Hallo =) Ich habe hier ein großes Problem mit meinem Laptop und hoffe, dass mir hier irgendjemand helfen kann. Schon mal ein ganz ganz großes Dankeschön im vorraus!

Gestern Abend gegen 23:30 war ich auf Facebook und Youtube unterwegs, als mein Antivirusprogramm (kostenlose Version von AntiVir) mir eine Meldung machte. Noch bevor ich darauf reagieren konnte wurde mein Bildschirm schwarz und in einem weißen Kasten las ich die Worte "Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem blockiert!". Desweiteren wurde ich aufgefordert für 50€ meinen Virenschutz zu aktualisieren um meine Daten zu retten. Da ich nichts bezahlen wollte, versuchte ich den Kasten zu entfernen, doch bei Esc und der Tastenkombination für den Tastmanager rührte sich nichts.

Daraufhin habe ich meinen Laptop (Acer TravelMate TM8571-354G32Mn) neu gestartet, doch nachdem mein Desktop geladen hatte, erschien der besagte Bildschirm erneut. Also habe ich wieder herunter gefahren und neu gestartet. Dieses Mal habe ich mich mit dem Gast-Konto eingeloggt und hier scheint mein Windows (Vista Business 6.0) einwandfrei zu funktionieren. Das Internet funktioniert auch (schreibe gerade aus meinem Gast-Konto).

Den 1. Schritt der Checkliste habe ich abgearbeitet. Hier ist die defogger_disable log:

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 01:55 on 28/03/2012 (Sabrina)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Die Datei für den 2. Schritt habe ich ebenfalls runtergeladen, doch hier scheint irgendetwas nicht zu funktionieren. Nachdem ich zuerst einen schwarzen Bildchirm mit weißer Schrift hatte, wo stand, dass der Scan nicht länger als 3 Minuten dauern sollte, verschwand dieser und in den darauf folgenden 10 Minuten öffneten sich keine Logfiles

Beim 3. Schritt hatte ich das Problem, dass ich nicht wusste, ob mein Laptop nun 32Bit oder 64Bit hat (und daher habe ich GMER vorsichtshalber nicht runtergeladen und nicht angewendet). Die Tastenkombination mit R und der Windowstaste klappte zwar, doch dort stand bei allen Unterpunkten "Informationen können nicht zusammengestellt werden - Auf die Software von Windows-Verwaltungsinstrumentation kann nicht zugegriffen werden. Möglicherweise wurden die Windows-Verwaltungsdateien verschoben oder sind nicht vorhanden".

Da ich ein ziemlicher Laie auf dem Gebiet der Virenbekämpfung bin, benötige ich nun dringend Hilfe. Ganz herzlichen Dank!
Sabrina92

EDIT:

Da mir die ganze Sache keine Ruhe lässt habe ich soeben noch einen Scan mit Malwarebytes durchgeführt. Es wurden 6 infizierte Datein gefunden, die ich nun entferne.

Zitat:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.27.08

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.18904
Sabrina :: SABRINA-PC [Administrator]

Schutz: Aktiviert

28.03.2012 03:32:35
mbam-log-2012-03-28 (03-32-35).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 203763
Laufzeit: 8 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SkypePM (Trojan.Ransom) -> Daten: C:\Users\Sabrina\AppData\Local\Skype\SkypePM.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Sabrina\AppData\Local\Skype\SkypePM.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabrina\AppData\Local\Temp\0.04060082804137832.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabrina\AppData\Local\Temp\0.16188895518987334.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabrina\AppData\Local\Temp\0.21414230567416603.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabrina\AppData\Local\Temp\0.9742130744305977.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Liebe Grüße
Sabrina92

Hi,

das sieht schon mal recht vernünftig aus...

Das OTL-Log bitte vom verseuchten Konto aus erstellen!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Vielen, vielen Dank, für die schnelle Antwort!
Also ich konnte mein "normales" Benutzerkonto wieder öffnen die Meldung, dass aus Sicherheitsgründen mein Windowssystem blockiert sei, tauchte nicht mehr auf.

Die txt.-Dateien habe ich im Anhang angefügt. Bei dem TDSS-Killer hatte er übrigens 9 Funde (habe ich mit Skip übergangen).

Hier in meinem normalen Benutzerkonto konnte ich jetzt auch die Tastenkombination Windowstast + R ausführen. Ich habe ein 32bit-System.

Ganz liebe Grüße
Sabrina

Hi,

sieht gut aus, die Funde vom Killer sind nicht signierte Treiber (das kommt öfter mal vor). Du hast ziemlich viele Scanner am Laufen, entscheide Dich für einen und schmeiß den Rest runter...

chris

Vielen Dank!

Ich habe nun ein paar Sachen gelöscht und dürfte jetzt an Scannern nur noch Avira AntiVir und Malwarebytes haben.

Was bedeutet das, wenn es nicht signierte Treiber sind? Können die auf dem Laptop bleiben oder müssen die weg?

Als ich meinen Laptop dieses Mal hochgefahren habe, sind auf meinem Desktop übrigens einige halb Transparente Icons erschienen von Bildern und Word-Datein, die ich schon vor einer ganzen Zeit gelöscht hatte. Haben die etwas mit dem Virus zu tun, oder sind die unbedenklich?

Hi,

unsignierte Treiber können auf dem Desktop bleiben...
Kannst Du die transparenten Icons anklicken/öffnen?
Sind darunter Dateien wie "desktop.ini"?

chris