|
Log-Analyse und Auswertung: Windows gesperrt, Freischaltung gegen eine Zahlung von 100€Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.04.2012, 02:32 | #1 |
| Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ Moin, ich hab mir bei Youtube einen Trojaner/Virus eingefangen. Die Merkmale sind: - Schwarzer Hintergrund, oben und unten die die deutsche Nationalflagge und in roter Schrift "Windows wurde gesperrt, da Ihr System zu stark verseucht ist" - Ein Button mit der Aufschrift "Bezahlen und Beheben" o.s.ä. Klickt man diesen, erscheint ein Auswahlfenster mit mehreren Zahlungsmöglichkeiten, von denen alle bis auf UCash gesperrt sind; darunter werden namenhafte Antivirenprogramme wie Kaspersky und Antivir aufgeführt. Meine Sicherheitsprogramme haben weder darauf reagiert, noch haben anschließende Scans selbiger etwas gefunden. Einen OTL-Scan hab ich gemacht, den hänge ich als Zip mit an, ist doch etwas lang um es hier rein zu quetschen. Kurz zu meinem System, wenn es hilfreich ist: Windows 7/64 bit. mfG der Frechfuchs |
24.04.2012, 11:05 | #2 |
/// Malware-holic | Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ hi
__________________frage: hast du den link zum vidio noch? falls ja, private nachicht an mich bitte mit link :-) dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL O4 - HKCU..\Run: [SkypePM] C:\Users\Marcus\AppData\Local\Skype\SkypePM.exe () :Files C:\Users\Marcus\AppData\Local\Skype c:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache :Commands [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die + E Taste.
__________________ |
24.04.2012, 22:50 | #3 |
| Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ Guten Abend,
__________________das ging ja flott. Ich habe die Schritte soweit durchgeführt, Windows wurde normal hochgefahren, ich habe aber kein Textdokument auf dem Desktop. Kann dieses an einem anderen Ort abgelegt worden sein? Die "Movedfiles.zip Datei" hängt an und lies sich ohne weiteres hochladen. Nachdem das soweit schon mal geklappt hat, bin ich doch schon deutlich entspannter. MfG Frechfuchs |
24.04.2012, 23:10 | #4 |
| Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ Moin, beinahe vergessen; ich habe leider keinen Link zu dem Video, das ging einfach zu schnell und ich war einfach zu perplex um angemessen darauf zu reagieren, sorry. MfG Frechfuchs |
25.04.2012, 08:56 | #5 |
/// Malware-holic | Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ lade moved files wie beschrieben hoch. dann find ich das log schon
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
26.04.2012, 12:42 | #6 | |
/// Malware-holic | Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ danke Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ --> Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ |
26.04.2012, 23:37 | #7 |
| Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ Guten Abend, Combofix ausgeführt, Hier die Textdatei: Combofix Logfile: Code:
ATTFilter ComboFix 12-04-26.01 - Marcus 27.04.2012 0:20.1.4 - x64 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.6071.4754 [GMT 2:00] ausgeführt von:: c:\users\Marcus\Desktop\ComboFix.exe AV: Spyware Doctor with AntiVirus *Disabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2} SP: Spyware Doctor with AntiVirus *Disabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programdata\FullRemove.exe . . ((((((((((((((((((((((( Dateien erstellt von 2012-03-26 bis 2012-04-26 )))))))))))))))))))))))))))))) . . 2012-04-26 22:27 . 2012-04-26 22:27 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-04-24 21:21 . 2012-04-24 21:34 -------- d-----w- C:\_OTL 2012-04-23 23:45 . 2012-04-23 23:45 -------- d-----w- c:\program files (x86)\7-Zip 2012-04-12 00:19 . 2012-03-06 06:53 5559152 ----a-w- c:\windows\system32\ntoskrnl.exe 2012-04-12 00:19 . 2012-03-06 05:59 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe 2012-04-12 00:19 . 2012-03-06 05:59 3913072 ----a-w- c:\windows\SysWow64\ntoskrnl.exe 2012-04-12 00:18 . 2012-03-01 06:46 23408 ----a-w- c:\windows\system32\drivers\fs_rec.sys 2012-04-12 00:18 . 2012-03-01 06:33 81408 ----a-w- c:\windows\system32\imagehlp.dll 2012-04-12 00:18 . 2012-03-01 05:33 159232 ----a-w- c:\windows\SysWow64\imagehlp.dll 2012-04-12 00:18 . 2012-03-01 06:38 220672 ----a-w- c:\windows\system32\wintrust.dll 2012-04-12 00:18 . 2012-03-01 06:28 5120 ----a-w- c:\windows\system32\wmi.dll 2012-04-12 00:18 . 2012-03-01 05:37 172544 ----a-w- c:\windows\SysWow64\wintrust.dll 2012-04-12 00:18 . 2012-03-01 05:29 5120 ----a-w- c:\windows\SysWow64\wmi.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-17 06:38 . 2012-03-13 21:57 1031680 ----a-w- c:\windows\system32\rdpcore.dll 2012-02-17 05:34 . 2012-03-13 21:57 826880 ----a-w- c:\windows\SysWow64\rdpcore.dll 2012-02-17 04:58 . 2012-03-13 21:57 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2012-02-17 04:57 . 2012-03-13 21:57 23552 ----a-w- c:\windows\system32\drivers\tdtcp.sys 2012-02-10 06:36 . 2012-03-13 21:57 1544192 ----a-w- c:\windows\system32\DWrite.dll 2012-02-10 05:38 . 2012-03-13 21:57 1077248 ----a-w- c:\windows\SysWow64\DWrite.dll 2012-02-07 09:02 . 2012-02-07 09:02 1070352 ----a-w- c:\windows\SysWow64\MSCOMCTL.OCX 2012-02-05 13:41 . 2012-02-05 13:41 472808 ----a-w- c:\windows\SysWow64\deployJava1.dll 2012-02-03 04:34 . 2012-03-13 21:57 3145728 ----a-w- c:\windows\system32\win32k.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP] @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}" [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}] 2009-09-10 13:41 120104 ----a-w- c:\program files (x86)\EgisTec\MyWinLocker 3\x86\PSDProtect.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-03-24 39408] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864] "BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-08-12 261888] "Hotkey Utility"="c:\program files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe" [2009-08-18 629280] "EgisTecLiveUpdate"="c:\program files (x86)\EgisTec Egis Software Update\EgisUpdate.exe" [2009-08-04 199464] "ArcadeDeluxeAgent"="c:\program files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2009-12-22 128296] "PlayMovie"="c:\program files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe" [2009-12-22 181480] "PCTools FGuard"="c:\program files (x86)\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496] "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-07-28 336384] "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] . c:\users\Marcus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ CurseClientStartup.ccip [2011-9-20 0] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 0 (0x0) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) "PromptOnSecureDesktop"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] @="" . R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-06 136176] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-06 136176] R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg64.sys [x] R3 sdAuxService;PC Tools Auxiliary Service;c:\program files (x86)\PC Tools Security\pctsAuxs.exe [2010-03-15 366840] R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [x] R3 ThreatFire;ThreatFire;c:\program files (x86)\PC Tools Security\TFEngine\TFService.exe service [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x] S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore64.sys [x] S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS64.sys [x] S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA64.sys [x] S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [x] S0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [x] S1 mwlPSDFilter;mwlPSDFilter;c:\windows\system32\DRIVERS\mwlPSDFilter.sys [x] S1 mwlPSDNServ;mwlPSDNServ;c:\windows\system32\DRIVERS\mwlPSDNServ.sys [x] S1 mwlPSDVDisk;mwlPSDVDisk;c:\windows\system32\DRIVERS\mwlPSDVDisk.sys [x] S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi64.sys [x] S2 AAV UpdateService;AAV UpdateService;c:\program files (x86)\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296] S2 ABBYY.Licensing.PDFTransformer.Site License.3.0;ABBYY PDF Transformer 3.0 Licensing Service;c:\program files (x86)\ABBYY PDF Transformer 3.0\NetworkLicenseServer.exe [2009-05-14 759048] S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x] S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files (x86)\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760] S2 Greg_Service;GRegService;c:\program files (x86)\Acer\Registration\GregHSRW.exe [2009-08-28 1150496] S2 MWLService;MyWinLocker Service;c:\program files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe [2009-09-10 305448] S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-08-12 62208] S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-09-30 2314240] S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2009-07-04 240160] S2 USBS3S4Detection;USBS3S4Detection;c:\oem\USBDECTION\USBS3S4Detection.exe [2009-12-09 76320] S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x] S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x] S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x] S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x] . . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2}] 2010-02-16 17:02 114688 ----a-w- c:\program files (x86)\PixiePack Codec Pack\InstallerHelper.exe . Inhalt des "geplante Tasks" Ordners . 2012-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-06 07:18] . 2012-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-04-06 07:18] . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP] @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}" [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}] 2009-09-10 13:44 137512 ----a-w- c:\program files (x86)\EgisTec\MyWinLocker 3\x64\PSDProtect.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-10-13 186904] "mwlDaemon"="c:\program files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe" [2009-09-10 349480] "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-10-28 8312352] "Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 660360] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "LoadAppInit_DLLs"=0x0 . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uLocal Page = c:\windows\system32\blank.htm mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_m5811&r=17360910m316pe4c5v195w55l1u656 mLocal Page = c:\windows\SysWOW64\blank.htm IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000 IE: Mit FRITZ!Box Anrufen - c:\program files (x86)\FRITZ!Box\AddOn (IE)\fb_addon_dial_ie.htm IE: Mit FRITZ!Box Anrufen\Contexts - 16 (0x10) IE: Mit FRITZ!Box Anrufen\Flags IE: {{328ECD19-C167-40eb-A0C7-16FE7634105F} - {CC68A724-B5F7-4bd3-865C-7D97141A140F} - c:\program files (x86)\FRITZ!Box\AddOn (IE)\FBoxIESplitButton.dll LSP: c:\program files (x86)\Common Files\PC Tools\Lsp\PCTLsp.dll TCP: DhcpNameServer = 192.168.178.1 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . Toolbar-Locked - (no file) Toolbar-Locked - (no file) . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\software\McAfee] "SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\ . [HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Windows CE Services] "SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\ . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2012-04-27 00:29:43 ComboFix-quarantined-files.txt 2012-04-26 22:29 . Vor Suchlauf: 13 Verzeichnis(se), 342.133.678.080 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 342.526.242.816 Bytes frei . - - End Of File - - 79D2226196BC89F68FA681BEB72BBADB |
27.04.2012, 11:10 | #8 |
/// Malware-holic | Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ malwarebytes: Downloade Dir bitte Malwarebytes
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
27.04.2012, 23:36 | #9 |
| Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ Moin, Malwarebites durchgelaufen, hier das Log: Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.27.10 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Marcus :: MARCUS-PC [Administrator] 27.04.2012 23:45:31 mbam-log-2012-04-27 (23-45-31).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 392042 Laufzeit: 43 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\_OTL\MovedFiles\04242012_232150\C_Users\Marcus\AppData\Local\Skype\SkypePM.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
28.04.2012, 18:51 | #10 |
/// Malware-holic | Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ hi lade den CCleaner standard: CCleaner Download - CCleaner 3.18.1707 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
03.05.2012, 15:48 | #11 |
| Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ Moin, hat ein wenig länger gedauert, hier die Liste vom CCleaner: 7-Zip 9.20 23.04.2012 ABBYY PDF Transformer 3.0 ABBYY 23.03.2010 3.00.145.7091/notwendig Acer Arcade Deluxe CyberLink Corp. 03.04.2010 102,5MB 3.2.7222/unnötig Acer Backup Manager NewTech Infosystems 22.03.2010 226MB 2.0.2.19/notwendig Acer eRecovery Management Acer Incorporated 22.03.2010 4.05.3005/notwendig Acer GameZone Console Oberon Media, Inc. 22.03.2010 6.1.0.2/unnötig Acer Registration Acer Incorporated 03.04.2010 1.02.3006/notwendig Acer ScreenSaver Acer Incorporated 03.04.2010 1.02.0722/notwendig Acer Updater Acer Incorporated 22.03.2010 1.01.3017/notwendig Acrobat.com Adobe Systems Incorporated 22.03.2010 1,61MB 1.6.65/unbekannt Adobe AIR Adobe Systems Inc. 23.03.2010 1.5.0.7220/unbekannt Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 12.11.2011 6,00MB 11.1.102.55/notwendig Adobe Reader 9.1 MUI Adobe Systems Incorporated 22.03.2010 650MB 9.1.0/notwendig AMD Catalyst Install Manager Advanced Micro Devices, Inc. 10.09.2011 22,7MB 3.0.838.0/notwendig Apple Software Update Apple Inc. 22.03.2010 2,16MB 2.1.1.116/unnötig ArtMoney SE v7.38 System SoftLab 28.01.2012 7.38/notwendig AVM FRITZ!Box AddOn (IE) AVM Berlin 10.09.2011 1,89MB 1.5.7/notwendig Battle.net 22.06.2011/notwendig Battlefield 1942 25.01.2012/unnötig Battlefield Vietnam(TM) 21.04.2011/unnötig Brockhaus multimedial 2010 wissenmedia GmbH 22.03.2010 800MB 12.00.0000/unnötig Browser Defender 3.0 Threat Expert Ltd. 02.04.2011 16,8MB 3.0.0.300/unbekannt CCleaner Piriform 27.04.2012 3.18/notwendig Company of Heroes THQ Inc. 13.08.2011 2.0.0.1/notwendig Compatibility Pack für 2007 Office System Microsoft Corporation 20.03.2012 157,7MB 12.0.6612.1000/notwendig Curse Client Curse 22.02.2012 4.0.1.260/notwendig DesertCombat 0.7 25.01.2012/unnötig Diablo 22.06.2011/unnötig eBay Worldwide OEM 19.09.2010 100,00KB 2.1.0901/unnötig eSobi v2 esobi Inc. 22.03.2010 20,4MB 2.0.4.000274/unbekannt EVEREST Home Edition v2.20 Lavalys Inc 26.10.2010 2.20/unnötig Freelancer 22.12.2010/notwendig Freelancer Global Server Workaround 1.0 Freelancer Community 25.12.2010/notwendig Google Chrome Google Inc. 05.04.2011 18.0.1025.162/notwendig Google Toolbar for Internet Explorer Google Inc. 03.04.2010/notwendig Hotkey Utility Acer Incorporated 03.04.2010 1.00.3004/notwendig Identity Card Acer Incorporated 03.04.2010 1.00.3002/notwendig Intel(R) Management Engine Components Intel Corporation 04.04.2010 6.0.0.1179/notwendig Intel® Matrix Storage Manager Intel Corporation 03.04.2010/notwendig Java(TM) 6 Update 30 Oracle 04.02.2012 95,2MB 6.0.300/notwendig JMicron JMB36X Driver JMicron Technology Corp. 22.03.2010 1.00.0000/unbekannt Malwarebytes Anti-Malware Version 1.61.0.1400 Malwarebytes Corporation 26.04.2012 18,0MB 1.61.0.1400/notwendig Medal of Honor Pacific Assault(tm) Electronic Arts 28.10.2010 1.0/unnötig Medion GoPal Assistant 4.03.006 Medion 27.12.2010 4.3.6.0/notwendig Microsoft .NET Framework 4 Client Profile Microsoft Corporation 09.10.2010 38,8MB 4.0.30319/notwendig Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 09.10.2010 2,94MB 4.0.30319/notwendig Microsoft Office Home and Student 2007 Microsoft Corporation 20.03.2012 12.0.6612.1000/notwendig Microsoft Office Language Pack 2007 - German/Deutsch Microsoft Corporation 20.03.2012 12.0.6612.1000/notwendig Microsoft Office PowerPoint Viewer 2007 (German) Microsoft Corporation 20.03.2012 15,9MB 12.0.6612.1000/notwendig Microsoft Office Suite Activation Assistant Microsoft Corporation 22.03.2010 8,37MB 2.9/notwendig Microsoft Silverlight Microsoft Corporation 13.02.2012 208MB 4.1.10111.0/notwendig Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 03.04.2010 1,72MB 3.1.0000/notwendig Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 14.06.2011 0,29MB 8.0.56336/notwendig Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148 Microsoft Corporation 03.04.2011 0,21MB 9.0.30729.4148/notwendig Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 21.09.2010 0,20MB 9.0.30729.4148/notwendig Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570 Microsoft Corporation 15.04.2011 0,77MB 9.0.30729.5570/notwendig Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 15.04.2011 0,58MB 9.0.30729.5570/notwendig Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 Microsoft Corporation 02.04.2011 0,77MB 9.0.30729/notwendig Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 Microsoft Corporation 15.06.2011 0,77MB 9.0.30729.6161/notwendig Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 19.09.2010 0,58MB 9.0.30729/notwendig Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 15.06.2011 0,59MB 9.0.30729.6161/notwendig Microsoft Visual C++ 2010 x64 Redistributable - 10.0.30319 Microsoft Corporation 05.10.2011 13,7MB 10.0.30319/notwendig Microsoft Works Microsoft Corporation 11.04.2012 1.043MB 9.7.0621/notwendig MSXML 4.0 SP2 (KB954430) Microsoft Corporation 21.09.2010 1,28MB 4.20.9870.0/notwendig MSXML 4.0 SP2 (KB973688) Microsoft Corporation 21.09.2010 1,33MB 4.20.9876.0/notwendig MyWinLocker Egis Technology Inc. 22.03.2010 47,9MB 3.1.76.0/notwendig Nero 9 Essentials Nero AG 22.03.2010/unnötig Norton Online Backup Symantec 22.03.2010 2,09MB 1.2.0.36/unbekannt NVIDIA PhysX NVIDIA Corporation 17.02.2012 120,0MB 9.09.0428/notwendig PixiePack Codec Pack None 25.10.2010 17,2MB 1.1.1200.0/unbekannt PunkBuster für Battlefield Vietnam 21.04.2011/unnötig QuickTime Apple Inc. 22.03.2010 74,3MB 7.60.92.0/notwendig Radiotracker RapidSolution Software AG 21.04.2011 250MB 6.2.13700.0/notwendig Realtek High Definition Audio Driver Realtek Semiconductor Corp. 03.04.2010 6.0.1.5969/notwendig Runes of Magic Frogster Interactive Pictures 19.09.2010 3.0.1.2153/notwendig Spyware Doctor PC Tools 02.04.2011 8.0/notwendig Starcraft 17.07.2011/unnötig StarCraft II Blizzard Entertainment 30.09.2011 1.4.1.19776/notwendig Steuer-Spar-Erklärung 2010 Akademische Arbeitsgemeinschaft Verlag 22.03.2010 297MB 15.03/unnötig TeamSpeak 3 Client TeamSpeak Systems GmbH 19.09.2010/notwendig Torchlight JoWooD 05.07.2011 455MB 1.0.0/notwendig Venetica dtp 17.02.2012/notwendig Welcome Center Acer Incorporated 03.04.2010 1.00.3008/unbekannt Windows Live Anmelde-Assistent Microsoft Corporation 03.04.2010 1,94MB 5.000.818.5/unbekannt Windows Live Essentials Microsoft Corporation 03.04.2010 14.0.8089.0726/unbekannt Windows Live Sync Microsoft Corporation 03.04.2010 2,79MB 14.0.8089.726/unbekannt Windows Live-Uploadtool Microsoft Corporation 03.04.2010 0,22MB 14.0.8014.1029/unbekannt Windows Mobile-Gerätecenter Microsoft Corporation 27.12.2010 27,4MB 6.1.6965.0/unbekannt WORLD IN CONFLICT Massive Entertainment 29.07.2011 1.0.1.0/notwendig X3 Terran Conflict v3.2 EGOSOFT 27.01.2012/notwendig Yontoo 1.10.02 Yontoo LLC 07.03.2012 1,27MB 1.10.02/unbekannt MfG Frechfuchs |
03.05.2012, 17:05 | #12 |
/// Malware-holic | Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: Battlefield : beide Brockhaus Browser Defender DesertCombat Diablo eBay eSobi EVEREST Google Toolbar : toolbars haben auf einem pc nichts zu suchen, sie machen den browser lan und unsicherer. Java Download der kostenlosen Java-Software downloade java jre, instalieren. deinstaliere: Medal of Nero Norton PixiePack Spyware Doctor : nutze lieber Malwarebytes von zeit zu zeit, nach update. Steuer-Spar Windows Live alle die du nicht nutzt. öffne CCleaner analysieren CCleaner starten, pc neustarten testen wie der pc läuft
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu Windows gesperrt, Freischaltung gegen eine Zahlung von 100€ |
antivirenprogramme, beheben, bezahlen, button, deutsche, erschein, erscheint, gefunde, gesperrt, hilfreich, hintergrund, hänge, kaspersky, mehreren, programme, reagiert, scans, schließe, schrift, schwarzer, stark, system, troja, trojaner/virus, verseucht, windows, youtube, zahlung |