| |
| |||||||
Log-Analyse und Auswertung: Trojaner, "Achtung Ihr Windows wurde aus Sicherheitsgründen gesperrt"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.03.2012, 12:34
| #1 |
| |  Trojaner, "Achtung Ihr Windows wurde aus Sicherheitsgründen gesperrt" Hallo, habe mir den Trojaner eingefangen, der eine Warnnachricht anzeigt: "Achtung Ihr Windows wurde aus Sicherheitsgründen gesperrt! Bezahlen und runterladen, usw." Im "normalen Windowsmodus" kann ich auf nichts zugreifen, die o.g. Nachricht spielt sich sofort vor und blockiert alles. Habe den "Bezahlen-Button" nicht angeklickt. Habe Windows XP Professional auf dem PC. Zur Zeit kann ich im "gesicherten Modus mit Netzwerktreibern" arbeiten. Ich habe die dds und attach (siehe Anhang) logfiles parat, allerdings hatte ich Probleme mit Gmer. (ich habe ein 32 bit System) Der Scan wurde durchgeführt und als ich dann "Save" drückte kam folgende Nachricht: "Text was copied to the clipboard. Paste the output into your favorite editor (ie Notepad) useing Ctrl + V-Keys." Ich weiss nicht wo die Datei jetzt abgespeichert ist, weiss nicht was mit clipboard gemeint ist und ich weiss nicht wie ich einen Pfad so zuweisen kann, dass ich die Datei da abspeichern kann wo ich möchte... Ich muss dazu sagen, dass ich herzlich wenig Ahnung von diesen Dingen habe... ich bitte um Nachsicht und bedanke mich im Voraus für Ihre Hilfe. Hier das dds logfile: . DDS (Ver_2011-08-26.01) - NTFSx86 NETWORK Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_13 Run by Michael at 11:58:36 on 2012-03-11 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.686 [GMT 1:00] . AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E5358-FFA4-00FD-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E5358-FFA4-00DB-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E5358-FFA4-00EC-0D24-347CA8A3377C} . ============== Running Processes =============== . C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe C:\WINDOWS\system32\svchost.exe -k netsvcs svchost.exe svchost.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Firefox\plugin-container.exe . ============== Pseudo HJT Report =============== . uStart Page = about:blank uSearch Page = about:blank uWindow Title = Microsoft Internet Explorer uSearch Bar = mDefault_Page_URL = about:blank mDefault_Search_URL = about:blank mSearch Page = about:blank mStart Page = about:blank mWindow Title = Microsoft Internet Explorer mSearchAssistant = hxxp://start.facemoods.com/?a=ironto&s={searchTerms}&f=4 uURLSearchHooks: H - No File mWinlogon: Userinit=c:\windows\system32\userinit.exe,c:\windows\system32\appconf32.exe, BHO: XTTBPos00 Class: {055fd26d-3a88-4e15-963d-dc8493744b1d} - c:\programme\icqtoolbar\tbube\toolbaru.dll BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: Adobe PDF Reader Link Helper: {a3ef6fd4-4769-4734-9494-4707087225b9} - c:\windows\system32\AcroIEHelpe.dll BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.2.4204.1700\swg.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll BHO: {E5886C91-CDD7-4832-B32D-0830705A9C60} - No File BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll TB: {855F3B16-6D32-4FE6-8A56-BBB695989046} - No File TB: {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No File uRun: [4E3E0230AEBB4E96] c:\recycle.bin\Recycle.Bin.exe uRun: [SkypeM] c:\dokumente und einstellungen\michael\lokale einstellungen\anwendungsdaten\skype\Skype.exe dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE uPolicies-explorer: <NO NAME> = uPolicies-explorer: NoDesktop = 1 (0x1) uPolicies-system: DisableTaskMgr = 1 (0x1) mPolicies-system: DisableTaskMgr = 1 (0x1) IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office11\EXCEL.EXE/3000 IE: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\programme\partygaming\partypoker\RunApp.exe IE: {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\programme\icqlite\ICQLite.exe IE: {E59EB121-F339-4851-A3BA-FE49C35617C2} - c:\programme\icq6.5\ICQ.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab TCP: DhcpNameServer = 192.168.178.1 TCP: Interfaces\{C6CEE05F-327C-400A-B1EB-700A657E563D} : DhcpNameServer = 192.168.178.1 Notify: AtiExtEvent - Ati2evxx.dll SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll LSA: Authentication Packages = msv1_0 nwprovau . ================= FIREFOX =================== . FF - ProfilePath - c:\dokumente und einstellungen\michael\anwendungsdaten\mozilla\firefox\profiles\6uolzlyb.default\ FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: browser.startup.homepage - about:home FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=40f6e97a000000000000000e2ea71305&tlver=1.4.35.10&affID=100474 FF - component: c:\windows\system32\5012\components\AcroFF.dll FF - plugin: c:\programme\canon\mycamera download plugin\NPCIG.dll FF - plugin: c:\programme\google\google earth\plugin\npgeplugin.dll FF - plugin: c:\programme\google\google updater\2.4.2432.1652\npCIDetect14.dll FF - plugin: c:\programme\google\update\1.3.21.99\npGoogleUpdate3.dll . ============= SERVICES / DRIVERS =============== . S1 avgio;avgio;c:\programme\antivir personaledition classic\avgio.sys [2006-10-30 11608] S2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer;c:\programme\antivir personaledition classic\sched.exe [2006-10-30 68865] S2 AntiVirService;AntiVir PersonalEdition Classic Guard;c:\programme\antivir personaledition classic\avguard.exe [2006-10-30 151297] S2 gupdate1c9d168eb4cc250;Google Update Service (gupdate1c9d168eb4cc250);c:\programme\google\update\GoogleUpdate.exe [2009-5-10 133104] S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [2009-2-8 16512] S3 avgntflt;avgntflt;c:\programme\antivir personaledition classic\avgntflt.sys [2006-10-30 52056] S3 EuMusDesignVirtualAudioCableWdm_s2x;Sound2x Audio Cable (WDM);c:\windows\system32\drivers\vacs2xkd.sys [2009-2-8 42880] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2009-5-10 133104] S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2009-10-21 9728] S3 Usr79n51;U.S. Robotics 10/100 PCI NIC TX Driver;c:\windows\system32\drivers\Usr79n51.sys [2007-7-24 45696] S3 vsdatant;vsdatant;c:\windows\system32\vsdatant.sys [2006-10-30 394192] S4 UI Assistant Service;UI Assistant Service;c:\programme\join air\AssistantServices.exe [2009-10-21 241664] . =============== Created Last 30 ================ . 2012-03-11 09:16:05 -------- dc----w- c:\dokumente und einstellungen\michael\lokale einstellungen\anwendungsdaten\Skype . ==================== Find3M ==================== . 2005-05-13 16:12:00 217073 -csha-r- c:\windows\meta4.exe 2005-10-24 10:13:58 66560 -csha-r- c:\windows\MOTA113.exe 2005-10-13 20:27:00 422400 -csha-r- c:\windows\x2.64.exe 2005-10-07 18:14:52 308224 -csha-r- c:\windows\system32\avisynth.dll 2005-07-14 11:31:20 27648 -csha-r- c:\windows\system32\AVSredirect.dll 2005-06-26 14:32:28 616448 -csha-r- c:\windows\system32\cygwin1.dll 2005-06-21 21:37:42 45568 -csha-r- c:\windows\system32\cygz.dll 2004-01-24 23:00:00 70656 -csha-r- c:\windows\system32\i420vfw.dll 2006-04-27 09:24:24 2945024 -csha-r- c:\windows\system32\Smab.dll 2005-02-28 12:16:22 240128 -csha-r- c:\windows\system32\x.264.exe 2004-01-24 23:00:00 70656 -csha-r- c:\windows\system32\yv12vfw.dll . ============= FINISH: 11:59:25,39 =============== Vielen Dank und mit freundlichen Grüßen |
| Themen zu Trojaner, "Achtung Ihr Windows wurde aus Sicherheitsgründen gesperrt" |
| "achtung ihr windows wurde aus sicherheitsgründen gesperrt", 32 bit, adobe, antivir, avira, babylon, blockiert, canon, dateien, disabletaskmgr, einstellungen, excel, explorer, firefox, gesperrt, google, google earth, helper, icq, logfiles, mozilla, netzwerk, pdf, plug-in, programme, recycle.bin, scan, search the web, services.exe, svchost, system, trojaner, wenig ahnung, windows, windows xp |
Baum-Darstellung