Nachdem ich die GVU Aufforderung zur Zahlung von 100 Euro bekommen habe, habe ich auf einem geliehenem PC gegoogelt, und dann eine Kapersky CD gebrannt und gebootet. Jetzt kann ich als Gast normal arbeiten. Wenn ich mich als Administrator anmelden will, zuckt er einmal und verlangt eine neue Aufforderung. Wenn ich ein falsches Passwort eingebe reagiert er irgendwie anders.
Ich kann als Gast leider keine Software installieren oder aktualisieren. Habe Avira freeware drauf . Hat aber nichts gebracht. Ich bin leider mit sehr sehr wenig Ahnung ausgestattet !!
Gibt es eine (einfache) Möglichkeit aus dem Gastmodus herraus den Administrator wieder zu reaktivieren ?
Vielen Dank!!

Zitat:

Gibt es eine (einfache) Möglichkeit aus dem Gastmodus herraus den Administrator wieder zu reaktivieren ?

Natürlich geht das als Gast nicht! Benutzer mit den Rechten "Gast" können das System nicht administrieren!

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hallo Arne , entschuldige , dass ich jetzt erst antworte . War WE nicht zu Haus.
Hab gerade im abgesicherten Modus mit netzwerk gestartet . Keine Probleme.
MfG aus der Heide
Torsten

... sollte ich jetzt ein bestimmtes Programm laden um die Viren zu löschen ??

Zitat:

Boot Mode: SafeMode with Networking |

Wenn dieser Modus funktioniert, kannst du erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo Arne ! Entschuldige aber ich habe wenig Ahnung!! habe mit malebyts gescant. Funde : TROJAN WINLOCK als File , Objekt : C:\ System Volume Information\restore\(A167...

: PUM.DISABLED Center als Registry Data : HKLM\SOFTWARE\Microsoft \Security Center (Bad1), Good (0) .........
dann habe ich auf den Button :Speichere Logdateien gedrückt ..... jetzt bin ich unsicher wie ich weiter mache??
Jetzt erst ESET laden ? oder vorher posten ? wie funktioniert das posten?
Habe Angst den Schädling zu verbreiten ....
Vielen Dank!
Torsten

defogger und otl habe ich nicht geladen ...

ich war und bin die ganze zeit online ... gibt es dadurch Probleme ??

Hallo !
Habe einen neuen Administrator angemeldet und nach Malebytes-scan folgendes kopiert :

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.25.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Troja :: BENUTZER-0D266D [Administrator]

25.06.2012 22:39:39
mbam-log-2012-06-25 (22-39-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 421884
Laufzeit: 3 Stunde(n), 28 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{A16798DD-12BE-4BB4-B727-77A6E032EEA8}\RP402\A0081714.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Zitat:

ich war und bin die ganze zeit online ... gibt es dadurch Probleme ??

Ich poste dieses Standardvorgehen schon in Tausenden Fällen! Wäre ein wenig absurd wenn es massive Probleme gäbe!
Mach bitte mit ESET weiter

hallo! hier das ESET Ergebnis: ... hat anscheinend einiges gefunden ... !?

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5416246161c2184698c24c2909532975
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-26 11:01:31
# local_time=2012-06-26 01:01:31 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775125 100 100 70818 115603866 63563 0
# compatibility_mode=8192 67108863 100 0 385 385 0 0
# compatibility_mode=9217 16777213 100 64 45959920 125112996 0 0
# scanned=154017
# found=25
# cleaned=25
# scan_time=4791
C:\Dokumente und Einstellungen\Gast\Eigene Dateien\Downloads\speedupmypc.exe Win32/SpeedUpMyPC Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.10 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.11 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.12 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.13 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.14 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.5 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.6 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.7 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.8 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Gemeinsame Dateien\Spigot\wtxpcom\components\WidgiToolbarFF.dll.9 Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\pdfforge Toolbar\IE\5.8\pdfforgeToolbarIE.dll Variante von Win32/Toolbar.Widgi Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Uniblue\SpeedUpMyPC\Launcher.exe Win32/SpeedUpMyPC Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Uniblue\SpeedUpMyPC\spmonitor.exe Win32/SpeedUpMyPC Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Uniblue\SpeedUpMyPC\spnotifier.exe Win32/SpeedUpMyPC Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Uniblue\SpeedUpMyPC\sp_move_serial.exe Win32/SpeedUpMyPC Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Uniblue\SpeedUpMyPC\sump.exe Win32/SpeedUpMyPC Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
D:\DaSi\Dokumente und Einstellungen\Nils\Lokale Einstellungen\Temporary Internet Files\Content.IE5\19D6VF1U\verona-feldbusch-pictures-002[2].htm HTML/ScrInject.B.Gen Virus (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
D:\DaSi\Dokumente und Einstellungen\Nils\Lokale Einstellungen\Temporary Internet Files\Content.IE5\19D6VF1U\verona-feldbusch-pictures-003[2].htm HTML/ScrInject.B.Gen Virus (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
D:\DaSi\Dokumente und Einstellungen\Nils\Lokale Einstellungen\Temporary Internet Files\Content.IE5\19D6VF1U\verona-feldbusch-pictures[2].htm HTML/ScrInject.B.Gen Virus (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
D:\DaSi\Dokumente und Einstellungen\Nils\Lokale Einstellungen\Temporary Internet Files\Content.IE5\19D6VF1U\verona-feldbusch-pictures[3].htm HTML/ScrInject.B.Gen Virus (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
D:\DaSi\Dokumente und Einstellungen\Nils\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KD2NO9UV\1521.chatbook[1].htm JS/Kryptik.CC Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
D:\DaSi\Dokumente und Einstellungen\Nils\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VBDBVLKW\1521.chatbook[1].htm JS/Kryptik.CC Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C

Was ist mit meiner Frage zu Malwarebytes?

Hallo,
hatte ich vergessen !! sorry. also malebytes hatte ich vorher noch nicht auf dem Rechner , also auch keine weiteren scans. Kannst du mit dem scan von 7:23 (siehe auch unten) etwas anfangen??
Gruß und Danke
Torsten

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.25.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Troja :: BENUTZER-0D266D [Administrator]

25.06.2012 22:39:39
mbam-log-2012-06-25 (22-39-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 421884
Laufzeit: 3 Stunde(n), 28 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{A16798DD-12BE-4BB4-B727-77A6E032EEA8}\RP402\A0081714.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Bitte die nächsten Logs in CODE-Tags posten!!

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

hallo !
ich konnte mich als administrator normal mit passwort anmelden. firefox läuft. taskleiste ist da. nur auf dem bildschirm werden keinerlei verknüpfungen mehr dargestellt.(nur das hintergrundbild ist sichtbar). Programme scheinen alle da zu sein. ordner sind nicht leer. sollte ich jetzt noch mal irgendein programm laufen lassen.?

gruß aus der Heide
torsten

gibt es ein programm, dass mich vor so einem trojaner hätte schützen können ?
mit freeware von avira und zonealarm hat es ja nicht geklappt.???

Zitat:

gibt es ein programm, dass mich vor so einem trojaner hätte schützen können ?
mit freeware von avira und zonealarm hat es ja nicht geklappt.???

Falscher Ansatz!
Wenn man Virenscanner so betrachtet wie du, dann führt das zwangsläufig zu einem Befall, denn du hast wohl eine Einstellung gehabt "einfach Virenscanner installieren und dann braucht man sich um nichts mehr zu kümmern"
Hast du noch nie davon gehört, dass KEIN Virenscanner jeden Schädling kennt?

Und ZoneAlarm ist der letzte Müll, der je untergekommen ist. Das solltest du umgehend deinstallieren! Mehr als die Windows-Firewall benötigt man nicht!

OK! dass es eine totale sicherheit gibt ist schon klar. aber es wird ja so viel angepriesen wobei man da oft den ( anscheinend falschen) eindruck bekommt, dass , wenn man nur das programm kauft nicht mehr viel passieren kann .... aber ich werde zukünftig etwas vorsichtiger surfen ... soweit es geht und immer schön updaten...
Frage: Muss ich jetzt wegen dem trojaner noch etwas unternehmen ?? oder ist er jetzt in der VERBANNUNG ?

habe zonealarm gerade deinstalliert...

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo !
Alles ist wieder sichtbar!! Leider zu viele .... werde mal das DEKTOP aufräumen MÜSSEN.

Gut , dass es euch gibt! Vielen Dank noch einmal !!
Ich hoffe der Verbreiter der Trojaner schmort sonstwo vor sich hin ....
Mit den besten Wünschen aus der Lg Heide
Torsten