Trojaner-Board - Pop-up Computer sei gesperrt vom Bundeskriminalamt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pop-up Computer sei gesperrt vom Bundeskriminalamt (https://www.trojaner-board.de/118279-pop-up-computer-sei-gesperrt-bundeskriminalamt.html)

Pop-up Computer sei gesperrt vom Bundeskriminalamt

Hallo,

mich hat dieses Pop-up, das den ganzen Desktop lahm legt, auch erwischt und ich würde es gerne so schnell es geht wieder entfernen.
Es zeigt an, dass ich wohl auf illegalen Seiten war und dass deshalb mein PC gesperrt wurde vom Bundeskriminalamt. Soll nun 2 Codes für je 50 Euro eingeben, um es wieder zu entsperren.
Habe mir die Seite für Hilfesuchende angeschaut und alle Programme wie empfohlen runtergeladen. Da ja jedes Problem individuell sein soll, habe ich keine weiteren Schritte von Themen mit gleichen Problemen gemacht.
Habe lediglich beim Taskmanager die von allen Benutzern laufenden Prozesse nach verdächtigen Sachen durchgeschaut und mir ist der Prozess "BcmSqlStartupScv.exe" aufgefallen, weiß aber nicht, was das ist und konnte den Dateipfad dazu nicht öffen.

Defogger und OTL hab ich schon laufen lassen und bin bereit für den nächsten Schritt.
Ein Hinweis dazu: da mein Hauptbenutzerkonto nicht mehr funzt, benutze ich ein anderes Konto "Für alle!", das eigentlich nie benutzt wird, um diese Programme jetzt zu benutzen. Habe den OTL Scan zusätzlich mit dem Häkchen "Scanne alle Benutzer" laufen lassen und das betroffene Konto heißt "My PC"

Hoffe auf hilfreiche Antworten :) Vielen Dank im Voraus! :)

hi
warum hat dein pc noch keine updates gesehen, die infektion ist kein wunder.

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKU\S-1-5-21-333202232-1557625842-4157140430-1006..\Run: [zadmxysvvnjtqni] C:\ProgramData\zadmxysv.exe ()

[2012.07.01 01:07:15 | 000,000,000 | ---D | C] -- C:\ProgramData\kdvuhcbaqicawoe

[2012.07.01 01:07:16 | 000,000,052 | ---- | M] () -- C:\ProgramData\mtzfecurcsofiyw

[2012.07.01 01:07:12 | 000,061,440 | ---- | M] () -- C:\ProgramData\zadmxysv.exe

[2012.07.01 01:07:12 | 000,061,440 | ---- | M] () -- C:\ProgramData\emwoucwp.exe

[2012.07.01 01:07:12 | 000,061,440 | ---- | M] () -- C:\ProgramData\emwoucwp.exe

 :Files

C:\ProgramData\zadmxysv.exe

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Soll ich das alles in dem nicht betroffenen Benutzerkonto machen oder ist es eigentlich unwichtig, mit welchem Konto ich das mache? Werd es jetzt einfach mal machen, aber falls es doch falsch ist, deshalb frag ich ;)

Hatte noch nie Probleme mit meinem PC. Das ist das erste mal, dass er sich was eingefangen hat...

Danke :)

hi
ist ok so

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Also Combofix hat keinen Neustart gefordert, aber irgendwie ist es auf einmal auf mein Hauptbenutzerkonto gewechselt, was mich gewundert hat. Dann hab ich den PC manuell neugestartet...

öffne bitte computer, c: qoobox
rechtsklick quarantain, mit winrar oder zip packen und im upload channel hochladen.

erledigt, aber mein Antivirenprogramm hat dabei Alarm geschlagen.

danke
malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Es läuft nicht durch. Ganz im Gegenteil, mein PC bleibt immer hängen, so dass nix mehr geht bei, wenn das so seit ca. 1,5 stunden schon sucht :(

Was soll ich machen?

dann erst mal den quick scan ausführen, log posten

Malwarebytes Anti-Malware (Trial) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: v2012.07.02.03

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19088
Für alle! :: UTKU-PC [limited]

Protection: Enabled

03.07.2012 18:41:06
mbam-log-2012-07-03 (18-41-06).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 190701
Time elapsed: 4 minute(s), 56 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_Application (Hijacker.Application) -> Data: File extension redirect -> Delete on reboot.

Registry Data Items Detected: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|Application (Hijacker.Application) -> Bad: (hxxp://www.helpmeopen.com/?n=app&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Delete on reboot.

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

jetzt updaten und vollständigen scan versuchen.

also es läuft gar nicht durch, egal wie ich das mache. mit antiviren programm oder ohne, ohne wlan, ohne überhaupt irgendwas... wie nötig ist das denn noch? malwarebytes hat doch schon beim kurzen scan was gefunden,es sei denn, es waren nicht die richtigen dateien.

starte mal neu, drücke f8 wähle abgesicherter modus und versuche es dort erneut.

sorry, bin jetzt erst wieder da und würde gerne das problem komplett beheben. also das mit f8 und durchlaufen lassen funzt auch nicht :( aber mittlerweile ist meine testversion auch abgelaufen... wann kann ich eigentlich den defogger wieder "re-enablen"?