Achtung!Iihr Windowssytem wurde aus Sicherheitsgründen geblockt
 

Hallo zusammen,
ich heiße Diana und bei mir trat heute erstmal das Problem auf, was hier schon mehrfach beschrieben wurde. Bei bestehender Netzverbindung wurde mein PC gesperrt, ein Fenster öffnete sich in dem unter schwarz-rot-goldenem Banner die Nachricht stand, dass mein Windowssystem aus Sicherheitsgründen gesperrt wurde und sich das Problem nur lösen lasse, wenn ich ein Sicherheitsupdate für 50€ runterlade.
Nun hatte "mfghundh" am 13.1. ein ähnliches Problem beschrieben und so folgte ich der Anweisung von Markusg, der einen Scan mit OTL vorschlug.
Hab ich jetzt gemacht und poste hier mal die Datein OTL.txt und Extras.txt.
Wäre super, wenn jemand was damit anfangen könnte und mir weiterhilft.
Danke, schon mal im Voraus.

hi


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.





• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hallo,
vielen Dank, das ging ja super schnell mit der Antwort.
Ich habs versucht nach Anleitung zu machen, Upload müsste auch geklappt haben oder?

sehr gut, danke.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo,
gut, hab ich auch gemacht und lad die Datei im Uploadchannel hoch.
Und nochmals Danke für deine Hilfe!

ne das log hier posten bitte.

Gut, dann machen wirs so. ;)
Hier die Kopie:
ComboFix 12-02-24.01 - Besitzer 24.02.2012 11:54:46.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2813.2255 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Panda Internet Security 2011 *Disabled/Updated* {4570FB70-5C9E-47E9-B16C-A3A6A06C4BF0}
FW: Panda Personal Firewall 2011 *Disabled* {7B090DC0-8905-4BAF-8040-FD98A41C8FB8}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\toolplugin\toolbar.dll
c:\dokumente und einstellungen\Besitzer\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\unin0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-01-24 bis 2012-02-24 ))))))))))))))))))))))))))))))
.
.
2012-02-23 20:47 . 2012-02-23 20:51 -------- d-----w- C:\_OTL
2012-02-23 15:54 . 2012-02-23 15:54 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\TeamViewer
2012-02-23 15:54 . 2012-02-23 15:54 -------- d-----w- c:\programme\TeamViewer
2012-02-15 21:42 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-02-15 21:42 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\dllcache\iacenc.dll
2012-02-03 18:07 . 2012-02-03 18:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2012-02-03 18:07 . 2012-02-24 10:57 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\toolplugin
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-24 09:37 . 2011-07-03 07:58 13880 ----a-w- c:\windows\system32\drivers\COMFiltr.sys
2012-02-22 10:32 . 2012-01-21 21:53 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-12 17:20 . 2007-07-24 16:46 1860096 ----a-w- c:\windows\system32\win32k.sys
2011-12-17 19:43 . 2007-07-24 16:46 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2007-07-24 16:45 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2007-07-24 16:45 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2007-07-24 16:45 385024 ----a-w- c:\windows\system32\html.iec
2011-12-10 14:24 . 2011-07-03 08:18 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.

hmm das sieht unvollständig aus.
hängs als txt datei an bitte.

Wird gemacht.

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo, also das Programm nutze ich schon seit geraumer Zeit, habe es auch gestern vollständig im abgesichertem Modus durchlaufen lassen, aber es hat nichts gefunden, genau wie das Pandaprogramm.
Mit der heutigen Version wurde auch nicht gefunden, aber ich poste mal die Log-Datei.
Heißt das, dass die Infektion behoben ist oder hat sie sich einfach nur gut versteckt?

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.24.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Besitzer :: FSC451210081712 [Administrator]

24.02.2012 16:22:42
mbam-log-2012-02-24 (16-22-42).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 281933
Laufzeit: 46 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

poste mir mal alle logs mit funden.

Okay, hab die 2 mit Funden mal hier reinkopiert:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 5752

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.02.2011 11:06:07
mbam-log-2011-02-13 (11-06-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 228560
Laufzeit: 55 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Not selected for removal.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 5752

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.02.2011 22:43:31
mbam-log-2011-02-17 (22-43-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 231376
Laufzeit: 36 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hi
lade den CCleaner standard:
CCleaner Download - CCleaner 3.16.1666
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

So ich hab mal die Programme wie sie mir bekannt sind eingeteilt, grad bei den Microsoftunterpunkten, hab ich auch nach dem Datum geschaut und da ich eigentlich nichts verändert habe, es teils auf unbekannt gesetzt.
Hoffe das passt so...

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Apple : alle
DVDVideoSoft
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren.

deinstaliere:


deinstaliere:
Mediscript

Mozilla Firefox :
Webbrowser Firefox auf Deutsch | Schneller, sicherer und anpassbar
upgrade hohlen

deinstaliere:
MSN


Panda :
aktuell ist 2012:
ANTIVIRUS 2012 - Freie - Internet Security 2012 - Kaufen - Verlängern PANDA SECURITY
schau mal ob du kostenlos upgraden kannst.

deinstaliere:
Spelling Dictionaries Support

öffne otl, bereinigen neustart.
öffne ccleaner analysieren bereinigen neustart.
testen ob alles nach wunsch läuft.

Hallo,
vielen lieben Dank für die Anweisungen. Läuft wieder alles super! Danke!!!

das war mein geheimer plan :-)
pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
beginne mit der passage xp, außer:
servicepack 3.
- internet explorer 8
- eingeschrenktes konto.
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/
anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Hallo,
das ist wirklich eine lange Liste, aber wenns hilft. ;)
Hab auch schon die erste Frage, ich hab jetzt das DEP nur für gewisse Programme ausgeschalten und in der Anleitung stand ich solle einen Registryeintrag machen, aber der Ordnern den ich dazu brauche ist nicht angelegt:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ AppCompatFlags\ NoExecuteState

Bei mir existiert als Unterpunkt von AppCompatFlags nur Caret tracking und Layers, wobei unter Caret tracking 2 Dateien mit dem gewünschten Dateityp REG_DWORD (Name: EnableTSFCaret Tracking) befinden.
Sind das die Dateien wo ich den Wert ändern muss?

hi, bitte die dep über die systemsteuerung für alle prozesse, außer den ausgewählten, aktivieren, in die liste dann aber nichts eintragen, ist bei 99 % aller leute nicht nötig.

Okay, dann lass ich es so, scheint ja auch zu funktionieren.
Hab die Sandbox installiert, funktioniert aber nicht wirklich, muss ich beim Browser (habs jetzt mit Google Chrome versucht) noch was verändern?
Es kommt beim Versuch über sie Sandbox zuzugreifen die Meldung, dass das Profil nicht ordnungsgemäß geöffnet werden konnte und ich soll überprüfen, ob ich die Lese- und Schreibzugriffe habe.
Ohne Sandbox funktioniert alles einwandfrei.

im admin oder standard nutzerkonto?
sandbox nach pdf konfiguriert?

Hab es im Standartnutzerkonto installiert, hätte ich lieber ins Administratorkonto wechseln sollen?
Und ja, hab es nach der Anleitung gemacht.

ja, instalationen immer im admin konto machen.
versuch mal die instalation hiermit:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe