Trojaner-Board - HARTNÄCKIGER 50 Euro Virus / GEMA Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HARTNÄCKIGER 50 Euro Virus / GEMA Virus (https://www.trojaner-board.de/107768-hartnaeckiger-50-euro-virus-gema-virus.html)

kai.uwe.ebel

08.01.2012 13:17

HARTNÄCKIGER 50 Euro Virus / GEMA Virus

Hi Leute,
bin neu hier, hatte bisher noch nie Virenprobleme. (ACER Aspire/Vista/AviraAntivir aktuellste version, immer auf dem neusten stand)
Folgendes ist gestern passiert, ich war auf der Suche nach einem Wiederherstellungsprogramm meiner externen Festplatte als plötzlich das bekannte Fenster mit der aufforderung der zahlung aufging! Aus reflex hab ich den rechner sofort ausgeschaltet! Als ich ihn dann wieder hochfahren wollte hat sich nichts getan, windows fährt zwar hoch, allerdings hab ich dann nur noch einen schwarzen bildschirm.
Bin dann mit meinem netbook ins internet und habe sofort alle foren durchsucht, und bin natürlich auch auf anleitungen gestossen.
PROBLEM BEI MEINEM FALL: ist aber, dass ich überhaupt keinen einfluss mehr auf meinen rechner habe, wenn ich nach dem hochfahren STRG+ALT+ENTF drücke kann ich zwar den taskmanager anwählen, allerdings kommt dann die meldung, dass ich keine admin rechte habe...
wenn ich versuche im abgesicherten modus zu starten, kommt nur ein weisser bildschirm mit dem hinweis: Keine verbindung zum internet
auch sämtliche versuche den pc auf einen früheren funktionierenden prunkt zurück zu setzen werden mit einer fehlermeldung unterbunden!!!

Meine frage, gibt es ein empfehlenswertes "antiviren bootprogramm" speziell für diesen virus???
Oder irgendeine möglichkeit, dass ich wieder auf meinen Taskmanager komm??? dann könnte ich ja den anderen anleitungen folgen??!!

Hoffe mir kann hier geholfen werden, bin wirklich Ratlos....:wtf:
Gruss und Danke

PS: OTL.exe kann natürlich auch nicht ausgeführt werden, da ich ja keinen zugriff mehr auf desktop oder windows
habe

cosinus

09.01.2012 12:42

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

kai.uwe.ebel

09.01.2012 13:20

Leider nicht! Funktioniert in keinem der drei möglichen Abgesicherten modis!

cosinus

09.01.2012 14:18

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

kai.uwe.ebel

09.01.2012 21:46

Hi,
erstmal vielen dank für die antworten!
Hab den letzten beitrag leider zu spät gelesen und heut mittag von der kaspersky resc. 10 cd gebootet
und siehe da er hat !6! Viren gefunden und konnte sie löschen o. quarantäne verschieben!
Komm jetzt immerhin wieder auf meinen desktop, sieht auch so aus als wäre der Virus gelöscht oder zumindest im moment nicht aktiv!
Jetzt hab ich aber gleich das nächste Problem:
Als windows wieder gestartet ist, kam eine fehlermeldung dass meine Festplatte beschädigt ist...
ich habe auch keine desktop icons mehr...
Wenn ich die Festplatte defragmentieren will kommt folgende fehlermeldung: "Exception EExternalException in module libecef.dll at 002ADD60 Externe Exception 80000003."
Auch wiederherstellen ist nicht möglich... genauso wie datenträgerprüfung!!! (Datenträgerprüfung kann nicht durchgeführt werden, da externer zugriff nicht möglich - so in der art)
Hat das jetzt noch was mit dem Virus zu tun???
Oder ist meine Festplatte vom vielen "einfach abschalten" beschädigt???
Was kann ich tun???
Gibts ein programm welches die platten wieder funktionstüchtig bekommt???

Vielen Dank

cosinus

09.01.2012 22:45

Wenn du nicht posten kannst was genau da entfernt wurde kann man nicht mehr wirklich weiterhelfen es sei denn ich hätte eine funktionierende :glaskugel:
Oft genug werden von solchen Rettungs-CDs auch wichtige legitime Systemdateien gelöscht. War das bei dir auch der Fall ist dein System wohl hinüber.

Hast du das Log von der Rettungs-CD noch?

Zitat:

Wenn ich die Festplatte defragmentieren

Hast du keine anderen Sorgen als JETZT (!) die Platte zu defragmentieren! Dein System ist einem völlig undefinierten Zustand und wahrscheinlich noch voll mit Schädlingen, aber du willst erstmal die PLatte defragmentieren? :wtf:

Ohne das Log der Rettungs-CD wird das hier wohl nichts...

kai.uwe.ebel

10.01.2012 11:18

ich dachte es wäre sinnvoll die platte JETZT (!) zu defragmentieren nachdem die ganze zeit fehlermeldungen aufgehen in denen gesagt dass meine festplatte fragmentiert und nicht lesbar ist!!!!!!!!!!
keine ahnung was eine log file ist, geschweige denn wo ich sie finde!

cosinus

10.01.2012 11:35

Wenn du das Log der Live-CD nicht gesichert hast wird es weg sein :stirn:

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

kai.uwe.ebel

10.01.2012 13:18

so hier mal der log von maleware!

Code:

Malwarebytes Anti-Malware (Test) 1.60.0.1800

www.malwarebytes.org
 

Datenbank Version: v2012.01.10.03
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 7.0.6002.18005

****************** :: SUPERCOMPUTER [Administrator]
 

Schutz: Aktiviert
 

10.01.2012 11:33:43

mbam-log-2012-01-10 (11-33-43).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 367496

Laufzeit: 1 Stunde(n), 29 Minute(n), 2 Sekunde(n)
 

Infizierte Speicherprozesse: 1

C:\Windows\Temp\pkgmal\setup.exe (Trojan.Ransom) -> 5900 -> Löschen bei Neustart.
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 3

HKLM\SYSTEM\CurrentControlSet\Services\AMService (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{TIXrGaSC-eWNX-NSWd-i9pl-PgdxpRdF4nbF} (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\MediaHoldings (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Daten: C:\Users\Kai Uwe Müller\AppData\Roaming\5suxrt589cxuftg.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Daten: C:\Users\Kai Uwe Müller\AppData\Roaming\5suxrt589cxuftg.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 3

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Windows\Temp\pkgmal\setup.exe (Trojan.Ransom) -> Löschen bei Neustart.
 

(Ende)

nachdem maleware durch war, hab ich den rechner neu gestartet - und siehe da es sind immerhin alle desktop symbole wieder da!!! werd jetzt den ESET-Scan durchführen....
log folgt...
DANKE

kai.uwe.ebel

10.01.2012 17:19

so hier nun der eset log

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=7500d11321e8d94281c8ad8d3392faf4

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-10 03:58:02

# local_time=2012-01-10 04:58:02 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1031

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=1797 16775165 100 94 703145 62732000 382557 0

# compatibility_mode=5892 16776574 66 100 0 163731507 0 0

# compatibility_mode=8192 67108863 100 0 3819 3819 0 0

# scanned=305798

# found=3

# cleaned=0

# scan_time=12302

C:\Users\Kai Uwe Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\58c10e3f-3e06ee00        Java/TrojanDownloader.OpenConnection.AP Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I

C:\Windows\System32\drivers\Uim_IM.sys        Variante von Win32/Rootkit.Kryptik.HD Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I

${Memory}        Variante von Win32/Sirefef.DN Trojaner        00000000000000000000000000000000        I

anbei noch die viren, die gefunden wurden

Code:

C:\Users\Kai Uwe Müller\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\58c10e3f-3e06ee00        Java/TrojanDownloader.OpenConnection.AP Trojaner

C:\Windows\System32\drivers\Uim_IM.sys        Variante von Win32/Rootkit.Kryptik.HD Trojaner

Arbeitsspeicher        Variante von Win32/Sirefef.DN Trojaner

warum soll ich die Viren nicht mit ESET entfernen???
Gruss

cosinus

10.01.2012 19:36

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Alle Zeitangaben in WEZ +1. Es ist jetzt 05:12 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19