"herunterladen und bezahlen"...
 

Hallo liebes Trojaner-Board-Team,

mich hat es auch erwischt - vorgestern erschien nach etwa 10 min mitten beim Surfen ein schwarzes Fenster mit schwarz-rot-goldnem Balken oben und mit dem Hinweis: "nach Surfen auf pornografischen Seiten (...) sei der Rechner virusinfiziert und müsse durch herunterladen und bezahlen einer Software befreit und geschützt werden". Unten sind Logos der bekanntesten Virenscanner Avira, Kaspersky usw. zu finden. Alle Funktionen sind außer Kraft gesetzt, nur der Button "herunterladen und bezahlen" ist aktiv. Der Rechner kann nur noch mit dem Einschaltknopf heruntergefahren werden und nur noch im "offlinebetrieb" ohne Internetverbindung mit Bammel betrieben werden. Das erschreckende für mich: ich war auf keinen Pornoseiten unterwegs, habe keine verdächtige eMail oder sonstwas erhalten und habe nichts heruntergeladen. Das Fenster kam einfach so!

Ich habe hier gelesen, dass Viele das gleiche Problem haben und hoffe nun, dass ihr mir auch helfen könnt. Ich bin versierter Anwender, aber kein IT-Fachmann und habe von all diesen Dingen wie logs und Programmierung usw. keine Ahnung. Ich habe von dieser OTL-Software gelesen, die man runterladen soll. Kann man das mit dem infizierten Rechner im "abgesicherten Modus (F8)" oder sollte man das mit einem anderen Rechner machen und dann beispielsweise auf eine CD brennen?

Danke und beste Grüße
Utto :wtf:

hi, dies müsste klappen.
f8 drücken abgesicherter modus mit netzwerk wählen im betroffenen konto anmelden.
internet hast du dort dann.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
  Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo Markus,
vielen Dank für deine prompte Antwort. Ich habe nun das Problem, dass der betroffene Rechner nicht ins Internet kommt, da ich einen Wireless-LAN-Empfänger über USB benutze, der im abgesicherten Modus offenbar nicht unterstützt wird. Gibt es eine andere Möglichkeit, OTL zu installieren?
lg,
Utto

mit nem usb stick auf den infizierten pc kopieren, das script kannst du dann ja auch auf den usb stikc speichern als textdatei, die dann öffnen und es dort einfügen, die otl.txt dann wieder auf dem stickspeichern um sie zu posten.

Hallo Markus,
hat soweit geklappt. Anhängend die txt-Dateien.
Danke!
lg, Utto

hi


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.





• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Upload hat problemlos geklappt - anbei der Inhalt der log-Datei.
danke für den superschnellen support.
Utto

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ffdwnd deleted successfully.
C:\Dokumente und Einstellungen\Utto\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default User

User: LocalService

User: Melleko
->Flash cache emptied: 848 bytes

User: NetworkService

User: Utto
->Flash cache emptied: 92201 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 3685918 bytes

User: Melleko
->Temp folder emptied: 927482 bytes
->Temporary Internet Files folder emptied: 153486988 bytes
->Google Chrome cache emptied: 6270773 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2082402 bytes

User: Utto
->Temp folder emptied: 405468811 bytes
->Temporary Internet Files folder emptied: 1695582997 bytes
->Java cache emptied: 4558766 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2891655 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 87016683 bytes
RecycleBin emptied: 2519574684 bytes

Total Files Cleaned = 4.656,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 02152012_214905

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Hallo Markus,
ich mache für heute abend schluss - nochmals danke für die sehr schnelle Hilfe!!!
liebe Grüße
Utto

hi, bitte nur auf von mir benannten seiten surfen, bis wir fertig sind.
danke erst mal für den upload.
- servicepack3:
Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
- automatische updates so konfigurieren, das sie automatisch geladen/instaliert werden:
Konfigurieren und Verwenden des Features "Automatische Updates" in Windows
wenn fertig, melden bitte

Hi Markus,
geschafft! :crazy: nach gut drei Stunden gestern abend waren das Service-Pack heruntergeladen und installiert. Automatische updates hab ich auch eingestellt.
lg,
Utto

hi,

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hi Markus,
hat hoffentlich soweit geklappt.
anbei die combofix.txt. Nennt sich "log".
Danke und lg,
Utto

sieht gut aus
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

sorry - hab nochmal deine Message gelesen. anbei die C:combofix.txt
Utto

hi das passt, weiter mit malwarebytes bitte :-)