 2
D:\Users\Arne\Documents\ICQ\487948892\ReceivedFiles\491626536 Diamond\keygen.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\asdjhasuhas\BEE2DA713EE06AA (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b5c95b9d5378f145ac74871d37c078cc
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-29 06:44:37
# local_time=2011-12-29 07:44:37 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=2304 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 4095 77576367 0 0
# compatibility_mode=8192 67108863 100 0 3697 3697 0 0
# scanned=1031474
# found=27
# cleaned=0
# scan_time=13581
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\1edd778e-3b18920e	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\3c15550e-3f7d4f4b	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\4681a493-2323ba65	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\3f555a96-23366f69	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\24c74799-4a48c1ef	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\24c74799-7194f30d	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\2bd350a4-1f773201	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\30180ca8-528ae9f0	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\f4e4a9-1989fc26	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\1e715d2e-6fa1388e	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\25422745-58d7e176	a variant of Java/TrojanDownloader.OpenConnection.AQ trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\6cb4d5f9-3d57e08c	Java/Exploit.CVE-2011-3544.L trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\Documents\tool.zip	Win32/Packed.Autoit.C.Gen application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\Downloads\-=Silver-Vision=-.rar	Win32/PSW.Delf.OAY trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\Downloads\reddot.rar	probably a variant of Win32/Agent.ITYYGGJ trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\Downloads\RegistryReviverSetup.exe	a variant of Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\Downloads\tool(1).zip	Win32/Packed.Autoit.C.Gen application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\Downloads\tool(2).zip	Win32/Packed.Autoit.C.Gen application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\Downloads\tool(3).zip	Win32/Packed.Autoit.C.Gen application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\Downloads\tool(4).zip	Win32/Packed.Autoit.C.Gen application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Arne\Downloads\tool.zip	Win32/Packed.Autoit.C.Gen application (unable to clean)	00000000000000000000000000000000	I
D:\Arne\Sicherung\1GB USB\ff06_v39.zip	probably a variant of Win32/Agent.KKJDYNN trojan (unable to clean)	00000000000000000000000000000000	I
D:\Program Files\FlusiFix-2006 V3.9\ProSpeed.dll	probably a variant of Win32/Agent.KKJDYNN trojan (unable to clean)	00000000000000000000000000000000	I
D:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\4996df0c-3d17113a	multiple threats (unable to clean)	00000000000000000000000000000000	I
D:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\6f73dd61-7d124646	multiple threats (unable to clean)	00000000000000000000000000000000	I
D:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\581e1026-2951abf4	multiple threats (unable to clean)	00000000000000000000000000000000	I
D:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\78d5a56a-6c7685f4	OSX/Exploit.Smid.C trojan (unable to clean)	00000000000000000000000000000000	I
         

Zitat:

C:\asdjhasuhas\BEE2DA713EE06AA (Trojan.SpyEyes)

Bei SpyEyes ist eine Bereinigung nicht mehr zu empfehlen.

Zitat:

D:\Users\Arne\Documents\ICQ\487948892\ReceivedFiles\491626536 Diamond\keygen.exe

Ab hier jedoch endet der Support

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!