Hallo!

Ich sitze an einem fremdem Rechner und vorhin ging auf einmal nix mehr, bis dann die Meldung kam, das Windows sei nicht lizensiert, ich solle innerhalb kurzer Zeit 100 Euro zahlen, sonst werde alles gelöscht.
Ich habe mich hier ein bisschen eingelesen, habe die dds.txt und attach.txt gezippt und hänge sie hier an; kann ich bereits irgendwas mit OTL machen, während sich ein freundlicher und hilfsbereiter Mensch mit den Dateien beschäftigt? Das habe ich nicht so ganz begriffen, die einen hatten da gleich was im ersten Post, die anderen nicht, ich bin mal lieber auf Nummer sicher gegangen.

Vielen Dank schon jetzt für eure Hilfe!!!

hi,
starte mal neu, drücke f8 wähle abgesicherter modus mit netzwerk
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hi Markus,

danke für deine schnelle Antwort! :-)
Habe die beiden Dateien wieder gezippt in den Anhang gepackt.

ist das der scan vom infizierten nutzer? falls nein mit dem anmelden und noch mal ausführen, im abges. modus

Es gibt auf diesem Rechner offenbar nur einen Benutzer (lenje), ich hatte nicht die Möglichkeit irgendwas auszuwählen. Oder hätte ich im OTL irgendwelche Häkchen setzen müssen? Ich hab OTL.exe einfach als Admin ausgeführt, den Text in die Box eingefügt und auf Quick Scan geklickt.

edit: Zusatzinfo, die ich im ersten Beitrag vergessen habe: ich habe, als die Meldung erschien, den Rechner per langem Drücken auf den Ein-/Aus-Schalter ausgeschaltet und dann wieder hochgefahren. Die Meldung ist dann nicht wieder erschienen, allerdings hat mich Windows sofort gefragt, ob ich eine .dll ausführen möchte. Das habe ich verneint. Die Scans habe ich dann alle im abgesicherten Modus gemacht.

hi, versuchen wir erst mal dieses.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

ok, hier ist sie:

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hi, hier das Logfile, obwohl nichts gefunden wurde...:

Zitat:

Malwarebytes Anti-Malware 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.02.03.08

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
lenje :: PETE [Administrator]

03.02.2012 19:42:43
mbam-log-2012-02-03 (19-42-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 427449
Laufzeit: 1 Stunde(n), 6 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ich habe eine kurze Zwischenfrage, für den Fall, dass mir heute keiner mehr auf dem weiteren Weg behilflich sein kann:
wie gefährlich wäre es, den Computer im Normalmodus zu starten, um beispielsweise Mails abzurufen, Dateien zu sichern, bei Facebook Nachrichten zu verschicken usw?

Danke nochmal für die unglaublich schnelle Hilfe! Vielleicht gibts ja morgen dann die endgültige Lösung. :-)

Guten Morgen!
Es wäre toll, wenn jemand noch weitere Lösungsansätze parat hätte, meine Freundin ist zur Zeit ziemlich angewiesen auf ihren Rechner und im Moment ist die Benutzung von allem außer dieser Seite im abgesicherten Modus so ziemlich tabu, wenn ich das richtig sehe?

edit: sorry, ich habe eben erst den Abschnitt "wenn niemand antwortet" gelesen.

hi, wir nähern uns dem ende.
rechner im normalen modus starten.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.15.1643
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

hi, danke für die schnelle Antwort!
Ich war jetzt zum ersten Mal seit gestern im Normalmodus. Es gab diesmal keinerlei Meldung, weder das Fenster mit der Warnung noch wurde ich von Windows nach einer .dll gefragt. Ich geh mal davon aus, dass das über die Sauberkeit des Rechners wenig aussagt? ^^

Hier die Liste:

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Adobe Photoshop
Adobe Shockwave
Amazon
aMule
Apple
Bing
BrettspielWelt
CrissCross
DAEMON
Dell Webcam
DivX Player
Dynomite
EasyBits
Edna
ElsterFormular beide
Google: alle
Java: alle
Download der kostenlosen Java-Software
downloade java jre, instalieren.


deinstaliere:
Live!
Microsoft Office: falls wirklich nicht nötig, alle weg.
Mystery Case: alle
Norton
Opera

Mozilla Thunderbird:
Thunderbird Mail DE
hier das update laden und instalieren.

deinstaliere:
PowerDVD
Skype Toolbars
Speisekarten
TalkAndWrite TalkAndWrite
TES
The Void
WildTangent
Winamp Detector
Windows Live : falls keine dienste verwendet werden, alles weg.

öffne otl, klicke bereinigen, pc startet neu, remover werden gelöscht.
öffne ccleaner, analysieren, bereinigen, neustarten, testen ob pc und programme nach wunsch laufen.
falls dem so ist, sind wir nen gutes stück weiter und müssen den pc dann noch absichern

Hi Markus, es hat alles geklappt, nur bei einigen Programmen zeigte mir CCleaner eine Fehlermeldung an (kann angegebene Datei nicht finden):
- Adobe Photoshop
- Adobe Shockwave
- aMule
- BrettspielWelt

Programme und Rechner scheinen auch zu laufen, wobei der Neustart nach der Bereinigung etwas länger gedauert hat, das erstmalige Öffnen der Programme ebenfalls.
Also weiter mit der Absicherung?