Windows Systemblokade - runterladen und bezahlen
 

Hallo,
vorab sorry, wenn ich etwas falsch gemacht habe. Dies ist mein erster Foreneintrag. Ich hoffe aber, ich mache es richtig....
ich habe mir einen Trojaner eingefangen.
Er sieht so aus aus: Nach dem Hochfahren ist der Bilschirm blokiert und es erscheint mit schwarz-rot-goldener-Falagge ein Schrift: "Achtung. Aus Sicherheitsgründen wurde ihr Windowssystem blockiert." Dann soll ich mir nach dem text für geld ein update kaufen.


Ich habe nun erstmal im den Pc im abgesicherten Modus mit Netzwerkadapter gestartet um hier überhaupt schreiben zu können. Mein Betriebssystem ist Windows 7 Professional 64bit.

Mein Virenscanner McAfee hat nach Vollscan 4 Trojaner gefunden (alle im java-context), genützt hat es nichts. Im geschützten Modus beschwert er sich jetzt immer, dass der Echtzeitscan nicht mehr funktionieren würde. Ist das normal oder wegen des Trojaners?

Ich hoffe ihr könnt mir helfen...

(ich kenne mich mit dem pc einigermaßen aus, benuze ihn alltäglich. Dennoch wäre eine ausführliche Beschreibung hilfreich, glaube ich)

Ich habe gerade Malewarebytes laufen lassen und exploit.drops.4 entfernen lassen.
Nach Neustart und erneutem Aufruf anbei die Log-Datei.
Wie kann ich eigentlich direkt Log-Text reinposten? Vmtl. dumme Frage, habe ich aber im Help-Bereich nicht gefunden.
Nach Durchsicht eines anderen Threads zum Thema, habe ich OTL runtergeladen und den Quickscan (mit den dort angegebenen manuellen Tasks) laufen lassen. Beide Ergebnisse im Anhang.

Was muss ich als nächstes tun?

Danke und Gruß Comka

Hallo,
anbei noch gemäß Checklist die dds-Dateien als Anhang.
Gruß Comka

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
• Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
• Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
• Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Setze die Logfiles in Codetags - diese Funktion findest du oben im Antwortfenster, sieht aus wie ein "#".
Bleibe auch erstmal im abgesicherten Modus.



Schritt 1: defogger


Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.



Schritt 2: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.



Schritt 3: Scan mit TDSS-Killer


Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hallo Marius,
Schritt 1 erledigt. Defogger erfolgreich ausgeführt
Schritt 2: aswMBR.exe downgeloadet und ausgeführt wie von Dir beschrieben.
Das Tool läuft auch ne Weile, stürzt dann aber bei
C:\windows\assembly\GAC_MSIL\Microsoft.visualstudio.Tools.Applications....
ab ("Es ist ein Problem aufgetreten. Anwendung muss beendet werden").
Dadurch ist kein Log möglich.
Was soll ich tun? Und noch ne "bloede" Frage. Lt. Anleitung aswMBR.exe soll ich ja den Virenscanner/Firewall ausschalten. Ic hhabe daher die einzelnen Module von McAffee deaktiviert. Reicht das? Und soll ich dann den Rechner vom Netz nehmen?

Ich mach jetzt mal mit Schritt 3 weiter.

So, jetzt habe ich Schritt 3 ausgeführt. Den Log vom TDSKiller findest Du als Anhang.
Ach ja: ein Verdacht: bei mir gibt es plötzlich eine Skype-Anwendung unter programme. Ich nurtze aber Skype gar nicht. Hilft das?

Gruß Karsten

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

hallo Marius,
combofix meldet mcafee antivirus und antispyware als aktiv.
ich finde keinen Weg, diese auszuschalten, auch nicht via taskmanager oder systemsteurung. im Security Center habe ich alles mögliche deaktiviert. hilft aber nicht. google hat auch nicht weitergeholfen.
hast du einen Tipp?
danke und Gruß karsten

Wenn es nicht geht, dann ignoriere diese Meldung und fahre erst einmal fort.

Hallo Marius,
Combofix ist durchgelaufen. Anbei der log.
Gruß Karsten

Sieht ganz gut aus - kontrollieren wir alles nochmal! :)


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Marius,
hier das Ergebnis von Schritt 1. Malewarebytes hat nahc 1,5h nichts gefunden (auch nicht auf meiner USB-Backup-Festplatte).
Ich mache weiter mit Schritt 2.
Gruß Karsten

Hallo Marius,
der Schritt 2 ESET hat leider nicht funktioniert. ESET kann sich nicht updaten. Meldung " Can not update - proxy configured?" erscheint.
Ich habe auf Extras-internetoptionen unter Verbindungen-LAN-Einstellungen die Option "automatisch Einstellungen übernehmen" angeschaltet. Hat aber auch nichts genutzt. Was soll ich tun?
Normales Internet tut ja. Sonst könnte ich diese Nachricht nicht schreiben. Ich bin bei KabelBW via kabel-Modem und WLAN-Router. Firewall und Virenscanner waren soweit möglich ausgeschaltet. Wobei der Echtzeitscan von McAfee sich nicht anschalten laesst. Liegt das evtl. auch an den Proxy-Einstellungnen oder am geschützten Modus?
Vielen Dank schon mal.
Gruß Karsten

Schritt 1: McAfee

Öffne über die Systemsteuerung das Menü Programme und Funktionen.
Suche nach McAfee, markiere es und versuche eine Reparaturinstallation.


und anstatt ESET:


F-Secure Onlinescanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.

• Deaktiviere dein Antivirenprogramm für die Dauer dieses Scans.
• Rufe den F-Secure Onlinescanner durch Klick auf diesen Link auf.
  
  Hinweis: Die Seite prüft, welchen Browser du installiert hast und ob deine Java-Version aktuell ist. Gegebenenfalls wirst du aufgefordert, dein Java zu aktualisieren. Führe dies durch.
  
  
• Wähle als Sprache "Deutsch" und akzeptiere die Lizenzvereinbarungen, indem du das Häkchen in der dafür vorgesehenen Box darunter setzt.
• Klicke auf "Prüfung durchführen".
  
  Hinweis: Eventuell wird dir nun eine Java-Sicherheitsabfrage (Sicherheitsinformationen) angezeigt. Bestätige diese unbedingt mit "ausführen".
  
  
• Es wird sich ein neues Fenster öffnen.
• Wähle Mein Scan und klicke auf Optionen anzeigen.
• In dem sich öffnenden Fenster, wähle unter Dateitypen für Scan auswählen die Option Alle Dateitypen und hake darunter In komprimierten Dateien suchen an.
• Klicke unten auf OK.
• Du befindest dich nun wieder im Hauptmenü des Onlinescanners. Klicke auf Start. F-Secure Online Scanner wird nun einige Dateien herunterladen und dein System scannen.
• Wenn der Scan abgeschlossen ist, klicke auf Bericht anzeigen.
• Poste den Bericht hier in deinem Thread.

Hallo Marius,
Schritt 1 McAfee: hier gibt es unter Systemsteuerung bei McAfee keine Auswahl "Reparieren" nur "aendern/entfernen".
McAfee ist komisch. Ich kann kurzzeitig den Echtzeitscan anschalten, doch dann shcaltet er sich gleich wieder ab. Ich versuch mal ne Neuinstallation.

Schritt 2: F-Secure ist durchgelaufen. Er hat 11xMalware gefunden und teilweise beseitigt. Der "ziemlich lange" Bericht anbei.

Wie gehts weiter? Gruß Karsten

Hallo Marius,
habe mal über den Support von McAfee versucht den Echtzeitscan zu aktivieren. Der "Virtual technician" zeigt folgenden Fehlerbericht.
Gruß Karsten
Hallo Marius,
noch eine Ergänzung zu McAfee:
beim Versuch das Tool zu reparieren, wurde es deinstalliert. Ich habe dann versucht es wieder neu zu installieren. Die Installation von McAfee bricht aber ab. Auch das Removal-Tool von McAfee bricht ab.
Soll ich einne anderen Virenscanner/Firewall installieren? Wenn ja, welchen empfiehlst Du?
Gruß Karsten

Hm....das doof!

Ich muss da mal noch was recherchieren und möchte dich bitte, zu warten! :)

Hallo,

Danke fürs Warten!
Versuche einmal das RemovalTool von McAfee im abgesicherten Modus.

Berichte! :)

Hallo Marius,
auch im geschützten Modus sagt das Tool "incomplete uninstallation. error obtaining Full permissiven for cleanup. See Log file for more Details."
wenn ich dann auf "view Logs" gehe, kommt die Meldung "der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird".
nach ok ist ein leeres Editor-Fenster auf. ich kann dann das Remoulade-Tool mit close beenden.
im taskmanager läuft unter Dienste ein Dienst namens 0066701332454761mcinstcleanup mit der beschreibung "mcafee application installier cleanup (0066701332454761)" und Status "beendet". unter Dienste.. steht der Dienst als Startplatz "automatisch". mehr ist von mcafee nicht mehr zu finden.
Gruß Karsten