Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus: "Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert", OTL ausgeführt, was nun? (https://www.trojaner-board.de/113248-virus-achtung-sicherheitsgruenden-wurde-windowssystem-blockiert-otl-ausgefuehrt.html)

Mackie@terra 06.04.2012 18:45
Virus: "Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert", OTL ausgeführt, was nun?
 
Hallo Trojaner Board,
heute habe ich mir offensichtlich einen Virus eingefangen, der mein Windows-System blockiert. Sobald ich mich einlogge und eine Internet-Verbindung besteht startet sich der Virus, zeigt mir eine Seite, auf der steht, dass mein System aus Sicherheitsgründen blockiert wurde und ich nun Geld zahlen soll. Der Taskmanager und andere Windows Programme lassen sich nicht mehr starten / anwählen.
Wenn ich mich als Administrator oder mit ausgestecktem LAN Kabel anmelde läuft Windows normal. Virensuche ergibt keinen Treffer.
Jetzt habe ich als Administrator OTL laufen lassen und die beiden erzeugten Reporte hier angehängt (sh Attachment).
Könnt Ihr mir bitte weiterhelfen, was soll ich nun tun?
Vielen Dank, viele Grüße,
Mackie

cosinus 06.04.2012 22:01
Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten

Mackie@terra 06.04.2012 22:23
Hallo Arne,
ja, der abgesicherte Modus mit Netzwerk geht. Die Sperrung kommt nicht.
Viele Grüße,
Mackie

cosinus 06.04.2012 22:47
na wenn der Modus geht wirst du erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Mackie@terra 07.04.2012 19:59
Hallo Arne,

danke für die Anleitung, hier die Ergebnisse:
1) Malwarebytes
Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.06.09

Windows Vista Service Pack 2 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Mackie :: TERRAREX [Administrator]

Schutz: Deaktiviert

07.04.2012 01:20:00
mbam-log-2012-04-07 (01-20-00).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 603953
Laufzeit: 51 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Mackie\AppData\Local\Temp\ch8l0.exe (Exploit.Drop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mackie\0.6912214723104682.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
2) ESET Scan:
Code:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8216016313ec6b42be69cf15cb4d5cae
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-04-07 01:37:51
# local_time=2012-04-07 03:37:51 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 254530 254530 0 0
# compatibility_mode=5892 16776638 100 56 109482528 171329738 0 0
# compatibility_mode=8192 67108863 100 0 93 93 0 0
# scanned=5284
# found=0
# cleaned=0
# scan_time=39
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8216016313ec6b42be69cf15cb4d5cae
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-04-07 01:39:15
# local_time=2012-04-07 03:39:15 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 254601 254601 0 0
# compatibility_mode=5892 16776638 100 56 109482599 171329809 0 0
# compatibility_mode=8192 67108863 100 0 164 164 0 0
# scanned=11068
# found=0
# cleaned=0
# scan_time=51
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8216016313ec6b42be69cf15cb4d5cae
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-04-07 06:18:31
# local_time=2012-04-07 08:18:31 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 254714 254714 0 0
# compatibility_mode=5892 16776638 100 56 109482712 171329922 0 0
# compatibility_mode=8192 67108863 100 0 277 277 0 0
# scanned=343599
# found=6
# cleaned=0
# scan_time=16694
C:\Users\Mackie\AppData\Local\Skype\SkypePM.exe        a variant of Win32/Kryptik.ADTF trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Mackie\AppData\Local\Temp\msimg32.dll        Win32/Sirefef.DB trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Mackie\AppData\Local\Temp\NERO1002529\unit_app_75\Toolbar.exe        Win32/Toolbar.AskSBar application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Mackie\AppData\Roaming\OpenCandy\OpenCandy_04A98E6CD1C641028527A13352D8DA0E\registrybooster(9).exe        a variant of Win32/RegistryBooster application (unable to clean)        00000000000000000000000000000000        I
E:\Ablage\Videograbber5.0.exe        a variant of Win32/Adware.ADON application (unable to clean)        00000000000000000000000000000000        I
E:\Ablage Bit Torrent\Nero 9.0.9.4 Ultra Edition + Nero Move It 1.0.10.0 [h33t] [MAMBO04]\Nero\Nero Move It 1.0.10.0\Nero Move it 1.0.10.0.exe        Win32/Toolbar.AskSBar application (unable to clean)        00000000000000000000000000000000        I
Viele Grüße,
Mackie

cosinus 08.04.2012 15:58
Zitat:
E:\Ablage Bit Torrent\Nero 9.0.9.4 Ultra Edition + Nero Move It 1.0.10.0 [h33t] [MAMBO04]\Nero\Nero Move It 1.0.10.0\Nero Move it 1.0.10.0.exe
Sry aber bei illegaler Software gibt es hier nur noch den Hilfe zur Datensicherung + Neuinstallation von Windows

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131