Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows wird gesperrt - Meldung (https://www.trojaner-board.de/115559-windows-gesperrt-meldung.html)

Uta 22.05.2012 07:53

Windows wird gesperrt - Meldung
 
Hallo,

mein Rechner ist nun auch Mitglied im Club :applaus:
Wenn ich online bin, kommt ziemlich bald die Meldung, dass ich böse war und bezahlen muss, damit Windows entsperrt wird, verziert mit einer Deutschlandfahne und Logos von Kaspersky, Avira, Microsoft und Co.
Runterladen von malwarebytes ging nicht mehr, daher habe ich es auf einem anderen Rechner auf eine externe Festplatte geladen, auf den Desktop gepackt und folgende logfile bekommen:


Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.21.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Uta :: UTA [Administrator]

22.05.2012 03:31:38
mbam-log-2012-05-22 (03-31-38).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 201650
Laufzeit: 8 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Uta\Eigene Dateien\Downloads\RemoveWGA12.exe (PUP.RemoveWGA) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\wiavusdc.dll (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Heeeeeelp, büddebüdde.... Uta

...und die dds-logfile:DDS Logfile:
Code:

DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by Uta at 10:34:43 on 2012-05-22
.
============== Running Processes ===============
.
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
mDefault_Page_URL = hxxp://de.yahoo.com
mStart Page = hxxp://de.yahoo.com
BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} - No File
BHO: Complitly: {0fb6a909-6086-458f-bd92-1f8ee10042a0} - c:\dokumente und einstellungen\uta\anwendungsdaten\complitly\Complitly.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: RealPlayer Download and Record Plugin for Internet Explorer: {3049c3e9-b461-4bc5-8870-4c09146192ca} - c:\dokumente und einstellungen\all users\anwendungsdaten\real\realplayer\browserrecordplugin\ie\rpbrowserrecordplugin.dll
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\programme\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.7227.1100\swg.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
TB: loadtbs: {dfefcdee-cf1a-4fc8-88ad-129872198372} - c:\dokumente und einstellungen\uta\anwendungsdaten\loadtbs\toolbar.dll
TB: {00000000-0000-0000-0000-000000000000} - No File
EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [MSMSGS] "c:\programme\messenger\msmsgs.exe" /background
uRun: [AutoStartNPSAgent] c:\programme\samsung\samsung new pc studio\NPSAgent.exe
uRun: [Search Protection] c:\programme\yahoo!\search protection\SearchProtection.exe
uRun: [To-Do DeskList] c:\programme\to-do desklist\To-Do DeskList.exe
uRun: [Cewio] "c:\dokumente und einstellungen\uta\anwendungsdaten\apsu\qekop.exe"
uRun: [SkypePM] c:\dokumente und einstellungen\uta\lokale einstellungen\anwendungsdaten\skype\SkypePM.exe
mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe
mRun: [SMSERIAL] sm56hlpr.exe
mRun: [SoundMan] SOUNDMAN.EXE
mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [TrueImageMonitor.exe] c:\programme\acronis\trueimagehome\TrueImageMonitor.exe
mRun: [Acronis Scheduler2 Service] "c:\programme\gemeinsame dateien\acronis\schedule2\schedhlp.exe"
mRun: [HP Software Update] c:\programme\hp\hp software update\HPWuSchd2.exe
mRun: [FreePDF Assistant] c:\programme\freepdf_xp\fpassist.exe
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [NPSStartup]
mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
mRun: [CamAppSTI.exe] c:\programme\aveo usb2.0 pc camera\CamAppSTI.exe
mRun: [TkBellExe] "c:\programme\real\realplayer\update\realsched.exe"  -osboot
mRun: [DivXUpdate] "c:\programme\divx\divx update\DivXUpdate.exe" /CHECKNOW
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\uta\startm~1\progra~1\autost~1\openof~1.lnk - c:\programme\openoffice.org 3\program\quickstart.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\hpdigi~1.lnk - c:\programme\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\hpimag~1.lnk - c:\programme\hp\digital imaging\bin\hpqthb08.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\micros~1.lnk - c:\programme\microsoft office\office10\OSA.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\vr-net~1.lnk - c:\programme\vr-networld\VRToolCheckOrder.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\winzip~1.lnk - c:\programme\winzip\WZQKPICK32.EXE
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office10\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll
DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} - hxxps://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\programme\gemeinsame dateien\microsoft shared\web folders\PKMCDO.DLL
.
============= SERVICES / DRIVERS ===============
.
.
=============== Created Last 30 ================
.
2012-05-22 01:26:49    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Malwarebytes
2012-05-22 01:26:39    --------    d-----w-    c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-05-22 01:26:38    22344    ----a-w-    c:\windows\system32\drivers\mbam.sys
2012-05-22 01:26:38    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2012-05-20 10:58:24    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Ogykz
2012-05-20 10:58:24    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Giqik
2012-05-03 20:39:40    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Yqokf
2012-05-03 20:39:40    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Apsu
2012-05-03 20:39:40    --------    d-----w-    c:\dokumente und einstellungen\uta\anwendungsdaten\Accy
.
==================== Find3M  ====================
.
2012-05-22 01:03:27    1409    ----a-w-    c:\windows\QTFont.for
2012-04-11 13:51:20    2071424    ----a-w-    c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51:18    1862400    ----a-w-    c:\windows\system32\win32k.sys
2012-04-11 13:51:17    2194944    ----a-w-    c:\windows\system32\ntoskrnl.exe
2012-03-01 11:00:09    916992    ----a-w-    c:\windows\system32\wininet.dll
2012-03-01 11:00:08    43520    ----a-w-    c:\windows\system32\licmgr10.dll
2012-03-01 11:00:08    1469440    ------w-    c:\windows\system32\inetcpl.cpl
2012-02-29 14:09:48    177664    ----a-w-    c:\windows\system32\wintrust.dll
2012-02-29 14:09:48    148480    ----a-w-    c:\windows\system32\imagehlp.dll
2012-02-29 12:17:40    385024    ----a-w-    c:\windows\system32\html.iec
2011-03-05 19:54:42    690688    ----a-w-    c:\programme\Snipping Tool Plus.exe
.
============= FINISH: 10:35:43,06 ===============

--- --- ---

cosinus 22.05.2012 14:10

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Uta 22.05.2012 21:31

Hallo,
das ging aber schnell! Danke!!!!
Hier das Log von dem kompletten Malwarebytes-Scan:

Code:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Uta :: UTA [Administrator]

22.05.2012 16:07:38
mbam-log-2012-05-22 (16-07-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 266907
Laufzeit: 56 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Dokumente und Einstellungen\Uta\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe (Trojan.Ransom) -> 516 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SkypePM (Trojan.Ransom) -> Daten: C:\Dokumente und Einstellungen\Uta\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\Uta\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe (Trojan.Ransom) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\Uta\Eigene Dateien\Downloads\RemoveWGA12.exe (PUP.RemoveWGA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Uta\Lokale Einstellungen\Temp\tmp5df4b0db\1058.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Wenn ich versuche die Downloadseite vom ESET-Onlinescanner zu öffnen, erscheint eine Nachricht, dass ein Skripfehler aufgetreten sei.
Von einem anderen Rechner habe ich via Firefox Browser die esetsmartinstaller_enu.exe auf einer externe Festplatte geladen. Die tut es auf meinem Rechner aber auch nicht. Och nee nee, was nun.....??
Danke! Uta

cosinus 22.05.2012 21:36

Zitat:

Wenn ich versuche die Downloadseite vom ESET-Onlinescanner zu öffnen, erscheint eine Nachricht, dass ein Skripfehler aufgetreten sei.
Dann mit einem anderen Browser probieren
Wenn du den genauen Fehler zudem nicht postest, hab ich schon von Anfang an keine Chance zu helfen :pfeiff:

Uta 22.05.2012 21:45

Hi,
mit Firefox kommt Tante Google mit:
404. That’s an error.

The requested URL /online-scanner-popup/ was not found on this server. That’s all we know.

Wenn ich es mit IE versuche, öffnet sich ein neues Fenster , das flackert wie verrückt und behauptet, die Verbindung werde hergestellt


...hmmm...

cosinus 23.05.2012 09:04

Bitte das hier erstmal prüfen



Falsche Proxy Einstellungen entfernen
  • Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
  • Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
    wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)



Uta 24.05.2012 20:47

Hallo,

bei Proxyserver für LAN verwenden war kein Häkchen.

Wenn ich eset.com im IE eingebe, erscheint stattdessen die Startseite von Google. Gebe ich in Google eset.com als Suchbegriff ein, erscheint eine Liste wie üblich. Klicke ich hierin einen Link an, flackert die Registerkarte wie verrückt und meldet "Verbindung wird hergestellt- Google Suche..", aber nichts passiert. Bei anderen Suchbegriffen passiert das nicht. Scheint speziell was gegen ESET zu haben :::??

Hrrrrmpf, Uta

cosinus 24.05.2012 22:28

Dann machen wir ESET eben nochmal später
Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131