Hallo,
ich hab mir ein tolles Ding eingefangen das sich gema.exe nennt, und letztendlich immer meinen kompletten Desktop sperrt mit der Aufforderung ich solle doch 100 € per Paysafecard bezahlen um den Rechner wieder zu entsperren.

Ich habe nun schon selber versucht die Dateien zu löschen, da Antivir nichts finden konnte (Suche per Rescue System von USB Stick), aber die Dateien kommen immer wieder. Ich entferne sie aus dem Autostart, lösche sie manuell, aber es hilft einfach nichts.

Zuerst poppt immer eine Meldung auf, die unten angehängt habe. Im normalen Desktop kommt dann kurze Zeit später der Sperrbildschirm mit der Zahlungsaufforderung. Im abgesicherten Modus kommt die Meldung ebenfalls, allerdings nicht der gesperrte Bildschirm insofern ich die Meldung nicht versuche wegzuklicken.

Hoffe ihr könnt mir bei der Beseitung des Problems helfen.

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hallo cosinus,
ja der abgesicherte Modus funktioniert, sowohl mit als auch ohne Netzwerktreibern.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hier das Log von Malware Bytes:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.08.05

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
### :: EXTENSA5235 [Administrator]

Schutz: Deaktiviert

08.03.2012 15:00:59
mbam-log-2012-03-08 (15-31-10).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 296391
Laufzeit: 29 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Spyware.Zbot.ES) -> 1296 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema. (Spyware.Zbot.ES) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Spyware.Zbot.ES) -> Daten: C:\WINDOWS\system32\gema.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Spyware.Zbot.ES) -> Daten: C:\Dokumente und Einstellungen\###\Anwendungsdaten\gema\gema.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Ransom.ICL) -> Daten: C:\Dokumente und Einstellungen\###\Anwendungsdaten\gema\gema.exe,Explorer.exe, -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Spyware.Zbot.ES) -> Bösartig: (C:\WINDOWS\system32\gema.exe) Gut: () -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe,C:\WINDOWS\system32\gema.exe,C:\WINDOWS\system32\userinit.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 9
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\gema.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\###\Anwendungsdaten\gema\gema.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\0.8058716880193586.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-839522115-706699826-1417001333-1003\Dc1.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-839522115-706699826-1417001333-1003\Dc2.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-839522115-706699826-1417001333-1003\Dc3.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D433BA3B-44B7-4594-B91B-7DA59A44E1C2}\RP172\A0056085.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D433BA3B-44B7-4594-B91B-7DA59A44E1C2}\RP172\A0057095.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.

(Ende)
         

Die Dateien wurden dann auch soweit gelöscht von MB.

Hier das Log von ESET:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e081096543ec0a4c919fa04c72a3fe97
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-08 04:24:25
# local_time=2012-03-08 05:24:25 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775126 100 93 242590 67760977 153491 0
# compatibility_mode=8192 67108863 100 0 3724 3724 0 0
# scanned=125005
# found=6
# cleaned=0
# scan_time=3348
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Skype\Skype.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\bbitixeovubih.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\cnibnjinmf.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\gbptyodxpyiglsfaogiv.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\pkfypmmnsaizlx.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\ypvahgjbxitemhbi.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
         

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Zitat:

Zitat von cosinus

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Wurden schon gelöscht, nachdem der Scan abgeschlossen wurde.

Dann poste auch das richtige Log!
Die Dateien die ESET gefunden hat bitte auch löschen. Kannst du auch manuell machen