Trojaner-Board - Windows Security sperrt PC, 100 Euro (die Hundertste)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Security sperrt PC, 100 Euro (die Hundertste) (https://www.trojaner-board.de/108992-windows-security-sperrt-pc-100-euro-hundertste.html)

Windows Security sperrt PC, 100 Euro (die Hundertste)

Hallo!

Ich sitze an einem fremdem Rechner und vorhin ging auf einmal nix mehr, bis dann die Meldung kam, das Windows sei nicht lizensiert, ich solle innerhalb kurzer Zeit 100 Euro zahlen, sonst werde alles gelöscht.
Ich habe mich hier ein bisschen eingelesen, habe die dds.txt und attach.txt gezippt und hänge sie hier an; kann ich bereits irgendwas mit OTL machen, während sich ein freundlicher und hilfsbereiter Mensch mit den Dateien beschäftigt? Das habe ich nicht so ganz begriffen, die einen hatten da gleich was im ersten Post, die anderen nicht, ich bin mal lieber auf Nummer sicher gegangen.

Vielen Dank schon jetzt für eure Hilfe!!!

hi,
starte mal neu, drücke f8 wähle abgesicherter modus mit netzwerk
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hi Markus,

danke für deine schnelle Antwort! :-)
Habe die beiden Dateien wieder gezippt in den Anhang gepackt.

ist das der scan vom infizierten nutzer? falls nein mit dem anmelden und noch mal ausführen, im abges. modus

Es gibt auf diesem Rechner offenbar nur einen Benutzer (lenje), ich hatte nicht die Möglichkeit irgendwas auszuwählen. Oder hätte ich im OTL irgendwelche Häkchen setzen müssen? Ich hab OTL.exe einfach als Admin ausgeführt, den Text in die Box eingefügt und auf Quick Scan geklickt.

edit: Zusatzinfo, die ich im ersten Beitrag vergessen habe: ich habe, als die Meldung erschien, den Rechner per langem Drücken auf den Ein-/Aus-Schalter ausgeschaltet und dann wieder hochgefahren. Die Meldung ist dann nicht wieder erschienen, allerdings hat mich Windows sofort gefragt, ob ich eine .dll ausführen möchte. Das habe ich verneint. Die Scans habe ich dann alle im abgesicherten Modus gemacht.

hi, versuchen wir erst mal dieses.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hi, hier das Logfile, obwohl nichts gefunden wurde...:

Zitat:

Malwarebytes Anti-Malware 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.02.03.08

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
lenje :: PETE [Administrator]

03.02.2012 19:42:43
mbam-log-2012-02-03 (19-42-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 427449
Laufzeit: 1 Stunde(n), 6 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ich habe eine kurze Zwischenfrage, für den Fall, dass mir heute keiner mehr auf dem weiteren Weg behilflich sein kann:
wie gefährlich wäre es, den Computer im Normalmodus zu starten, um beispielsweise Mails abzurufen, Dateien zu sichern, bei Facebook Nachrichten zu verschicken usw?

Danke nochmal für die unglaublich schnelle Hilfe! Vielleicht gibts ja morgen dann die endgültige Lösung. :-)

Guten Morgen!
Es wäre toll, wenn jemand noch weitere Lösungsansätze parat hätte, meine Freundin ist zur Zeit ziemlich angewiesen auf ihren Rechner und im Moment ist die Benutzung von allem außer dieser Seite im abgesicherten Modus so ziemlich tabu, wenn ich das richtig sehe?

edit: sorry, ich habe eben erst den Abschnitt "wenn niemand antwortet" gelesen.

hi, wir nähern uns dem ende.
rechner im normalen modus starten.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.15.1643
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

hi, danke für die schnelle Antwort!
Ich war jetzt zum ersten Mal seit gestern im Normalmodus. Es gab diesmal keinerlei Meldung, weder das Fenster mit der Warnung noch wurde ich von Windows nach einer .dll gefragt. Ich geh mal davon aus, dass das über die Sauberkeit des Rechners wenig aussagt? ^^

Hier die Liste:

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Adobe Photoshop
Adobe Shockwave
Amazon
aMule
Apple
Bing
BrettspielWelt
CrissCross
DAEMON
Dell Webcam
DivX Player
Dynomite
EasyBits
Edna
ElsterFormular beide
Google: alle
Java: alle
Download der kostenlosen Java-Software
downloade java jre, instalieren.

deinstaliere:
Live!
Microsoft Office: falls wirklich nicht nötig, alle weg.
Mystery Case: alle
Norton
Opera

Mozilla Thunderbird:
Thunderbird Mail DE
hier das update laden und instalieren.

deinstaliere:
PowerDVD
Skype Toolbars
Speisekarten
TalkAndWrite TalkAndWrite
TES
The Void
WildTangent
Winamp Detector
Windows Live : falls keine dienste verwendet werden, alles weg.

öffne otl, klicke bereinigen, pc startet neu, remover werden gelöscht.
öffne ccleaner, analysieren, bereinigen, neustarten, testen ob pc und programme nach wunsch laufen.
falls dem so ist, sind wir nen gutes stück weiter und müssen den pc dann noch absichern

Hi Markus, es hat alles geklappt, nur bei einigen Programmen zeigte mir Ccleaner eine Fehlermeldung an (kann angegebene Datei nicht finden):
- Adobe Photoshop
- Adobe Shockwave
- aMule
- BrettspielWelt

Programme und Rechner scheinen auch zu laufen, wobei der Neustart nach der Bereinigung etwas länger gedauert hat, das erstmalige Öffnen der Programme ebenfalls.
Also weiter mit der Absicherung?

für die deinstalationen, die nicht durchliefen:
http://www.hijackthis-forum.de/tipps...installer.html
revo sollte es machen.
dann noch mal prüfen ob es immernoch langsamer als sonst ist.

Revo HAT es gemacht. ;-)
Das Öffnen von Programmen dauert allerdings noch immer ziemlich. Wenn sie erstmal offen sind, läuft aber alles problemlos.

edit: einige Zeit nach dem Hochfahren (10+ min.) geht alles bedeutend schneller.
edit2: wenn du mir das ok gibst, würde ich mit den "Maßnahmen zur Absicherung des Rechners" weitermachen, die Shadow gerade im "Erinnerung an meinen Thread" empfohlen hat.

noch nicht.
gehe mal auf start ausführen tippe:
msconfig
enter
dann systemstart, alles aus außer wlan und antimalware programm.
ok klicken, neustart ausführen und gucken ob es ne verbesserung gibt.

Ja, so geht es SEHR viel schneller! Auch direkt nach dem Hochfahren.

ok, bitte noch mal testen ob alles passt, dann jetzt die anleitung.
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
wenn ihr onlinebanking, einkäufe sonstige zahlungsabwicklungen oder berufliches über das gerät abwickelt ist eine solche investition auf grund sensibler daten auf jeden fall zu empfehlen.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung

Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/
anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Ok, los gehts: erst mal: soll ich die systemstarteinstellungen jetzt so lassen?
Wir würden erstmal avast benutzen, da das Geld zur Zeit einigermaßen knapp ist. Emisoft anit-malware ist dann aber auf jeden Fall die nächste geplante Investition!

Problem bei den Updates: ein "Sicherheitsupdate für Microsoft Works" schlägt immer wieder fehl, es soll eine CD eingelegt werden, die nicht existiert (Notebook wurde von Dell mit installiertem Windows 7 und OHNE CD/DVD ausgeliefert).

Ich habe glaube ich alles abgearbeitet bis auf die Sandboxsache, das soll sich meine Freundin mal selber anschauen, die ist gerade außer Haus um an einem anderen Rechner zu arbeiten.
Wenn du mir noch die Konfigurationshinweise für avast gibst, wären wir durch, oder?
Schonmal ein riesiges Dankeschön, ohne deine Hilfe wären wir ziemlich aufgeschmissen gewesen (bzw hätten wohl den Standarttipp des chip.de-Forums befolgt: Festplatte formatieren und neu aufsetzen...)!!!

edit: eine etwas doofe Frage habe ich noch: ich hab ja jetzt ein Standartbenutzerkonto angelegt, mich da gerade eingeloggt: muss ich alle Software (Chrome, Spiele, Winamp, Thunderbird usw) neu installieren und einrichten? Gibt es keine Möglichkeit, die Einstellungen vom alten (admin-)Konto zu übernehmen?

melde dich mal als admin an, dann dort auf c:\benutzer\name des admins
rechtsklick desktop, kopieren.
dann:
c:\benutzer\name des standard kontos
rechtsklick, einfügen, überschreiben bestätigen.
das selbe mit
AppData
Eigene Bilder
und was sonst benötigt wird.
läuft es dann?
wenn das mit den updates nicht klappt, blende sie mal aus.

avast konfig:
http://forum.avadas.de/download/inst...on_avast_6.pdf

und doofe fragen gibts nicht, wir sind dafür hier um eure pcs vernünftig abzusichern :-)

der Desktop ist das kleinste Problem, das sind ja nur ein paar Dateien, die da rumliegen. Wichtig wären mir halt Programme. Wenn ich im neuen Nutzer unter start nach "chrome" suche, findet er nichts, obwohl ich das im admin-Konto ja frisch installiert habe. welche Ordner müsste ich denn dann kopieren? Ist das der AppData? Zur Not installiere ich aber auch nochmal neu, das schaffe ich jetzt auch noch... ;-)
Wärs das denn ansonsten? Dann mach ich nämlich auch mal eine Pause. ;-)

ja, wenn du die von mir genannten ordner kopierst sollte es klappen.
versuch das erst mal, dann kommen noch ein paar kleinigkeiten wie konfig von chrome.

jep, hat tatsächlich geklappt!

das ist doch schon mal was.
adblock für chrome:
https://chrome.google.com/webstore/d...namgkkbiglidom
ghostery:
http://filepony.de/download-ghostery_chrome/
damit kann man das tracking unterdrücken.
und diesen artikel lesen und konfigurieren:
Sicher surfen mit Google Chrome | Verbraucher sicher online

Adlock war das erste, was ich installiert habe. ;-)
Danke für den Rest. War das dann alles?

edit: kleine Zusatzfrage: spricht irgendwas gravierendes gegen Firefox? Bedienkomfort und/oder die Macht der Gewohnheit sprechen nämlich sehr dafür! ;-)

so, fertig!
Wenn das dann alles war, nochmal ganz, ganz herzlichen Dank! Ne Spende wird sich auf jeden Fall heute oder morgen auf den Weg machen!
Dir noch nen schönen Sonntag!

hi,
wie gesagt, in sachen sicherheit, aber auch bei geschwindigkeit sollte der chrome vorn liegen.
was fehlt denn beim chrome, evtl. kann man da ja noch was machen damit es praktischer wird.

Was mir besonders fehlt, sind die praktischen Suchleisten rechts oben (Wikipediea, Youtube etc.). Ich finde auch nicht so vertrauenswürdig, dass man erstmal die ganzen "Spionageeinstellungen" von Google selbst deaktivieren muss... Beides natürlich nicht weltbewegend, aber eben ein bisschen nervig.

edit: die Lösung hab ich nun gefunden: eine Erweiterung namens "Search Box".

welche spionage einstellungen meinst du genau? das senden von fehlerberichten, das hat der firefox und jeder andere browser auch.
wenn es sich auf ghostery bezieht, das gibts auch für andere browser und das verhindert ja das tracking von mehreren diensten.
sonst sind mir keine spionage werkzeuge vom chrome bekannt und es gibt da auch schon länger nichts mehr.

stimmt, das meinte ich in erster linie. aber insgesamt hatte ich das gefühl, dass in den einstellungen öfter mal was mit "... an google senden" vorkam. nutzungsstatistiken, surfverhalten usw. (phishing-/malwareschutz, vervollständigen von suchanfragen, navigationsfehler beheben...). ich war schon positiv überrascht, dass man das überhaupt abstellen kann, bin aber auch nicht völlig überzeugt davon, dass da nicht vielleicht doch irgendwas gesendet wird. abgesehen davon ist mir die monopolstellung von google insgesamt ein klein bisschen unheimlich... ;-)

hi, das mit den fehlerberichten, hast du wie gesagt immer bei jedem browser.

das surfverhalten an google senden finde ich jetzt nicht, außer du meinst das zur optimierung der ladezeit, aber wie gesagt, kann man das ja alles sehr leicht abstellen.
du hast doch hoffendlich nicht den malware schutz ausgeschalten? der ist wichtig.
naja, die monopol stellung, wenn sie nun mal ein qualitativ gutes produkt bieten, ist doch nichts gegen den chrome einzuwenden, zumal firefox und der internet explorer in den meisten statistiken noch vorn liegen.
es ist also eher viel wirbel um wenig :-)