Liebes Forum,
wie plötzlich auf meinem Bildschirm alles still stand und der Text von der "Polizei" und der "schweizerischen Eidgenossenschaft" da stand, hab ich mir gleich gedacht, dass da was gar nicht gut ist. Mittlerweile konnte ich mich auf einem anderen Computer informieren und weiss nun, dass ich Opfer eines Trojaners bin. Bloss all die sicher guten Einträge haben mir nichts gebracht, weil das für mich einfach zu kompliziert ist. Da stehen seitenweise irgendwelche Protokolle, von denen ich keine Ahnung hab. Hab es noch nicht mal geschafft, die CD zu brennen, wie das angeraten wird (bei der Arbeit darf ich kein CD Brennprogramm runterladen und mein notebook hat keinen CD brenner).
Es ist mir ohnehin ein Rätsel, wie ich das Programm auf den Desktop bringen sollte, denn mein Computer ist ja gesperrt, da geht überhaupt gar nix mehr (nicht mal alt ctrl del...d.h. ich kann zwar den taskmanger noch starten, aber der verschwindet auch gleich).
gibt es keine Anleitung für wirklich dumme Nutzer wie ich es bin?

Gibt es ...



Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen!

Scan und Unlock mit SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Lieber Ryder,
vielen Dank dass Du mir so schnell hilfst - und besonders, dass Du so schreibst, dass ich auf dieser Seite zur Abwechslung auch was versteh (niemand persönlich nehme...bin halt ein greenhorn)!
ich werde die Sache heut abend ausprobieren und werd mich wenn möglich auch noch zurückmelden. Am Dienstag fahr ich nämlich für einen Monat weg und wär froh, wenn ich einen gesunden Laptop zu Hause lassen würd. Hoffe, es reicht noch für alles - ist eben etwas doof, weil ich nun extra zur Arbeit muss, wenn ich online sein will. Auf jeden Fall schon mal ganz grossen Dank!

Also mit einem Mal ist es aber nicht getan, wir brauchen sicher 4 oder 5 Antworten bis alles weg ist!

Lieber Ryder, liebes Board,
jetzt ist dann bald Montag und Du arbeitest nicht. Ich hab alles so gemacht, wie Du geschrieben hast. Und erst war die Meldung von der "Polizei" mal weg, sobald ich aber internetkabel aber reingemacht hab, war sie dann auch wieder da...hab die Prozedur dann nochmals wiederholt. Das script, das Du gewünscht hast, ist hier:

WIN_VISTA X86
Running from F:\

HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
rundll32.exe
srep.exe
WmiPrvSE.exe


HKLM\..\Run [Windows Defender] = %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\..\Run [IgfxTray] = C:\Windows\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\Windows\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\Windows\system32\igfxpers.exe
HKLM\..\Run [RtHDVCpl] = RtHDVCpl.exe
HKLM\..\Run [HotkeyApp] = "C:\Program Files\Launch Manager\HotkeyApp.exe"
HKLM\..\Run [SynTPStart] = C:\Program Files\Synaptics\SynTP\SynTPStart.exe
HKLM\..\Run [NeroFilterCheck] = C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
HKLM\..\Run [FixCamera] = C:\Windows\FixCamera.exe
HKLM\..\Run [tsnpstd3] = C:\Windows\tsnpstd3.exe
HKLM\..\Run [snpstd3] = C:\Windows\vsnpstd3.exe
HKLM\..\Run [Device Detector] = DevDetect.exe -autorun
HKLM\..\Run [AdobeVersionCue] = C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
HKLM\..\Run [ITSecMng] = %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

HKCU\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKCU\..\Run [MBPlayer] = "C:\Program Files\MB application\MBPlayer.exe"
HKCU\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe
HKCU\..\Run [CTZDetec.exe] = C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe
HKCU\..\Run [wmshsc] = rundll32.exe ",AAuxClose
HKCU\..\Run [] = c:\users\vorname nachname\appdata\local\temp\wlsidten.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Winlogon; Shell =
HKU\S-1-5-21-787734784-2150310400-286059354-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-19\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-20\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [MBPlayer] = "C:\Program Files\MB application\MBPlayer.exe"
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [CTZDetec.exe] = C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [wmshsc] = rundll32.exe ",AAuxClose
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [] = c:\users\vorname nachname\appdata\local\temp\wlsidten.exe

==== FINISH 09.12-22.04 ====
WIN_VISTA X86
Running from F:\

HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
srep.exe


HKLM\..\Run [Windows Defender] = %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\..\Run [IgfxTray] = C:\Windows\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\Windows\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\Windows\system32\igfxpers.exe
HKLM\..\Run [RtHDVCpl] = RtHDVCpl.exe
HKLM\..\Run [HotkeyApp] = "C:\Program Files\Launch Manager\HotkeyApp.exe"
HKLM\..\Run [SynTPStart] = C:\Program Files\Synaptics\SynTP\SynTPStart.exe
HKLM\..\Run [NeroFilterCheck] = C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
HKLM\..\Run [FixCamera] = C:\Windows\FixCamera.exe
HKLM\..\Run [tsnpstd3] = C:\Windows\tsnpstd3.exe
HKLM\..\Run [snpstd3] = C:\Windows\vsnpstd3.exe
HKLM\..\Run [Device Detector] = DevDetect.exe -autorun
HKLM\..\Run [AdobeVersionCue] = C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
HKLM\..\Run [ITSecMng] = %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

HKCU\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKCU\..\Run [MBPlayer] = "C:\Program Files\MB application\MBPlayer.exe"
HKCU\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe
HKCU\..\Run [CTZDetec.exe] = C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe
HKCU\..\Run [wmshsc] = rundll32.exe ",AAuxClose
HKCU\..\Run [] = c:\users\adrian möhl\appdata\local\temp\wlsidten.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Winlogon; Shell =
HKU\S-1-5-21-787734784-2150310400-286059354-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-19\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-20\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [MBPlayer] = "C:\Program Files\MB application\MBPlayer.exe"
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [CTZDetec.exe] = C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [wmshsc] = rundll32.exe ",AAuxClose
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [] = c:\users\adrian möhl\appdata\local\temp\wlsidten.exe

==== FINISH 09.12-22.28 ====
WIN_VISTA X86
Running from F:\

HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
srep.exe


HKLM\..\Run [Windows Defender] = %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\..\Run [IgfxTray] = C:\Windows\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\Windows\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\Windows\system32\igfxpers.exe
HKLM\..\Run [RtHDVCpl] = RtHDVCpl.exe
HKLM\..\Run [HotkeyApp] = "C:\Program Files\Launch Manager\HotkeyApp.exe"
HKLM\..\Run [SynTPStart] = C:\Program Files\Synaptics\SynTP\SynTPStart.exe
HKLM\..\Run [NeroFilterCheck] = C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
HKLM\..\Run [FixCamera] = C:\Windows\FixCamera.exe
HKLM\..\Run [tsnpstd3] = C:\Windows\tsnpstd3.exe
HKLM\..\Run [snpstd3] = C:\Windows\vsnpstd3.exe
HKLM\..\Run [Device Detector] = DevDetect.exe -autorun
HKLM\..\Run [AdobeVersionCue] = C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
HKLM\..\Run [ITSecMng] = %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

HKCU\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKCU\..\Run [MBPlayer] = "C:\Program Files\MB application\MBPlayer.exe"
HKCU\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe
HKCU\..\Run [CTZDetec.exe] = C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe
HKCU\..\Run [wmshsc] = rundll32.exe ",AAuxClose
HKCU\..\Run [] = c:\users\vorname nachname\appdata\local\temp\wlsidten.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Winlogon; Shell =
HKU\S-1-5-21-787734784-2150310400-286059354-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-19\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-20\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [MBPlayer] = "C:\Program Files\MB application\MBPlayer.exe"
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [CTZDetec.exe] = C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [wmshsc] = rundll32.exe ",AAuxClose
HKU\S-1-5-21-787734784-2150310400-286059354-1000\..\Run [] = c:\users\vorname nachname\appdata\local\temp\wlsidten.exe

==== FINISH 09.12-22.41 ====

ist es ok wenn ich avira mal noch über den Computer laufen lasse?
verzeih mir, wenn ich mich nicht grad wieder melde, bin eben ab Dienstag für einen Monat unterwegs und lass den "verseuchten" Computer zurück.
schon mal ganz herzlichen Dank für die Hilfe!!!
lieber gruss,
a.

Avira hilft dir überhaupt nichts. Sonst hättest du diese Infektion doch nicht oder?

Ausserdem: Keine Namen editieren, wenns nicht sein muss!


Schritt 1:
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

c:\users\adrian möhl\appdata\local\temp\wlsidten.exe
         

und speichere es als fix.txt im selben Verzeichnis wie die srep.exe


Starte deinen Rechner bitte erneut in den Abgesicherten Modus mit Eingabeaufforderung.
Schließe deinen USB Stick erneut an den Infizierten Rechner.
Bitte nutze den selben USB Steckplatz wie beim Scan

• Gib bitte folgenden Befehl ein

  X:\srep.exe

• Drücke den Fix Button.

Dein Rechner wird automatisch neu starten.

Berichte bitte, ob Du nun wieder auf den Infizierten Rechner zugreifen kannst.


Schritt 2:
Kontrollscan mit OTL

• Starte bitte OTL.exe - falls noch nicht vorhanden: LINK
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Ok, du bist jetzt weg. Ich lösche jetzt das Abo, schreibe mir eine PM, wenn du zurück bist.

Lieber Ryder,
so, nun bin ich also seit wenigen Stunden zurück und froh, dass ich mich dem Problem annehmen kann. Ich mach nun schon mal alles wie im letzten Post angeben und meld mich dann morgen wieder - heute ist ja eh Dein freier Tag - geniess ihn!

Hallo
ich schreib Dir gleich nochmals...habe gestern abend alles gemäss Deinen Angaben gemacht. Kannst Du mir bitte noch sagen, was ich Dir nun genau posten soll. Ist es das text file oder das otl.txt file und willst Du den ganzen Inhalt von dem (ist relativ eine lange Sache)
mit verschneiten Grüssen

Es steht eigentlich ganz gut lesbar in jeder Anleitung was ich da brauche. Poste es bitte so:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen