Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gema Bildschirm (https://www.trojaner-board.de/106897-gema-bildschirm.html)

DerNeue2 26.12.2011 00:45
Gema Bildschirm
 
Hallo,

Ich habe das Problem, dass ich keinen Zugriff mehr auf meinen Desktop habe, auch nicht im abgesicherten Modus. Es kommt der Bildschirm der angeblichen Gema mit der Aufforderung 50€ zu zahlen. Ich nutze Win7 64Bit und F-Secure als AntiViren Programm. Über Hilfe würde ich mich sehr freuen. :)

MfG DerNeue

cosinus 26.12.2011 01:13
Probier erstmal bitte SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

DerNeue2 26.12.2011 11:19
So, hier der Inhalt der shell.txt.

Code:
[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
conhost.exe
ctfmon.exe
WmiPrvSE.exe
svchost.exe
dinotify.exe
srep.exe


HKLM\..\Run [IAStorIcon] = C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
HKLM\..\Run [MessengerPlus3] = "C:\Program Files (x86)\MessengerPlus! 3\MsgPlus.exe"
HKLM\..\Run [QuickTime Task] = "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
HKLM\..\Run [Adobe Photo Downloader] = "C:\Program Files (x86)\Adobe\Photoshop Elements 5.0\apdproxy.exe"
HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\..\Run [F-Secure Manager] = "C:\Program Files (x86)\F-Secure\Common\FSM32.EXE" /splash
HKLM\..\Run [F-Secure TNB] = "C:\Program Files (x86)\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\..\Run [Adobe ARM] = "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\..\Run [SweetIM] = C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe
HKLM\..\Run [WBhXTAWuFpmNyON] = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe

HKCU\..\Run [Pando Media Booster] = C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
HKCU\..\Run [DriverScanner] = "C:\PROGRA~2\Uniblue\DRIVER~1\launcher.exe" delay 20000
HKCU\..\Run [WBhXTAWuFpmNyON] = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000\..\Winlogon; Shell = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000\..\Run [Pando Media Booster] = C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000\..\Run [DriverScanner] = "C:\PROGRA~2\Uniblue\DRIVER~1\launcher.exe" delay 20000
HKU\S-1-5-21-2338156704-3291759195-1872352319-1000\..\Run [WBhXTAWuFpmNyON] = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe


x64
HKLMx64\..\Winlogon; Shell = explorer.exe [ 2870272- ]
No action taken
HKCUx6464\..\Winlogon; Shell =
No action taken
HKLMx64\..\Winlogon, Shell = explorer.exe
HKCUx64\..\Winlogon, Shell = C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe

==== FINISH 26.12-11.07 ====

cosinus 26.12.2011 18:11
Wird der Rechner noch blockiert? Wenn müssen wir mal doch mit was anderem ran, sofern der abgesicherte Modus mit Netzwerktreibern nicht geht.

DerNeue2 26.12.2011 20:40
Es funktioniert soweit alles. Wenn ich Windows normal starte habe ich vollen Zugriff inkl. Internetzugriff. Die einzige Einschränkung ist der Desktop, der nicht anklickbar ist (kein Rechtsklickmenu sowie keine Icons, sondern nur das Hintergrundbild ist vorhanden).

cosinus 26.12.2011 21:03
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

DerNeue2 29.12.2011 20:40
So, hat ein wenig gedauert, aber hier sind sie. :) Malwarebytes Scan musste ich aus Zeitgründen zweimal machen.

Code:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122605

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

27.12.2011 00:42:09
mbam-log-2011-12-27 (00-42-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Durchsuchte Objekte: 701673
Laufzeit: 1 Stunde(n), 53 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6ScJzIf0-kevt-RkjF-pr7R-UIAZ3ihJ5KXN} (Backdoor.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Arne\downloads\downloadsetup (64).exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
c:\Users\Arne\downloads\downloadsetup (89).exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
c:\Users\Arne\downloads\fastdownload.exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
c:\Users\Arne\downloads\msgplus3-setup.exe (Adware.Agent) -> Quarantined and deleted successfully.
d:\Arne\sonstiges\battlefront 2\battlefront 2\pizza dox\pztrain.exe (Malware.Gen) -> Quarantined and deleted successfully.
d:\Arne\sonstiges\battlefront 2\pizza dox\pztrain.exe (Malware.Gen) -> Quarantined and deleted successfully.
Malwarebytes Scan 2

Code:
Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2011.12.29.02

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Arne :: ARNE-PC [Administrator]

Schutz: Aktiviert

29.12.2011 12:27:00
mbam-log-2011-12-29 (12-27-00).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 1202173
Laufzeit: 3 Stunde(n), 10 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen) -> Daten: C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WBhXTAWuFpmNyON (Trojan.Agent) -> Daten: C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WBhXTAWuFpmNyON (Trojan.Agent) -> Daten: C:\Users\Arne\AppData\Roaming\sbcvvhost_win86.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|HideIcons (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\asdjhasuhas (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 2
D:\Users\Arne\Documents\ICQ\487948892\ReceivedFiles\491626536 Diamond\keygen.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\asdjhasuhas\BEE2DA713EE06AA (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b5c95b9d5378f145ac74871d37c078cc
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-29 06:44:37
# local_time=2011-12-29 07:44:37 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=2304 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 4095 77576367 0 0
# compatibility_mode=8192 67108863 100 0 3697 3697 0 0
# scanned=1031474
# found=27
# cleaned=0
# scan_time=13581
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\1edd778e-3b18920e        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\3c15550e-3f7d4f4b        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\4681a493-2323ba65        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\3f555a96-23366f69        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\24c74799-4a48c1ef        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\24c74799-7194f30d        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\2bd350a4-1f773201        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\30180ca8-528ae9f0        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\f4e4a9-1989fc26        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\1e715d2e-6fa1388e        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\25422745-58d7e176        a variant of Java/TrojanDownloader.OpenConnection.AQ trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\6cb4d5f9-3d57e08c        Java/Exploit.CVE-2011-3544.L trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\Documents\tool.zip        Win32/Packed.Autoit.C.Gen application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\Downloads\-=Silver-Vision=-.rar        Win32/PSW.Delf.OAY trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\Downloads\reddot.rar        probably a variant of Win32/Agent.ITYYGGJ trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\Downloads\RegistryReviverSetup.exe        a variant of Win32/RegistryReviver application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\Downloads\tool(1).zip        Win32/Packed.Autoit.C.Gen application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\Downloads\tool(2).zip        Win32/Packed.Autoit.C.Gen application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\Downloads\tool(3).zip        Win32/Packed.Autoit.C.Gen application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\Downloads\tool(4).zip        Win32/Packed.Autoit.C.Gen application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Arne\Downloads\tool.zip        Win32/Packed.Autoit.C.Gen application (unable to clean)        00000000000000000000000000000000        I
D:\Arne\Sicherung\1GB USB\ff06_v39.zip        probably a variant of Win32/Agent.KKJDYNN trojan (unable to clean)        00000000000000000000000000000000        I
D:\Program Files\FlusiFix-2006 V3.9\ProSpeed.dll        probably a variant of Win32/Agent.KKJDYNN trojan (unable to clean)        00000000000000000000000000000000        I
D:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\4996df0c-3d17113a        multiple threats (unable to clean)        00000000000000000000000000000000        I
D:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\6f73dd61-7d124646        multiple threats (unable to clean)        00000000000000000000000000000000        I
D:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\581e1026-2951abf4        multiple threats (unable to clean)        00000000000000000000000000000000        I
D:\Users\Arne\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\78d5a56a-6c7685f4        OSX/Exploit.Smid.C trojan (unable to clean)        00000000000000000000000000000000        I

cosinus 29.12.2011 23:33
Zitat:
C:\asdjhasuhas\BEE2DA713EE06AA (Trojan.SpyEyes)
Bei SpyEyes ist eine Bereinigung nicht mehr zu empfehlen.

Zitat:
D:\Users\Arne\Documents\ICQ\487948892\ReceivedFiles\491626536 Diamond\keygen.exe
Ab hier jedoch endet der Support :pfui:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131