|
Achtung! Windows wurde aus Sicherheitsgründen blockiert. Hallo, ich habe seit gestern folgende Meldung: Das Bild wird Schwarz, in der Mitte kommt ein "Windows" Fenster! Titel: Achtung aus Sicherheitsgründen wurde ihr Windowssystem blockiert! Text so ähnlich wie : Durch zu viel surfen auf infizierten Seiten wurde ihr System zu arg verseucht und wird nun blockiert. Nun soll ich durch eine PaySafecard 50 € zahlen und der PC wird bereinigt. Welche Scans muss ich hochladen, um von den Experten hier die Info über das weitere Vorgehen zu bekommen. HiJackThis und den Report von Avira, reicht das? Danke |
hi, starte das gerät neu, drücke f8 wähle abgesicherter modus mit netzwerk. dann lade den avira report hoch. Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
|
Hallo, danke für die schnelle Antwort. Ich bin gerade dabei die Logs zu erstellen. GMER läuft schon seit ein paar Stunden. Ist das normal? Michael |
O.K. Hier nun die Dateien. Ich hoffe ich habe alles richtig eingestellt. Danke Michael |
hi wenn du den nutzernamen im log geendert hast, passe ihn im script an, damit es läuft. dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code: :OTL• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
|
Hallo markusg, soll ich nach dem Fix im OTL beim Neustart im abgesicherten Modus oder im Normalmodus weitermachen. Beim Normalmodus mit Netzzugang sperrt mich nämlich der Virus sehr schnell. Also Normalmodus oder abgesichert um die zip.Datei hochzuladen. Danke. Michael |
Also hier erstmal das Textdokument (01222012 201528.txt) aus OTL nach dem Neustart. Die Datei aus Movedfiles werde ich jetzt mal aus dem "normalen" Modus probieren. Mal sehen ob es klappt. Ich werde dich dann informieren ob der Upload geklappt hat. Danke soweit. |
ja, wie gesagt, in den normalen modus starten bitte :-) |
Hallo, kaum ist der PC im Normalmodus aktualisiert sich AntiVir (2 neue Dateien) und während ich auf das zippen warte (dauert sehr lange) kommt die Meldung, dass AntiVir einen Virus gefunden hat und zwar in ...OTL/MovedFiles/.../firefox.exe mit Verweis auf das Trojanische Pferd TR/Ransom.EJ.80 Aktion: in Quarantäne verschieder oder löschen oder umbenennen oder zugriff verweigern oder ignorieren ich mache jetzt erst mal nichts und warte auch das zippen und den upload; kann ich denn den virenscanner für den upload deaktivieren wenn das bildschirmfenster mit dem fund offen ist und kann es sein, dass das zippen nicht klappt, weil Avira in der Datei einen Virus entdeckt hat? Bitte Info über die nächsten Schritte. |
wähle mal ignorieren und dann rechtsklick auf den regenschirm von avira, und guard deaktivieren. |
o.k. hat geklappt Info von euch: Datei: MovedFiles.zip empfangen Vorgang erfolgreich abgeschlossen. und noch zwei Fragen: - Kann ich den Avira wieder aktivieren? Und wenn ja was mache ich mit dem Fund, der dann wahrscheinlich wieder angezeigt wird? - Firefox zeigt noch folgendes Fenster an: Ein Skript auf dieser Seite ist eventuell beschäftigt oder es antwortet nicht mehr. Sie können das Skript jetzt stoppen oder fortsetzen, um zu sehen, ob das Skript fertig wird. Skript: file:///C:/Programme/Mozilla%20Firefox/components/nsBlocklistService.js:648 Aktionen: Weiter ausführen oder Skript stoppen |
hi, avira kann wieder angeschalten werden. wir gucken mal noch weiter: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
Hallo, der Scan von combofix wurde bei Teil 50 durch einen schweren Windowsfehler beendet. Combofix unter Laufwerk C wird nicht mit den einzelnen Unterdateien angezeigt sonderns als eigenes Laufwerk. Was nun? |
versuche den scan noch mal im abgesicherten modus, mit f8 bei system start zu erreichen. |
Das mit dem erneuten Scan probiere ich. Was ist mit der Ff-Meldung Ein Skript auf dieser Seite ist eventuell beschäftigt oder es antwortet nicht mehr. Sie können das Skript jetzt stoppen oder fortsetzen, um zu sehen, ob das Skript fertig wird. Skript: file:///C:/Programme/Mozilla%20Firefox/components/nsBlocklistService.js:648 Aktionen: Weiter ausführen oder Skript stoppen |
Hallo, also hier der Scan von combofix. Bitte auch noch Eintrag 15 lesen und kurzen Hinweis ob das Script auch mit dem Virus zu tun hat / hatte. Danke. |
ich habe es schon gesehen, klicke erst mal auf ausführen, darum kümmern wir uns dann. malwarebytes: Downloade Dir bitte Malwarebytes
|
Scan von malware nach 14 stunden laufzeit abgebrochen; werde den heute noch mal starten. |
ist das normal, dass der scan so lange dauert? besonders bei den ganzen jpgs auf der Festplatte hält sich malwarebytes lange auf. Kann ich auch bestimmte Ordner ausblenden? |
dauert halt, arbeite nicht am pc, schalte alle aktiven programme aus. |
So jetzt sind wir einen Schritt weiter. Scan mit malwarebytes fertig. Eine (1) inf. Datei gefunden (Trojan.VUPX.Gen); siehe Log-Datei. Gleichzeitig meldet auch Avira wieder den Fund (im Ordner C:/OTL/movedfiles/.../firefox.exe) und erkennt diesen als das troj. Pferd TR/Ransom.EJ.80, den ich aber ignoriert habe. Und nun ? |
lade den CCleaner standard: CCleaner Download - CCleaner 3.14.1616 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
o.k. habe die liste angehängt kannst du dir auch bitte mal die autostart einträge ansehen (Anhänge startup und starup IE) Danke schon mal. |
deinstaliere: ABBYY Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: ALDI NORD Caillous CD/DVD DivX dm-Fotowelt Filou Free Audio Free YouTube Google beide HiJackThis InfraRecorder InterVideo beide IrfanView itunes updaten: Apple deinstaliere: J2SE Java Download der kostenlosen Java-Software downloade java jre instaliren. deinstaliere: Janosch Macromedia firefox update! Webbrowser Firefox auf Deutsch | Schneller, sicherer und anpassbar instaliren. deinstaliere: MyFreeCodec Nokia Onlineprint24 PC Connectivity Rossmann SCHLECKER öffne otl, bereinigen, neustarten, remover werden gelöscht.. öffne ccleaner, analysieren, bereinigen, neustarten, testen ob alles läuft |
Hallo markusg, soweit habe ich jezt alles erledigt. Hat alles geklappt und es funktioniert auch anschl. alles wieder. ABER - der Rechner braucht 10 min (handgestoppt) zum Hochfahren. Noch weitere Scans notwendig? |
wie lang hat er vorher benötigt? gibts irgend eine stelle wo er besonders lang hängt? |
Hallo. Vorher hat die PC die "normalen" 2 minuten (max.) gebraucht. Wo er besonders lange hängt ist schwer zu sagen. Auch Zugrifszeiten auf die Festplatte sind recht lang. Bsp.: im Explorer Klick auf Arbeitsplatz sollte die Laufwerke C, D anzeigen. ERst kommt dann aber das Symbol Datein werden gesucht (die Taschenlampe) und dann nach ein paar Sekunden die Ordnerliste. |
Ergänzung zu #27 Habe noch mal ein paar Male hoch/runtergefahren. Zuerst erscheint das MS WIN-XP Logo mit einem Balken der durchläuft. Allerdings habe ich den Eindruck, dass keine echte Festplattenaktivität stattfindet. Anschl. wird der Bildschirm ca. 1 min fast schwarz und erst dann hört man das typische Festplattensurren. Danach dann der normale Win-Willkommenbildschirm. Bei einem Hochfahren war sowohl die Win-Firewall als auch Avira zunächst inaktiv. Hat sich dann aber automatisch aktiviert. Kommt mir etwas komisch vor. Hast Du noch eine Idee? Nachtrag: Habe noch 2 Screenshots hochgeladen über euren Upload-Channel. |
hi, schon mal unter start ausführen msconfig enter systemstart, geguckt ob alles unnötige aus ist, außer avira und tatch pad. dann mal neustarten lassen und gucken obs besser wird. |
Das mit dem hochfahren ist leider noch nicht behoben. Dafür hat Avira heute 3 Meldungen gemacht. Hier in Kurzform die kompletten Ereignisse als Anhang. In der Datei 'C:\System Volume Information\_restore{CD422EF0-7AC6-4784-8A46-960726A609FA}\RP1223\A0122305.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Softomat.AN' [trojan] gefunden., Ist das noch ein Fund auf Grund des alten Virus'? Was hat der alte Trojaner eigentlich gemacht. Ggf. Passwörter "mitgeschrieben"? Und manchmal ist beim Hochfahren zunächst die Win-Firewall als auch Avira zunächst inaktiv. Hat sich dann aber automatisch aktiviert. |
rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, bestätigen, übernehmen ok. 5 min warten, wieder einschalten. gehe dann auf c: dort öffne die boot.ini und poste deren inhalt |
Hallo Markus, erledigt. Die boot.ini finde ich nur als boot.bak unter C:/ oder als boot.ini.backup im ordner C:/windows/pss Hier der Inhalt der boot.ini.backup aus dem msconfig [boot loader] timeout=3 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect |
öffne mal arbeitsplatz, extras ordneroptionen ansicht versteckte dateien und ordner einblenden, on geschützte system dateien ausblenden, off, nachfrage bestätigen. inhalte von systemordnern einblenden, on übernehmen ok dann erneut c: öffnen und gucken ob die boot.ini da ist |
Hallo, ja da war die Datei ... aber mit dem gleichen Inhalt [boot loader] timeout=3 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect Unter msconfig gibt es bei boot.ini den Button "Startpfade überprüfen". Dann kommt die Meldung, dass die Zeile C:/CMDCONS/BOOT....usw. auf ein ungültiges Betriebssystem verweist. Aktion: Zeile löschen? |
genau das machst du jetzt :-) dann neustarten und gucken ob es eine verbesserung gibt. |
Ja, alles erledigt - aber die Startzeiten sind immer noch zum Einschlafen. Hast Du noch eine Idee oder hilft nur noch neuaufsetzen??? |
nein, mir gehen ehrlich gesagt die ideen aus. da wäre ohl wirklich am besten daten sichern, neu aufsetzen und dann absichern. |
evtl. noch ein scan mit einem eurer toolprogramme??? |
nein, an malware sollte es nicht liegen. befor wir da noch viel mehr zeit reinstecken nehmen wir den kürzesten weg, der dann auch den erfolg bringt :-) |
Hallo, bin mit dem neu aufsetzen noch nicht angefangen. Habe gestern 1 x avira voll durchlaufen lassen - kein Fund. Heute Abend direkt nach dem Hochfahren: In der Datei 'C:\Programme\Gemeinsame Dateien\DVDVideoSoft\FreeStudioManager.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Jetzt vielleicht noch eine Chance? |
das ist ein fehlalarm. du hast jetzt 2 tage mit avira scans verbraucht, in der zeit hättest locker deine daten gesichert... |
also dann ... auf gehts kannst du mir mal senden was danach so an einstellungen zu machen ist, um die ganzen programme, die beim neukauf auf dem laptop alle drauf waren (icq und der ganze quatsch) zu löschen außerdem welche firewalls oder virenscanner empfiehlst du? |
hi, um das deinstalieren können wir uns hinterher kümmern. als antimalware programm würde ich emsisoft empfehlen. diese haben für mich den besten schutz kostet aber etwas. http://www.trojaner-board.de/103809-...i-malware.html testversion: Meine Antivirus-Empfehlung: Emsisoft Anti-Malware dieses nutze ich auch selbst und es bietet sehr guten schutz vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen. kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen. http://www.trojaner-board.de/110895-...antivirus.html sag mir welches du nutzt, dann gebe ich konfigurationshinweise. bitte dein bisheriges av deinstalieren die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: https://www.google.com/chrome?hl=de falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: http://filepony.de/download-sandboxie/ anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: Windows 7 Systemabbild erstellen (Backup) Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser |
so da bin ich wieder - habe allerdings schon den avira installiert .... werden den deinstallieren und dann avast installieren mein system ist windows xp - sp3; Vista und Win7 Programmteile kann ich also nicht nutzen. als browser würde ich gerne firefox nutzen - gibt es da bestimmte Einstellungen? |
hi, sorry, dann arbeite die passage xp ab. was spricht gegen den chrome, hast du ihn dir angesehen? in sachen sicherheit vor dem ff, und sollte auch schneller sein, im allgemeinen. |
überzeugt/überredet - auch chrome ist genehm ... also welche einstellungen schlägst du vor? |
chrome konfig: Sicher surfen mit Google Chrome | Verbraucher sicher online adblock für chrome: http://filepony.de/download-adblock_chrome/ damit sollte das leben werbefreier von statten gehen. |
gibt es ein bestimmtes e-mail programm, das ihr vorschlagt; hatte bislang immer outlook express und eigentlich keine probleme; ist thunderbird sicherer? |
nö, outlook ist schon ok. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board