Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   "Aus Sicherheitsgründen wurde ihr Windowssystem blockiert"-Trojaner (https://www.trojaner-board.de/109882-sicherheitsgruenden-wurde-windowssystem-blockiert-trojaner.html)

jpc 14.02.2012 11:44
"Aus Sicherheitsgründen wurde ihr Windowssystem blockiert"-Trojaner
 
Hallo liebes Trojaner-Board,

mich hat der elende "Aus Sicherheitsgründen wurde ihr Windowssystem blockiert"-Tojaner auch erwischt. Ich würde mich sehr freuen, wenn ihr mir auch bei der Bereinigung meines Computers helfen könntet.

Den ersten Schritt habe ich mir aus den anderen Threads zu diesem Trojaner abgeschaut. Ich habe den Computer im angesicherten Modus mit Netzwerk gestartet, OTL heruntergeladen und den Scan laufen gelassen.

Die OLT und Extras.txt habe ich angehängt

Vielen Dank im Voraus!!!

Chris4You 14.02.2012 12:15
Hi,
Du hast zweimal das OTL-Log gepostet, das EXTRA-Log fehlt...

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:
:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O4 - HKCU..\Run: [vasja] C:\Users\JPC BÜRO\AppData\Local\Temp\0.6089382534607563.exe (Mach5 Software)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.


:Commands
[emptytemp]
[resethosts]
[CREATERESTOREPOINT]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

jpc 14.02.2012 14:04
"Bitte alles aus dem Ergebnisfenster (Results) herauskopieren."
Leider hat mein PC nach dem Vorgang neu gestartet und ich habe jetzt glaub ich nicht mehr die Möglichkeit an die Results dran zu kommen oder?

Nach dem Neustart im normalen Modus is auch alles wieder in Ordnung, also kein komisches Popup mehr.

Auf jeden Fall habe ich mir jetzt Malewarebites runter geladen und lasse es grad durch laufen.
Poste später die Ergebnisse.
Aber vielen dank schonmal für deine Hilfe

Chris4You 14.02.2012 14:12
Hi,

Du solltest eine Kopie der Logs unter
  • %systemroot%\_OTL
also
C:\_OTL finden... bitte posten...

chris

jpc 15.02.2012 12:42
Moin
Hier jetzt die OTL-Fix-Logs siehe unten.
und log vom Malwarebytes im Anhang.
Hab volumen I: schon bereinigt aber die anderen Sachen noch nicht
Grüße
Johni

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\vasja deleted successfully.
C:\Users\JPC BÜRO\AppData\Local\Temp\0.6089382534607563.exe moved successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56468 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: JPC BÜRO
->Temp folder emptied: 163651712 bytes
->Temporary Internet Files folder emptied: 8037733 bytes
->Java cache emptied: 368952 bytes
->FireFox cache emptied: 257406809 bytes
->Flash cache emptied: 82516 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 121076898 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
RecycleBin emptied: 52976955109 bytes

Total Files Cleaned = 51.048,00 mb

HOSTS file reset successfully
Error creating restore point.

OTL by OldTimer - Version 3.2.31.0 log created on 02142012_122536

Files\Folders moved on Reboot...
File move failed. C:\Users\JPC BÜRO\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\startupCache\startupCache.4.little moved successfully.
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\7923Ed01 not found!
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\9629Am01 not found!
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\A7D81d01 not found!
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\A7D81m01 not found!
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\BC0F9d01 not found!
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\BC0F9m01 not found!
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\C4B7Fd01 not found!
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\C4B7Fm01 not found!
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\CC115d01 not found!
File\Folder C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\C\2E\D920Fd01 not found!
File move failed. C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\_CACHE_001_ scheduled to be moved on reboot.
File move failed. C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\_CACHE_002_ scheduled to be moved on reboot.
File move failed. C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\_CACHE_003_ scheduled to be moved on reboot.
File move failed. C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\Cache\_CACHE_MAP_ scheduled to be moved on reboot.
File move failed. C:\Users\JPC BÜRO\AppData\Local\Mozilla\Firefox\Profiles\5svv21cy.default\urlclassifier3.sqlite scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Chris4You 15.02.2012 14:01
Hi,

alles löschen lassen und leider ist danach schluß, da Du keygensbenutzt...

I:\setupz\Sonstige\Ahead Nero Reloaded 6.6.0.3 Multilanguage (suite) +keygen\Keygen.exe (Hacktool.Gen) -> Keine Aktion durchgeführt.
I:\setupz\Musik Setups\Propellerheads.Reason.v4.0.HYBRID.DVDR-AiRISO\KEYGEN.EXE (RiskWare.Tool.CK) -> Keine Aktion durchgeführt.
I:\setupz\Adobe.Photoshop.CS5.1.Extended.v12.1.European.Incl.Keymaker-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Keine Aktion durchgeführt.

chris&out

jpc 15.02.2012 17:32
Cool dann is also soweit alles wieder in Ordnung?
Vielen dank!
grüße

cosinus 16.02.2012 17:21
Zitat:
Cool dann is also soweit alles wieder in Ordnung?
Nein.:pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131