| |
| |||||||
Log-Analyse und Auswertung: Laptop gesperrt aufgrund von Trojanern (Geldzahlung verlangt zur Entsperrung)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.01.2013, 18:23
| #1 |
 |  Laptop gesperrt aufgrund von Trojanern (Geldzahlung verlangt zur Entsperrung) Hallo Leider ist mein Laptop gesperrt aufgrund eines Trojaners (die Sperre zeigte längere Zeit ein Bild an, auf welchem oben links Schweizerische Eidgenossenschaft stand, mittlerweile ist der Bildschirm nach dem Aufstarten einfach weiss). Aufgrund dieses Forums hier habe ich die Malwarebytes Anti-Malware heruntergeladen und den vollständigen Scan durchgeführt. Dieser zeigt an, dass er vier Objekte gefunden und in die Quarantäne verschoben hat. Logdatei 1: Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.01.05.08 Windows XP Service Pack 3 x86 FAT32 Internet Explorer 8.0.6001.18702 ***:: VALUED-1EA80BFA [Administrator] 06.01.2013 06:56:31 MBAM-log-2013-01-06 (08-29-51).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 361936 Laufzeit: 1 Stunde(n), 32 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCU\SOFTWARE\fcn (Rogue.Residue) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\***\Anwendungsdaten\msconfig.dat -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\0je8ts5canum3mfdh2x2p.exe (Trojan.Agent.GNI) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\***\Anwendungsdaten\msconfig.dat (Trojan.Agent.GNI) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\***\Anwendungsdaten\msconfig.ini (Trojan.Agent) -> Keine Aktion durchgeführt. (Ende) Logdatei 2: Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.01.05.08 Windows XP Service Pack 3 x86 FAT32 Internet Explorer 8.0.6001.18702 *** :: VALUED-1EA80BFA [Administrator] 06.01.2013 06:56:31 mbam-log-2013-01-06 (06-56-31).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 361936 Laufzeit: 1 Stunde(n), 32 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCU\SOFTWARE\fcn (Rogue.Residue) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\***\Anwendungsdaten\msconfig.dat -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\0je8ts5canum3mfdh2x2p.exe (Trojan.Agent.GNI) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\***\Anwendungsdaten\msconfig.dat (Trojan.Agent.GNI) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\***\Anwendungsdaten\msconfig.ini (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Logdatei 3: 2012/12/01 20:12:44 +0100 VALUED-1EA80BFA *** MESSAGE Starting protection 2012/12/01 20:12:44 +0100 VALUED-1EA80BFA *** MESSAGE Protection started successfully 2012/12/01 20:12:44 +0100 VALUED-1EA80BFA *** MESSAGE Starting IP protection 2012/12/01 20:13:22 +0100 VALUED-1EA80BFA *** MESSAGE IP Protection started successfully 2012/12/01 20:15:22 +0100 VALUED-1EA80BFA *** MESSAGE Starting database refresh 2012/12/01 20:15:22 +0100 VALUED-1EA80BFA *** MESSAGE Stopping IP protection 2012/12/01 20:15:23 +0100 VALUED-1EA80BFA *** MESSAGE IP Protection stopped successfully 2012/12/01 20:15:35 +0100 VALUED-1EA80BFA *** MESSAGE Database refreshed successfully 2012/12/01 20:15:35 +0100 VALUED-1EA80BFA *** MESSAGE Starting IP protection 2012/12/01 20:16:17 +0100 VALUED-1EA80BFA *** MESSAGE IP Protection started successfully 2012/12/01 20:20:45 +0100 VALUED-1EA80BFA *** MESSAGE Executing scheduled update: Daily 2012/12/01 20:21:04 +0100 VALUED-1EA80BFA *** MESSAGE Database already up-to-date Logdatei 4: 2012/12/02 08:20:34 +0100 VALUED-1EA80BFA *** MESSAGE Starting protection 2012/12/02 08:20:34 +0100 VALUED-1EA80BFA *** MESSAGE Protection started successfully 2012/12/02 08:20:34 +0100 VALUED-1EA80BFA *** MESSAGE Starting IP protection 2012/12/02 08:21:21 +0100 VALUED-1EA80BFA *** MESSAGE IP Protection started successfully 2012/12/02 08:52:33 +0100 VALUED-1EA80BFA *** MESSAGE Starting protection 2012/12/02 08:52:34 +0100 VALUED-1EA80BFA *** MESSAGE Protection started successfully 2012/12/02 08:52:34 +0100 VALUED-1EA80BFA *** MESSAGE Starting IP protection 2012/12/02 08:54:22 +0100 VALUED-1EA80BFA *** MESSAGE IP Protection started successfully 2012/12/02 09:12:32 +0100 VALUED-1EA80BFA *** MESSAGE Starting protection 2012/12/02 09:12:32 +0100 VALUED-1EA80BFA *** MESSAGE Protection started successfully 2012/12/02 09:12:32 +0100 VALUED-1EA80BFA *** MESSAGE Starting IP protection 2012/12/02 09:14:21 +0100 VALUED-1EA80BFA *** MESSAGE IP Protection started successfully Logdatei 5: 2013/01/05 21:00:19 +0100 VALUED-1EA80BFA *** MESSAGE Protection stopped 2013/01/05 21:43:28 +0100 VALUED-1EA80BFA *** MESSAGE Starting database refresh 2013/01/05 21:48:39 +0100 VALUED-1EA80BFA *** MESSAGE Database refreshed successfully Logdatei 6: 2013/01/06 17:36:06 +0100 VALUED-1EA80BFA *** MESSAGE Protection stopped Das ist das, was ich bis jetzt gemacht habe. Was benötigt es nun zur definitiven Reinigung meines Laptops? Jedes Aufstarten bedeutet wieder, den Laptop zu überlisten, um an der Problemlösung arbeiten zu können, denn jedes Mal muss ich die Sperre erneut überwinden. Herzlichen Dank für Eure Hilfe schon jetzt. Lieben Gruss Anst66 P.S.: Den Defogger von jpshortstuff kann ich nicht downloaden, es zeigt Re-enable / disable an. Geändert von Anst66 (06.01.2013 um 18:32 Uhr) |
| Themen zu Laptop gesperrt aufgrund von Trojanern (Geldzahlung verlangt zur Entsperrung) |
| administrator, anti-malware, autostart, bild, bildschirm, dateien, explorer, explorer.exe, gelöscht, gesperrt, laptop, links, malwarebytes, microsoft, quarantäne, rogue.residue, scan, service pack 3, software, speicher, temp, trojan.agent, trojaner, update |
Baum-Darstellung