PC gesperrt, Windows XP
 

Guten Tag.

Ich war auf Kinox.to und wollte einen Film ansehen, allerdings habe ich keine Ahnung von solchen Seiten und als dort nur noch Download stand, habe ich es wieder geschlossen, damit ich nicht in irgendeinen Mist rein gerate. Jedoch wurde der PC schon langsamer und im naechsten Moment war der Bildschirm weiss, eine Meldung ich sei erwischt worden, solle per Paysafe einhundert Euro überweisen, mein Webcambild war zu sehen, meine IP und der Anbieter, dass man mich leicht über meine IP identifizieren kann, wo ich Paysafecards kaufen kann, dass mein PC nach 48 h komplett gesperrt wird und noch irgendwelche Logos von wegen Bundeszentrale für Informationssichertheit und Technik oder so. Nach ca einer Stunde Heulkrampf nahm ich einen anderen Laptop und habe mal gegooglet. Ich habe zu diesem Problem hier schon mehrere Threads gefunden, allerdings bin ich auf der PC-Ebene ein wirklicher Hirsch und kann mit den ganzen Anweisungen nichts anfangen. Ich habe einen Windows XP Laptop und mein PC reagiert auf nichts als Stecker ziehen oder in das erforderte Feld den Code einzugeben. Also er faehrt eben normal hoch, dann kann ich mein Passwort eingeben oder über das Gastkonto rein. Wenn ich mein Passwort eingebe kommt der Startbildschirm, allerdings öffnen sich MSN, Spotify etc nicht. Nach wenigen Sekunden kommt kurz der Bildschirmschoner und dann diese Seite. Bitte helft mir.

Mit freundlichen Grüssen

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen: Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast. Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst. Bitte kein Crossposting (posten in mehreren Foren). Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert. Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst. Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten. Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss. Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt. Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM. Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden. Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Scan und Unlock mit SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Okay, dankeschön erstmal für das Antworten und Helfen (:

Dann los ...

Fix mit SREP

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
und speichere es als fix.txt im selben Verzeichnis wie die srep.exe


Starte deinen Rechner bitte erneut in den Abgesicherten Modus mit Eingabeaufforderung.
Schließe deinen USB Stick erneut an den Infizierten Rechner.
Bitte nutze den selben USB Steckplatz wie beim Scan

• Gib bitte folgenden Befehl ein

  X:\srep.exe

• Drücke den Fix Button.

Dein Rechner wird automatisch neu starten.

Berichte bitte, ob Du nun wieder auf den Infizierten Rechner zugreifen kannst.

Noch eine kurze Frage: Der PC hat sich ja von selbst neu gestartet, soll ich ihn wieder neu starten und über diesen gesicherten Modus rein?

Probier bitte ob du dich anmelden kannst, egal wie.

Also über mein Konto komme ich nicht rein, da kommt noch immer diese Meldung.
Beim Gastkonto ging es. Bei dem Befehl X:\srcrep.exe hängt es jetzt allerdings.
Er zeigt mir "Das System kann das angegebene Laufwerk nicht finden"

Ich meinte natürlich srep und screp. Muss ich da vorher in ein anderes Laufwerk`?

du hast dir den laufwerksbuchstaben bestimmt gemerkt

Oh okay.
Also ich habe mich normal über mein Konto angemeldet. Dann kam er Desktop und er hat ziemlich lange erstmal nur Geraeusche gemacht, dann kam ohne die Startprogramme zu laden mein Bildschirmschoner und schliesslich wieder diese Seite.

Du hast den SREP-Fix gemacht wie beschrieben?

Ja. Es hat auch bis zum Neustart alles geklappt.

und du hattest den Scan auch mit dem infizierten Benutzerkonto gemacht?

Ja, bis auf dieses mit dem Notepad schreiben habe ich alles über das gleiche Konto gemacht.

Wie das heißt du kannst du mit einem anderen Konto ganz normal anmelden? Prima, warum sagst du das nicht gleich ...

Scan mit Combofix

Zitat:

WARNUNG: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Okay, nur ist das andere Konto lediglich ein Gastkonto, ist das relevant?

Lass dir doch nicht alles aus der Nase ziehen ...

Meinst du das infizierte Konto oder das auf dem du dich noch anmelden kannst?

Nein, also das infizierte Konto, meins, ist das Administratorkonto.
Und das, worüber ich diesen Text geschrieben habe ist das Gastkonto.
Und der PC an dem ich jetzt bin, ist ein völlig anderer (;
Aber die Schritte bisher habe ich alle über das infizierte Konto gemacht bzw das Runterladen über den zweiten PC

In Ordnung, dann mache bitte nochmal einen Scan mit SREP und poste mir das Logfile

Zitat:

Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor: Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C. Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE]. Setze den Curser zwischen die CODE-Tags und drücke STRG+V. Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten. http://www.trojaner-board.de/picture...&pictureid=307

Okay

Das zeigt deutlich, dass du meinen Fix nicht richtig ausgeführt hast. Bitte SREP- Fix wiederholen.

ich habe Schritt für Schritt wiederholt:

Ich habe am zweiten PC diese fix.txt Datei erstellt und auf den Stick gezogen. Anschliessend den infizierten PC wieder hochgefahren, über das geschützte DIng rein, den Stick angeschlossen und D:\srep.exe eingegeben. nach wenigen Sekunden kam ein Fenster mit Scan oder Fix, ich habe Fix gedrückt und binnen zwei Sekunden hat der PC sich runter und wieder hoch gefahren. Ich habe mich normal eingeloggt und wieder kam dieser Bildschirm..

Achso, dass ich eine SD-Karte und nicht einen USB-Stick genommen habe ist aber nicht schlimm? Der Stick ist einfach unauffindbar und bis auf srep, fix, shell, swreg und infected ist da auch nichts drauf

Also auf der Speicherkarte sind diese Sachen drauf

Na gut, dann haben wir keine andere Wahl...

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Da gaebe es nur ein Problem: Ich habe kein Laufwerk auf dem infizierten Laptop, nur auf dem zweiten. Oder ist das egal?

Wie willst du dann auf dem infizierten Laptop eine CD starten?

So klappt das nicht ...

Also du hast ein Gastkonto auf dem du dich anmelden kannst?

Ich dachte man kann das Programm vielleicht auch auf einem Stick oder so speichern.

Ja habe ich

Das ist prinzipiell möglich, aber die Anleitung funktioniert oft nicht....

Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.

• Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
• Solltest Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere es.
• Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".
  
  
  http://larusso.trojaner-board.de/Images/otlpe.jpg
  
  
  Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken
  
  http://larusso.trojaner-board.de/Images/otlpe2.jpg
  
  Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.
  
  http://larusso.trojaner-board.de/Images/otlpe3.jpg

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens C:\).

• Leere den USB Stick auf den Du OTLPE erstellen willst.
• Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
• Drücke im DOS Fenster eine beliebige Taste.
• Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
  Für Drive Label: gib ein OTLPE.
  Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
  Setze ein Häckchen bei Enable File Copy.
• Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Okay bis zum Download mit eeepcfr.zip ist alles okay, auch wenn es bei mir auf Englisch ist. Nur verstehe ich das mit dem entpacken nach Systemroot nicht, bei Rechtsklick kommt da nur Dateien entpacken, hier entpacken, entpacken nach eepcfr und wieder dieses zip

Okay, nein das habe ich noch hinbekommen, aber ab Navigiere nach C:\eeecpfr und starte usb_prep8.cmd. verstehe ich es nicht mehr. Wohin soll was?

Ich sag ja es ist schwer. Du musst rumprobieren. Eine andere Anleitung gibt es nicht, wenn du da kein CD-Laufwerk hast.

Okay, ich verstehe nur den Wortlaut Navigiere nach nicht. Oder heisst das einfach Ordner öffnen?

Gut, meine Mum kauft mir morgen Vormittag einen neuen USB-Stick und dann kann ich weiter machen. Bis hierhin erstmal vielen lieben Dank (:

na dann :)

Hey
Also es gibt ein Neues Problem. Ich habe das alles installiert, entpackt und auf dem Desktop. Allerdings ist dieses usb_prep8 auf englisch, also habe ich das deutsche auch noch runtergeladen, nur um zu verstehen was die da von mir wollen. Er erkennt den USB-Stick nicht und wenn ich einen Laufwerkbuchstaben zuordnen will, kommt immer eine Fehlermeldung?

ja du musst die prep als admin starten

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hey, entschuldigung, ich habe Klausur geschrieben und hatte keine Zeit.
Und ich bin als Administrator angemeldet.

das muss leider nichts heissen:

SHIFT-Taste halten und rechtsklick auf die prep ... als admin

Okay, wenn ich dann irgendeine Taste drücke, kommt in dem schwarzen Fenster noch mehr Text, das andere wird nicht mehr geöffnet

Bei der dt. Version kommt das schwarze Fenster gar nicht, allerdings findet er da den USB-Stick

Braucht du denn noch weiter Hilfe? Wenn ja, dann überlege ich mir nochmal einen anderen Weg.

Na ich weiss einfach nicht ob es mit dem deutschen auch geht

Was heißt mit dem deutschen?

Weiss ich auch nicht so recht. Bei dem Englischen hat ja ncihts funktioniert, dann bin ich auf die Website von dem Programm und da gab es eine dt Version, die habe ich genommen

Dann probieren wir es mal ganz langsam und Schritt für Schritt:

Schritt 1:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: look.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg

Schritt 2:
Kopiere die Datei auf deinen USB-Stick.

Schritt 3:
Starte den infizierten Rechner abgesichert und mit Eingabeaufforderung.
Finde den Laufwerksbuchstaben deines USB-Sticks wie zuvor.

Schritt 4:
Wechsele auf den USB-Stick (x ist dein Laufwerksbuchstabe):

x: (enter)
look.bat (enter)


Schritt 5:
Die Batch-Datei erzeugt ein Logfile auf dem USB-Stick "look.txt".
Poste mir diese Datei.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

...

Tut mir leid da war leider was falsch an meiner Batch-Datei. Windows XP ist eben schon ein wenig älter :)

Bitte nochmal hiermit:

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Tut mir leid, dass es solange gedauert hat.

Da sieht man auch nix, ich habe jetzt leider nur noch eine Sache, die ich nachsehen könnte. Probier mal diese Batchdatei so wie bisher auch:

Da stand dann in dieser Datei nur start:
Und kann man den Computer nicht irgendwie komplett 'löschen' und die Dateien danach wiederherstellen? Btw: Ich habe den infizierten PC normal hochgefahren. Sonst kam ja erst der normale Desktop, es wurde nichts geladen, dann der Bildschirmschoner und dann der Bildschrim von wegen ich sollte zahlen. Nun habe ich bevor der Schoner kam einfach mal einen Ordner auf dem Bildschirm geöffnet, allerdings war der PC total langsam und hat dann angefangen die Startprogramme, Spotify, MSN etc zu öffnen. Da aber die Lampe neben meiner Webcam dauerhaft leuchtet, ich allerdings kein Programm, dass die Kamera benötigt offen habe, vermute ich mal ganz stark, dass der Virus noch drauf ist? Ich habe jetzt erstmal eine SD-Karte an den infizierten Rechner angeschlossen und die Ordner die mir wichtig sind darauf kopiert, bzw es laeuft noch. Wie soll ich denn jetzt weiter vorgehen?

Achso: Ich habe noch die Internetverbindung deaktiviert

Wie du kommst in den Rechner rein und wir wurscheln hier die ganze Zeit rum?

Dann kopiere dir mal OTL auf deine SD Karte und mache folgendes:

Kontrollscan mit OTL

• Starte bitte OTL.exe - falls noch nicht vorhanden: LINK
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

...

OTL Logfile:
--- --- ---

Also dann sehen wir endlich Licht:


Schritt 1:
Fix mit OTL

Zitat:

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten! Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

---

:OTL
O4 - HKLM..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe File not found
O4 - HKU\S-1-5-21-3383299118-3946163900-2515368864-1006..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe File not found
[2012.12.09 20:20:23 | 000,000,798 | ---- | C] () -- C:\Dokumente und Einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk
[2012.12.09 20:20:14 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2012.10.03 16:55:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Temp



:commands
[Emptytemp]

---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
• Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein! :kaffee:

Schritt 2:
Deinstalliere McAffee Security Scan, Sweet IM


Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 4:
Scan mit Combofix

Zitat:

WARNUNG: Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Das ist das erste

Das Zweite:
Das Dritte:

Combofix Logfile:
--- --- ---

Dann eine Sache noch:

Combofix-Skript

Zitat:

Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  File::
c:\dokumente und einstellungen\alicia\Startmenü\Programme\Autostart\runctf.lnk
SkipFix::

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis: Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Hey.
Da längere Zeit keine Antwort kam und der Pc normal zu laufen schien, bin ich davon ausgegangen, dass das fertig war. Also habe ich mir Microsoft Security Essentials heruntergeladen, da ich kein Virenprogramm mehr hatte. Dieses ht jedoch gleich zwei bzw drei Fünde gemacht und in Quarantäne gestellt:

Soll ich das Programm jetzt wieder löschen und die Schritte von oben befolgen?

Was heißt längere Zeit? Es steht klar da, dass ich bis zu 3 Tage für eine Antwort brauche und du hast in meinen Regeln gelesen, dass du keine Alleingänge durchführen sollst!

Also führe bitte den letzten Schritt durch.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

...

Combofix Logfile:
--- --- ---

Hm da sieht man jetzt noch was seltsames, das muss noch weg und eine Kontrolle hinter her:


Schritt 1:
Combofix-Skript

Zitat:

Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  Driver::
tnewvyzx


File::
c:\windows\system32\drivers\tnewvyzx.sys

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  http://i266.photobucket.com/albums/i.../CFScriptB.gif
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis: Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2:
Scan mit MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hey.
Ich versuche die ganze Zeit nochmal Combofix runterzuladen, er laedt es auch laut den Downloads runter, doch ich finde es nirgends. Weder auf dem Desktop noch in den Downloads.

Lad es dir notfalls nochmal auf einen Stick.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Entschuldigung.
Also ich habe es auf einem Stick gespeichert, dann auf den Desktop kopiert. Die Textdatei mit oben genannten Inhalt und Namen erstellt und ebenfall auf dem Desktop gespeichert. Alsi ich das dann reingezogen habe, hat er angefangen Fenster zu öffnen, dann kam allerdings, dass der Dateiname nicht richtig sei.

Dann frag ich dich ob der Dateiname auch wirklich CFScript.txt war oder was anderes?

Ok hat sich erledigt

Combofix Logfile:
--- --- ---

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

• Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern! :kaffee:

Wenn der Scan beendet wurde

• Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png und dann http://billy-oneal.com/Canned%20Spee...esetExport.png
• Speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen