Trojaner-Board - PC gesperrt, Windows XP

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - PC gesperrt, Windows XP (https://www.trojaner-board.de/127996-pc-gesperrt-windows-xp.html)

PC gesperrt, Windows XP

Guten Tag.

Ich war auf Kinox.to und wollte einen Film ansehen, allerdings habe ich keine Ahnung von solchen Seiten und als dort nur noch Download stand, habe ich es wieder geschlossen, damit ich nicht in irgendeinen Mist rein gerate. Jedoch wurde der PC schon langsamer und im naechsten Moment war der Bildschirm weiss, eine Meldung ich sei erwischt worden, solle per Paysafe einhundert Euro überweisen, mein Webcambild war zu sehen, meine IP und der Anbieter, dass man mich leicht über meine IP identifizieren kann, wo ich Paysafecards kaufen kann, dass mein PC nach 48 h komplett gesperrt wird und noch irgendwelche Logos von wegen Bundeszentrale für Informationssichertheit und Technik oder so. Nach ca einer Stunde Heulkrampf nahm ich einen anderen Laptop und habe mal gegooglet. Ich habe zu diesem Problem hier schon mehrere Threads gefunden, allerdings bin ich auf der PC-Ebene ein wirklicher Hirsch und kann mit den ganzen Anweisungen nichts anfangen. Ich habe einen Windows XP Laptop und mein PC reagiert auf nichts als Stecker ziehen oder in das erforderte Feld den Code einzugeben. Also er faehrt eben normal hoch, dann kann ich mein Passwort eingeben oder über das Gastkonto rein. Wenn ich mein Passwort eingebe kommt der Startbildschirm, allerdings öffnen sich MSN, Spotify etc nicht. Nach wenigen Sekunden kommt kurz der Bildschirmschoner und dann diese Seite. Bitte helft mir.

Mit freundlichen Grüssen

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.

Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.

Bitte kein Crossposting (posten in mehreren Foren).

Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.

Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.

Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.

Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.

Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.

Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Scan und Unlock mit SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Drücke nun auf Scan.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Okay, dankeschön erstmal für das Antworten und Helfen (:

Zitat:

WIN_XP X86 Service Pack 3
Running from D:\

HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.

[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
mcmscsvc.exe
cmd.exe
srep.exe

HKLM\..\Run [IgfxTray] = C:\WINDOWS\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\WINDOWS\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\WINDOWS\system32\igfxpers.exe
HKLM\..\Run [RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run [Alcmtr] = ALCMTR.EXE
HKLM\..\Run [SynTPEnh] = C:\Programme\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [ACU] = C:\Programme\Atheros\ACU.exe -nogui
HKLM\..\Run [NDSTray.exe] = NDSTray.exe
HKLM\..\Run [THotkey] = C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
HKLM\..\Run [SmoothView] = C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
HKLM\..\Run [DDWMon] = C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
HKLM\..\Run [mcagent_exe] = "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
HKLM\..\Run [Google EULA Launcher] = C:\Programme\Google\Google EULA\\GoogleEULALauncher.exe IE
HKLM\..\Run [Adobe Reader Speed Launcher] = "c:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM\..\Run [Camera Assistant Software] = "C:\Programme\Camera Assistant Software for Toshiba\traybar.exe" /start
HKLM\..\Run [CFSServ.exe] = CFSServ.exe -NoClient
HKLM\..\Run [QuickTime Task] = "C:\Programme\QuickTime\qttask.exe" -atboottime
HKLM\..\Run [SweetIM] = C:\Programme\SweetIM\Messenger\SweetIM.exe
HKLM\..\Run [Firewall Administrating] = C:\WINDOWS\infocard.exe
HKLM\..\Run [Conime] = %windir%\system32\conime.exe
HKLM\..\Run [EKIJ5000StatusMonitor] = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe

HKCU\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run [msnmsgr] = ~"C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
HKCU\..\Run [Firewall Administrating] = C:\WINDOWS\infocard.exe
HKCU\..\Run [Spotify] = "C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify\Spotify.exe" /uri spotify:autostart
HKCU\..\Run [Spotify Web Helper] = "C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe"

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\Winlogon; Shell =
HKU\S-1-5-21-3383299118-3946163900-2515368864-1006_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\.DEFAULT\..\Run [TOSHIBA Online Product Information] = C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\..\Run [QuickTime Task] = "C:\Programme\QuickTime\qttask.exe" -atboottime
HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\Run [msnmsgr] = ~"C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\Run [Firewall Administrating] = C:\WINDOWS\infocard.exe
HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\Run [Spotify] = "C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify\Spotify.exe" /uri spotify:autostart
HKU\S-1-5-21-3383299118-3946163900-2515368864-1006\..\Run [Spotify Web Helper] = "C:\Dokumente und Einstellungen\alicia\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe"
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-18\..\Run [TOSHIBA Online Product Information] = C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe

==== FINISH 10.12-19.05 ====

Dann los ...

Fix mit SREP

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

C:\WINDOWS\infocard.exe

und speichere es als fix.txt im selben Verzeichnis wie die srep.exe

Starte deinen Rechner bitte erneut in den Abgesicherten Modus mit Eingabeaufforderung.
Schließe deinen USB Stick erneut an den Infizierten Rechner.
Bitte nutze den selben USB Steckplatz wie beim Scan

Gib bitte folgenden Befehl ein
X:\srep.exe
Drücke den Fix Button.

Dein Rechner wird automatisch neu starten.

Berichte bitte, ob Du nun wieder auf den Infizierten Rechner zugreifen kannst.

Noch eine kurze Frage: Der PC hat sich ja von selbst neu gestartet, soll ich ihn wieder neu starten und über diesen gesicherten Modus rein?

Probier bitte ob du dich anmelden kannst, egal wie.

Also über mein Konto komme ich nicht rein, da kommt noch immer diese Meldung.
Beim Gastkonto ging es. Bei dem Befehl X:\srcrep.exe hängt es jetzt allerdings.
Er zeigt mir "Das System kann das angegebene Laufwerk nicht finden"

Ich meinte natürlich srep und screp. Muss ich da vorher in ein anderes Laufwerk`?

du hast dir den laufwerksbuchstaben bestimmt gemerkt

Oh okay.
Also ich habe mich normal über mein Konto angemeldet. Dann kam er Desktop und er hat ziemlich lange erstmal nur Geraeusche gemacht, dann kam ohne die Startprogramme zu laden mein Bildschirmschoner und schliesslich wieder diese Seite.

Du hast den SREP-Fix gemacht wie beschrieben?

Ja. Es hat auch bis zum Neustart alles geklappt.

und du hattest den Scan auch mit dem infizierten Benutzerkonto gemacht?

Ja, bis auf dieses mit dem Notepad schreiben habe ich alles über das gleiche Konto gemacht.

Wie das heißt du kannst du mit einem anderen Konto ganz normal anmelden? Prima, warum sagst du das nicht gleich ...

Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Okay, nur ist das andere Konto lediglich ein Gastkonto, ist das relevant?