Trojaner-Board - ''Windows System blockiert''

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - ''Windows System blockiert'' (https://www.trojaner-board.de/107724-windows-system-blockiert.html)

''Windows System blockiert''

Hallo Trojaner-Board,

Als ich mit meinem Laptop im Internet war öffnete sich aufeinmal ein Fenster
mit der Überschrift ''Windows System blockiert'' als ich dann bemerkte das Ich dieses Fenster auch nicht mehr schließen kann machte ich mich bei Google mal schlau & fand ein paar Beiträge nun bitte ich hier um Hilfe. Ich schreibe zurzeit von einem anderen PC aus da Ich mein Laptop nur im Offline modus nutzen kann.
Ich hoffe auf Hilfe

Mfg. Nico

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Ja ich habe den Laptop jetzt im Abgesicherten Modus mit Netzwerktreibn gestartet.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hier der Vollscan von malwarebytes:

Code:

 Malwarebytes Anti-Malware (Test) 1.60.0.1800

www.malwarebytes.org
 

Datenbank Version: v2012.01.07.04
 

Windows 7 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 8.0.7600.16385

Nico :: NICO-PC [Administrator]
 

Schutz: Deaktiviert
 

08.01.2012 01:35:21

mbam-log-2012-01-08 (03-07-40).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 418189

Laufzeit: 1 Stunde(n), 15 Minute(n), 8 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{70280484-7645-11DF-BC0A-806E6F6E6963} (Trojan.Agent) -> Daten: C:\Users\Nico\AppData\Roaming\Microsoft\dllhsts.exe -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 3

C:\Users\Nico\AppData\Roaming\Microsoft\dllhsts.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

C:\Users\Nico\AppData\Local\Temp\0.4537499697959665.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

C:\Users\Nico\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\1449df12-2e028f6a (Trojan.Agent) -> Keine Aktion durchgeführt.
 

(Ende)

Und vom ESET Online Scanner:

Code:

 ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=18cf28ac5b49f047a8c3f273ddd137f0

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-08 04:35:17

# local_time=2012-01-08 05:35:17 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7600 NT 

# compatibility_mode=513 16777086 100 97 43013 59074125 0 0

# compatibility_mode=1797 16775166 100 94 192706 62528965 268420 0

# compatibility_mode=5893 16776574 66 85 35355465 77621959 0 0

# compatibility_mode=8192 67108863 100 0 3714 3714 0 0

# scanned=254431

# found=6

# cleaned=0

# scan_time=5208

C:\Program Files\Trend Micro\Internet Security\TmpxTmp\httDD7B.tmp        Win32/Adware.ToolPlugin application (unable to clean)        00000000000000000000000000000000        I

C:\Program Files (x86)\GamersFirst\War Rock\system\WarRock.exe        a variant of Win32/Packed.Themida application (unable to clean)        00000000000000000000000000000000        I

C:\Users\Nico\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\2a208291-601c3b2a        Java/Exploit.CVE-2011-3544.D trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Nico\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\7bca757-3ebc2797        Java/Exploit.CVE-2011-3544.S trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Nico\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\46bd8a30-39eb35d4        Java/Exploit.CVE-2011-3544.S trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Nico\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\309fcdc6-5bd0adc5        a variant of Java/TrojanDownloader.Agent.ME trojan (unable to clean)        00000000000000000000000000000000        I

Möchte mich an der stelle für deine Hilfe bedanken :)

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Alles Klar werde Sie Löschen, wars das dann schon oder kommen weitere schritte :?

Code:

 Malwarebytes Anti-Malware (Test) 1.60.0.1800

www.malwarebytes.org
 

Datenbank Version: v2012.01.08.03
 

Windows 7 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 8.0.7600.16385

Nico :: NICO-PC [Administrator]
 

Schutz: Deaktiviert
 

08.01.2012 21:43:49

mbam-log-2012-01-08 (21-43-49).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 418340

Laufzeit: 1 Stunde(n), 14 Minute(n), 21 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

So hoffe das alles passt.

Funktioniert der normale Modus wieder?

Wow es geht !
Wirklich Vielen Vielen Danke für die Hilfe :) !
Mein ernst Vielen Dank !

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread