Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert
 

Hallo,

vor ein paar Tagen hat es mein Laptop auch erwischt: "Achtung! Aus Sicherheitsgründen ...".
Durch googlen bin ich auf dieses Forum gelangt.
Was habe ich bisher getan: Malewarebytes drüber laufen lassen (wie empfohlen) auch Avira. Außerdem habe ich OTL runtergeladen, die Dateien habe ich angehängt.
Ich muß mich gleich mal outen, daß ich nur ein Anwender-Depp bin :party:, d.h. ich wahrscheinlich ein wenig länger brauche um die Lösungsschritte zu verstehen. Bitte habt Geduld mit mir. Vielen Dank!!!!
Greetz Toolman

Nachtrag:
Malewarebytes und Avira hatte ich auch vor Weihnachten drüber laufen lassen, seitdem läuft der Rechner wieder und die Anzeige (Aus Sicherheits....) kommt nicht mehr.

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo,

hier sind die Dateien.
Danke schonmal fürs Helfen.
Gruß Toolman

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

thanx a lot!
Ich werde es die nächsten Tage, nach deiner Anleitung, machen und melde mich dann wieder.
Auf jedenfall schonmal einen guten Rutsch.
greetz Toolman

Hier der Vollscan von Malewarebytes, der Rest folgt dann Morgen:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122204

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30.12.2011 23:13:46
mbam-log-2011-12-30 (23-13-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 311657
Laufzeit: 1 Stunde(n), 31 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

jetzt habe ich auch das mit den Code-Tags kapiert :rolleyes:
hier sind die früheren Ergebnisse von Avira:

Das Ergebnis vom ESET-Online-Scanner folgt später auch noch.

hier der log-file vom ESET Online Scanner:

dann mal guten Rutsch:party:

greetz Toolman

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

hi,

hier das Teil vom OTL:

und hier der custom-scan:


war das so richtig?

greetz Toolman

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Ja, ich habe meinen Benutzernamen unkenntlich gemacht. Ich kann aber in deinem geposteten code keine Sterne finden. Was soll ich tun? Den Code trotzdem reinkopieren?

Danke für dein Verständnis:confused:

Ja dann natürlich nicht :pfeiff:
Aber mach bitte aus den hxxp ein http
Normalerweise editiert ich das immer wieder zurück nur hier hab ich nicht dran gedacht

das habe ich dabei herausbekommen:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

ich werde mich Morgen Abend dran machen.......ich dank dir schonmal recht sackrisch.

greetz Toolman

nabend....ich hoffe es kann weitergehen.

Das ist das Ergebnis vom TDSS-Killer:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

hier das ergebnis von combofix:

bitteschön......dankeschön......

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

und weiter geht es:

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Hi Arne,

nochmals Danke fürs Helfen. Trotzdem mal ne Fragen zwischendurch zwecks "Wasserstandsmeldung": Kannst du was erkennen ob da noch was ist oder hat es sich vielleicht schon erledigt?
Laut dem Avira-Scan vom 31.12. wurde ja was gefunden und entfernt, bzw. in Quarantäneverzeichnis verschoben:

hier ist nochmal der Eintrag von Seite 1 vom 31.12.2011

greetz vom Toolman

Code:

In der Datei 'C:\Users\*****\AppData\Roaming\Opera\Opera\opera.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Code:

In der Datei 'C:\Users\*****\AppData\Roaming\Opera\Opera\opera.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Code:

In der Datei 'C:\Users\*****\AppData\Local\Temp\wpbt0.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Code:

In der Datei 'C:\Users\*****\AppData\Local\Temp\wpbt0.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Code:

Die Datei 'C:\Users\*****\AppData\Local\Temp\wpbt0.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1421e0.qua' verschoben!


Code:

In der Datei 'C:\Users\*****\AppData\Local\Temp\wpbt0.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Code:

In der Datei 'C:\Users\*****\AppData\Roaming\Opera\Opera\opera.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Code:

In der Datei 'C:\Users\*****\AppData\Roaming\Opera\Opera\opera.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Code:

In der Datei 'C:\Users\*****\AppData\Roaming\Opera\Opera\opera.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Code:

Die Datei 'C:\Users\*****\AppData\Roaming\Opera\Opera\opera.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3c3791.qua' verschoben!


Code:

Die Datei 'C:\Users\*****\AppData\Roaming\Opera\Opera\opera.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Lebag.Ive.1' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

ja, das mit der Quarantäne habe ich verstanden. Die gefundenen Teile sind isoliert...passt soweit.
Die anderen Scanner haben ja anscheinend nichts mehr gefunden, soweit ich das lesen konnte, ist das richtig?

Ich kann mich erst am Wochenende um die Datensicherung kümmern.....melde mich dann wieder.....thanx a lot.

hi,

ich habe jetzt den FIX MBR gemacht und dann das Log erstellt:

Du solltest Windows neu starten und ein neues Log mit aswMBR machen. Das Fixlog selbst wollte ich eigentlich nicht sehen.

jetzt habe ich nochmal mit dem Button SCAn gearbeitet. Hier ist der log:

wolltest du das haben? oder muß ich was anderes machen?!?!
greetz Toolman

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

hier das ergebnis von MALEWAREBYTES:

....und hier das Ergebnis von SUPERANTISPYWARE:

hier kam was raus! Ich habe noch nichts gelöscht oder in Quaratäne verschoben, warte auf deine Anweisungen.

Muß ich den ESET Online Scanner noch machen? Auf Seite 1 habe ich den schonmal gemacht und das Ergebnis eingestellt.

Gruß Toolman

Die Cookies können weg.
Was ist das in deinem Musikordner?

Keine Ahnung, was das ist????? Meinst du die Gruppe (Sum41)? Soll ich es auch löschen? Bin da ein wenig überfragt:confused:

Tja, da hast wohl Musik bekommen, die über Tauschbörsen verbreitet wird => BitComet :pfeiff:

ok, dann weiß ich das jetzt auch..........war sowieso nicht der burner, die cd:daumenrunter: hab gleich mal gelöscht.

was nun? hast du mal einen kleinen zwischenbericht?

ich danke dir für deine Hilfe:daumenhoc

gruß Toolman

Ich warte immer noch auf ESET :pfeiff:

der ESET Online Scanner dauert bei mir sehr lange (ca. 4-5 Stunden).
Wird heute im laufe des Tages geliefert:daumenhoc

grüße Toolman

habe den ESET Online Scanner die ganze Nacht drüber laufen lassen, gefunden wurde auch nichts. Leider kann ich den log.txt nicht finden, bin nach deinen Anweisungen vorgegangen, aber es kommt immer wieder: "..........konnte nicht gefunden werden, Stellen Sie sicher.....".

Was nun?:confused::confused:

:pfeiff:

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"

yep, hab ich genau so gemacht......ging trotzdem nichts.........:confused:

Hat ESET denn überhaupt was gefunden?

Nein, gefunden hat ESET nichts.

grüße Toolman

Dann ist es auch fast wurscht :D
Rechner soweit wieder im Lot?

Ja, der Rechner läuft, wie schon in meinem ersten post geschrieben. Nachdem AVIRA 2 Sachen in Quarantäne verschoben hat kam die Abzocker-Anzeige nicht mehr.
Denkst du, das nach den ganzen Programmen die ich drüber laufen gelast habe, alles i.o. ist? Wäre sehr beruhigend für mich:applaus:

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hi,

vielen Dank fürs Helfen:dankeschoen:

Wenn ich noch Fragen habe, werde ich mich wieder an Dich/Euch wenden:daumenhoc

Spende ist unterwegs.:party:

Greetz Toolman