| |
| |||||||
Log-Analyse und Auswertung: BKA Malware / 100 EUR / Sperrung des PCsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
14.04.2012, 18:58
| #1 |
 |  BKA Malware / 100 EUR / Sperrung des PCs Hallo! Nach dem Surfen im Internet via InternetExplorer erschien ein schwarzer Sperrbildschirm mit einigen Hinweisen, willkuerlichen Behauptungen und Drohungen und der Aufforderung 100 EUR zu bezahlen, um den PC zu entsperren. Gluecklicherweise wurde nur einer der beiden Bildschirme (DualScreen) gesperrt, so dass die beiden Prozesse wuauctl.exe beendet werden konnten, der Sperrbildschirm verschwandt und der Rechner bedienbar bleibt. Nach jedem Neustart erscheint jedoch wieder der Sperrbildschirm. Das Betriebssystem ist Windows XP mit den notwendigen Sichheitspatches und Avira Free Antivirus wird als Virenscanner verwendet. Dieser fand jedoch keine Infizierungen... Vielen Dank fuer eure Hilfe. Guido |
|
14.04.2012, 19:00
| #2 |
| /// Malware-holic   | BKA Malware / 100 EUR / Sperrung des PCs Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:
__________________Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD. Lade  OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Bebilderte Anleitung: OTLpe-Scan
__________________ |
|
14.04.2012, 22:55
| #3 |
| | BKA Malware / 100 EUR / Sperrung des PCs Hallo markusg!
__________________Anbei die Datei otl.txt als zip. Danke fuer deine Hilfe. Guido |
|
15.04.2012, 16:26
| #4 |
| /// Malware-holic | BKA Malware / 100 EUR / Sperrung des PCs hi auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code:
ATTFilter :OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 16029 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.scr (The GLib developer community)
:Files
C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.scr
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die  + E Taste.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
15.04.2012, 23:07
| #5 |
| | BKA Malware / 100 EUR / Sperrung des PCs Hallo markusg! Leider reagierte OTLPENet.exe nach Auswahl der fix.txt (mit dem von dir gegebenen Inhalt) nicht mehr, es wurde der Fix wohl nicht ausgefuehrt und kein _OTL erstellt, es kam keine Fehlermeldung und die Buttons des Programms reagierten nicht mehr. Kann ich den Fix auch von Hand (z.B. manuelles Loeschen von Files / RegistryKeys) ausfuehren? Danke. Guido |
|
16.04.2012, 09:43
| #6 |
| /// Malware-holic | BKA Malware / 100 EUR / Sperrung des PCs und, was steht da, wenn es nicht funktioniert, fix manuell eintragen
__________________ --> BKA Malware / 100 EUR / Sperrung des PCs |
|
16.04.2012, 10:01
| #7 |
| | BKA Malware / 100 EUR / Sperrung des PCs Hallo markusg! Sorry, wenn ich da etwas nicht verstanden habe: Ich hatte deine Anweisung so verstanden, dass ich den Ort der fix.txt (auf dem USB-Stick) manuell eintragen (mittels Durchsuchen) soll, was ich getan habe und zu dem von mir beschriebenen Ergebnis fuehrte. Meinst du mit dem manuellen Eintragen den Dateiinhalt der fix.txt als solchen? Code:
ATTFilter :OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 16029 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.scr (The GLib developer community)
:Files
C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.scr
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
Danke fuer deine Geduld. Guido |
|
16.04.2012, 10:09
| #8 |
| /// Malware-holic | BKA Malware / 100 EUR / Sperrung des PCs in otl gibts ein eingabefeld, dort eintragen, den gesammten fix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
16.04.2012, 16:35
| #9 |
| | BKA Malware / 100 EUR / Sperrung des PCs Hallo marcusg! So, das hat jetzt geklappt, das Log habe ich hochgeladen. Leider war die Datei C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.scr durch vorhergehenden Versuche wohl schon geloescht worden, so dass ich sie nicht hochladen konnte. Sorry. Beim Neustart des PCs tritt das Problem jetzt nicht mehr auf. Was soll ich als naechstes tun? Bis bald. Guido |
|
16.04.2012, 16:35
| #10 |
| /// Malware-holic | BKA Malware / 100 EUR / Sperrung des PCs wo ist das log was durch den fix erstellt wurde
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
16.04.2012, 16:36
| #11 |
| | BKA Malware / 100 EUR / Sperrung des PCs Im UploadChannel... |
|
16.04.2012, 16:37
| #12 |
| /// Malware-holic | BKA Malware / 100 EUR / Sperrung des PCs was soll es da, logs gehören ins forum. bitte posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
16.04.2012, 16:40
| #13 |
| | BKA Malware / 100 EUR / Sperrung des PCs Hier das Log. Code:
ATTFilter ========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\16029 deleted successfully.
File C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.scr not found.
========== FILES ==========
File\Folder C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.scr not found.
========== COMMANDS ==========
[EMPTYFLASH]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 117703 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: GS
->Temp folder emptied: 160703 bytes
->Temporary Internet Files folder emptied: 72339373 bytes
->Java cache emptied: 99054063 bytes
->FireFox cache emptied: 632062464 bytes
->Flash cache emptied: 7599 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 435089 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 194347 bytes
Total Flash Files Cleaned = 767.00 mb
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: GS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 85055 bytes
%systemroot%\System32 .tmp files removed: 3871111 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5083952 bytes
Total Files Cleaned = 9.00 mb
OTLPE by OldTimer - Version 3.1.48.0 log created on 04162012_175324
|
|
16.04.2012, 16:41
| #14 | |
| /// Malware-holic | BKA Malware / 100 EUR / Sperrung des PCsCombofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Linear-Darstellung
