Hallo =) Ich habe hier ein großes Problem mit meinem Laptop und hoffe, dass mir hier irgendjemand helfen kann. Schon mal ein ganz ganz großes Dankeschön im vorraus!

Gestern Abend gegen 23:30 war ich auf Facebook und Youtube unterwegs, als mein Antivirusprogramm (kostenlose Version von AntiVir) mir eine Meldung machte. Noch bevor ich darauf reagieren konnte wurde mein Bildschirm schwarz und in einem weißen Kasten las ich die Worte "Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem blockiert!". Desweiteren wurde ich aufgefordert für 50€ meinen Virenschutz zu aktualisieren um meine Daten zu retten. Da ich nichts bezahlen wollte, versuchte ich den Kasten zu entfernen, doch bei Esc und der Tastenkombination für den Tastmanager rührte sich nichts.

Daraufhin habe ich meinen Laptop (Acer TravelMate TM8571-354G32Mn) neu gestartet, doch nachdem mein Desktop geladen hatte, erschien der besagte Bildschirm erneut. Also habe ich wieder herunter gefahren und neu gestartet. Dieses Mal habe ich mich mit dem Gast-Konto eingeloggt und hier scheint mein Windows (Vista Business 6.0) einwandfrei zu funktionieren. Das Internet funktioniert auch (schreibe gerade aus meinem Gast-Konto).

Den 1. Schritt der Checkliste habe ich abgearbeitet. Hier ist die defogger_disable log:

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 01:55 on 28/03/2012 (Sabrina)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Die Datei für den 2. Schritt habe ich ebenfalls runtergeladen, doch hier scheint irgendetwas nicht zu funktionieren. Nachdem ich zuerst einen schwarzen Bildchirm mit weißer Schrift hatte, wo stand, dass der Scan nicht länger als 3 Minuten dauern sollte, verschwand dieser und in den darauf folgenden 10 Minuten öffneten sich keine Logfiles

Beim 3. Schritt hatte ich das Problem, dass ich nicht wusste, ob mein Laptop nun 32Bit oder 64Bit hat (und daher habe ich GMER vorsichtshalber nicht runtergeladen und nicht angewendet). Die Tastenkombination mit R und der Windowstaste klappte zwar, doch dort stand bei allen Unterpunkten "Informationen können nicht zusammengestellt werden - Auf die Software von Windows-Verwaltungsinstrumentation kann nicht zugegriffen werden. Möglicherweise wurden die Windows-Verwaltungsdateien verschoben oder sind nicht vorhanden".

Da ich ein ziemlicher Laie auf dem Gebiet der Virenbekämpfung bin, benötige ich nun dringend Hilfe. Ganz herzlichen Dank!
Sabrina92

EDIT:

Da mir die ganze Sache keine Ruhe lässt habe ich soeben noch einen Scan mit Malwarebytes durchgeführt. Es wurden 6 infizierte Datein gefunden, die ich nun entferne.

Zitat:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.27.08

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.18904
Sabrina :: SABRINA-PC [Administrator]

Schutz: Aktiviert

28.03.2012 03:32:35
mbam-log-2012-03-28 (03-32-35).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 203763
Laufzeit: 8 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SkypePM (Trojan.Ransom) -> Daten: C:\Users\Sabrina\AppData\Local\Skype\SkypePM.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Sabrina\AppData\Local\Skype\SkypePM.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabrina\AppData\Local\Temp\0.04060082804137832.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabrina\AppData\Local\Temp\0.16188895518987334.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabrina\AppData\Local\Temp\0.21414230567416603.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabrina\AppData\Local\Temp\0.9742130744305977.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Liebe Grüße
Sabrina92

Hi,

das sieht schon mal recht vernünftig aus...

Das OTL-Log bitte vom verseuchten Konto aus erstellen!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Vielen, vielen Dank, für die schnelle Antwort!
Also ich konnte mein "normales" Benutzerkonto wieder öffnen die Meldung, dass aus Sicherheitsgründen mein Windowssystem blockiert sei, tauchte nicht mehr auf.

Die txt.-Dateien habe ich im Anhang angefügt. Bei dem TDSS-Killer hatte er übrigens 9 Funde (habe ich mit Skip übergangen).

Hier in meinem normalen Benutzerkonto konnte ich jetzt auch die Tastenkombination Windowstast + R ausführen. Ich habe ein 32bit-System.

Ganz liebe Grüße
Sabrina

Hi,

sieht gut aus, die Funde vom Killer sind nicht signierte Treiber (das kommt öfter mal vor). Du hast ziemlich viele Scanner am Laufen, entscheide Dich für einen und schmeiß den Rest runter...

chris

Vielen Dank!

Ich habe nun ein paar Sachen gelöscht und dürfte jetzt an Scannern nur noch Avira AntiVir und Malwarebytes haben.

Was bedeutet das, wenn es nicht signierte Treiber sind? Können die auf dem Laptop bleiben oder müssen die weg?

Als ich meinen Laptop dieses Mal hochgefahren habe, sind auf meinem Desktop übrigens einige halb Transparente Icons erschienen von Bildern und Word-Datein, die ich schon vor einer ganzen Zeit gelöscht hatte. Haben die etwas mit dem Virus zu tun, oder sind die unbedenklich?

Hi,

unsignierte Treiber können auf dem Desktop bleiben...
Kannst Du die transparenten Icons anklicken/öffnen?
Sind darunter Dateien wie "desktop.ini"?

chris

Hallo!

Ja, unter den transparenten Icons befindet sich auch zweimal desktop.ini, sowie 8x jpg, 3x docx, 1x rtf und 1x pdf

Die jpg's kann ich nicht öffnen, es öffnet sich zwar mein Microsoft Office Picture Manager, aber ich bekomme die Meldung, dass die ausgewählten Orte keine Bilder enthalten.

Bei der pdf-Datei öffnet sich Adobe Reader und in einem Info-Kasten steht, dass die Datei nicht geöffnet werden konnte, da der Dateityp nicht unterstützt oder die Datei beschädigt wurde.

Bei den rtf und den docx Datein öffnet sich mein Microsoft Word und ich bekomme so ein Fenster zur Dateikodierung, in dessen Vorschaufeld ich halt Symbole sehe. Außerdem ist der erste Buchstabe des Dateinames ein Dollarzeichen.

Die beiden "Dektop.ini"-Datein konnte ich mit dem Editor öffnen.

Zitat:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799
[LocalizedFileNames]
Microsoft Office - 60 Day Trial.lnk=@C:\PROGRA~1\MI8627~1\mui\oaa.dll,-103

Zitat:

[.ShellClassInfo]
FolderType=MusicAlbum
MusicBuyUrl=hxxp://redir.metaservices.microsoft.com/redir/buynow/?providerName=AMG&albumID=4A2802C6-A687-45B6-A29A-E7D61F415F6B&a_id=R%20%20%20792096&album=A%20Beautiful%20Lie&artistID=F9647B8A-179D-489E-B5C2-A8FE17BC71ED&p_id=P%20%20%20531380&artist=30%20Seconds%20to%20Mars&locale=407&geoid=5e&version=11.0.6001.7008&userlocale=407

Vielen Dank für deine Hilfe!
Sabrina

Hi,

die transparenten Dateien löschen...

Superantispyware (SASW):
http://www.trojaner-board.de/51871-a...tispyware.html

chris

Okay, die transparenten Datein habe ich gelöscht und der Scan mit SUPERAntiSpyware ist auch gelaufen. Wurde ganz schön viel gefunden =(

Das Log habe ich angefügt. Musste zwei daraus machen, weil die Datei 144KB groß war.

LG und vielen Dank für deine Hilfe!

EDIT: Ich glaube nach dem posten des Logs hab ich Mist gebaut... Bei mir sieht das Programm ein wenig anders aus wie auf der Anleitung und ich wollte die Funde lediglich in die Quarantäne stecken, doch irgendwie scheine ich sie jetzt gelöscht zu haben! =( Jetzt hat sich ein Fenster von SUPERAntiSpyware geöffnet mit zwei Buttons "Reboot Now" und "Reboot Later". Was soll ich tun?

Hi,
mom, ich schau mir die Funde an...
chris

Hi,
kannst alles löschen lassen.
Softonic nie benutzen, die installieren immer irgendwelche unwanted Software gleich mit... Das macht dann der sog. "Downloader"..
Soweit sieht es gut aus, wenn sich der Rechner normal verhält wären wir durch...
chris

Hallo!

Habe jetzt den Laptop neugestartet und bis jetzt läuft alles einwandfrei. Vielen Dank nochmal für die Hilfe!

Was mache ich den runtergeladenen Programmen (TDSS-Killer, OTL, Malewarbytes und Superantispyware)? Sollen die auf dem Desktop bleiben, oder muss ich die wieder löschen?
Und kann ich jetzt wieder Online-Banking und Online-Shopping ausführen, oder muss ich da mit irgendwelchen Sicherheitslücken rechnen?

LG Sabrina

Hi,

TDSS, OTL kannst Du löschen, ebenso (falls vorhanden) den Ordner C:\_OLT.
MAM würde ich behalten, ab- und an updaten und dann einen Fullscan machen (so einmal die Woche). Superantispyware kannst Du ähnlich handhaben wie MAM oder auch einfach wieder deinstallieren...

Onlinebanking etc.: Da kann Dir keiner eine Garantie geben, da keiner (bis auf die Autoren der lieben Viecher) so genau weiss was sie alles sonst noch so treiben. Wenn Du 100% sicher sein willst, musst Du Neuaufsetzen...

chris

So, TDSS und OTL hab ich gelöscht.

Dann bedanke ich mich herzlichst für deine Hilfe und hoffe, dass ich in Zukunft von solchen Teilen verschont bleibe!

LG Sabrina