Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Kein Zugriff auf PC - "Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert" (https://www.trojaner-board.de/113970-kein-zugriff-pc-sicherheitsgruenden-wurde-windowssystem-blockiert.html)

Bahriye 23.04.2012 09:17
Kein Zugriff auf PC - "Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert"
 
Ich habe wirklich haargenau das gleiche Problem wie in diesem Thread:

http://www.trojaner-board.de/110976-...tml#post786433

''Mir wird gleich nach dem Start meines Laptops folgende Mitteilung angezeigt, die sich nicht ausblenden lässt:

Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert.

Durch das Besuchen von Seiten mit infizierten und pornographischen Inhalten ist das Computersystem an eine kritische Grenze angekommen, nach der das System zusammenbrechen und die ganzen Dateien verloren gehen können. Um das System wiederherstellen zu können müssen Sie ein zusätzliches Sicherheitsupdate herunterladen.

Dieses Update ist ein kostenpflichtiges Upgrade für besonders infizierte Windowssysteme. Es beschützt das System vollständig von Virus und Schadprogrammen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

Darunter ist ein Button mit dem Text "Bezahlen und runterladen" . Außerdem sind dort noch Bilder der von Avira, Kaspersky, McAfee und Microsoft abgebildet.

Klicke ich auf den Button, so öffnet sich auf dem schwarzen Bildschirm ein neues Fenster, in dem aufgefordert wird, dass man seine bevorzugte Zahlungsart für das kostenpflichtige Update in Höhe 50 Euro wählen soll. Die Zahlungsarten PayPal, sofort Überweisungen, sowie Visa, MasterCard und etwas anderes "Nicht möglich da PC stark virenverseucht. Nur paysafecard und ukash, von denen ich nebenbei erwähnt noch nie gehört habe, sind als Zahlungsarten möglich.

Ich kann auf nichts anderes auf meinem Laptop zugreifen. Das Betriebssystem ist Windows 7.''

Das Betriebssystem ist ebenfalls Windows 7 und die Beschreibung trifft 1:1 auf mich zu. Als nächster Schritt wurde im oben genannten Thread ein Quick Scan mit OTL vorgeschlagen. Ich habe den Schritt wie beschrieben ausgeführt und die Dateien an diesem Beitrag angefügt.

Könnt ihr mir bitte weiterhelfen?

Vielen Dank!
Bahriye

cosinus 23.04.2012 09:40
Zitat:
O2 - BHO: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:ProgrammeIObit ToolbarIE4.6iobitToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:ProgrammeConduitEngineprxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:ProgrammeIncrediMail_MediaBar_2prxtbIncr.dll (Conduit Ltd.)
O3 - HKLM..Toolbar: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:ProgrammeIObit ToolbarIE4.6iobitToolbarIE.dll (Spigot, Inc.)
O3 - HKLM..Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:ProgrammeConduitEngineprxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM..Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:ProgrammeIncrediMail_MediaBar_2prxtbIncr.dll (Conduit Ltd.)
O3 - HKCU..ToolbarWebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:ProgrammeIncrediMail_MediaBar_2prxtbIncr.dll (Conduit Ltd.)
Wieso müllst du dir das System mit nutzlosen Toolbars zu?
Deinstalliere über Systemsteuerung unter Software bzw. Programme und Funktionen alles wo Toolbar zu sehen ist. Bei zukünftigen Programminstallation immer die benutzerdefinierte Methode anklicken, damit man bei der Installation mögliche Toolbars abwählen kann.
Deinstalliere bei der Gelegenheit auch alle anderen unnötigen Programme über die Systemsteuerung.

Zitat:
HKLM..Toolbar: (IncrediMail MediaBar 2 Toolbar)
Müsst du als Mailclient unbedingt dieses sch... Programm verwenden? :(
Incredimail ist zwar bunt und nett animiert, aber leider als Spyware einzustufen, da es das Nutzerverhalten analysiert und diese an den Hersteller übermittelt.
Ich kann nur die sofortige Deinstallation und Umstieg auf einen anderen Mailclient wie zB Mozilla Thunderbird empfehlen. (später wenn wir hier durch sind)

Zitat:
Boot Mode: SafeMode with Networking |
na wenn der Modus geht wirst du erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Bahriye 23.04.2012 15:13
Danke für die schnelle Antwort! Das mit den Toolbars und diesem Mailclient werde ich so weitergeben und mit ihm darüber sprechen. Ich habe schon oft versucht zu erklären, worauf er bei einer Installation achten sollen... leider sind sie in dem Punkt recht ungeduldig.

Beim erneuten starten des PCs, habe ich es verpasst im abgesicherten Modus zu starten. Seltsamerweise kam diese Aufforderung zum bezahlen nicht und das Programm Microsoft Security Essentials hat den Trojaner:

Trojan:Win32/Ransom.EJ - gefunden.

Im Verlauf stand außerdem das die Ausführung der Datei jeweils beim starten des PCs zugelassen wurde. Das wird wohl am Trojaner selbst gelegen haben, der ansonsten den Echtzeitschutz und anderes im abgesicherten Modus lahm gelegt hatte.

Da ich ohnehin die Funde mit Malewarebytes entfernen sollte, habe ich nun Essentials das erledigen lassen. Der Pc fährt nun normal hoch, ohne das Windows blockiert wird. Anschließend habe ich einen Suchdurchlauf mit Malewarebyte und dann ESET gestartet.

Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.23.01

Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
Alex :: ALEX-PC [Administrator]

Schutz: Aktiviert

23.04.2012 11:32:53
mbam-log-2012-04-23 (12-45-42).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 291281
Laufzeit: 1 Stunde(n), 5 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SkypePM (Trojan.Ransom) -> Daten: C:\Users\Alex\AppData\Local\Skype\SkypePM.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\portwexexe.exe (Trojan.SpyEyes.WC) -> Keine Aktion durchgeführt.
C:\syscheckrt (Trojan.SpyEyes) -> Keine Aktion durchgeführt.

Infizierte Dateien: 1
C:\Users\Alex\AppData\Local\Skype\SkypePM.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.

(Ende)
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3fc5bed9659ab34080218d79f0e7e43c
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-23 10:04:56
# local_time=2012-04-23 12:04:56 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6000 NT
# compatibility_mode=5892 16776534 100 100 40124627 172706753 0 0
# compatibility_mode=8192 67108863 100 0 153 153 0 0
# scanned=25876
# found=8
# cleaned=8
# scan_time=1472
C:\$RECYCLE.BIN\S-1-5-21-2958514963-3039693324-2231907530-1000\$ROMZGRD\powersuite.exe        multiple threats (deleted - quarantined)        00000000000000000000000000000000        C
C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe        a variant of Win32/Toolbar.Widgi application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C
C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll        a variant of Win32/Toolbar.Widgi application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C
C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll.5        a variant of Win32/Toolbar.Widgi application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C
C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll.6        a variant of Win32/Toolbar.Widgi application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C
C:\Program Files\IObit\Game Booster\GameBoosterSetup.exe        a variant of Win32/Toolbar.Widgi application (deleted - quarantined)        00000000000000000000000000000000        C
C:\Program Files\IObit\Game Booster\Update\GameBoosterSetup.exe        a variant of Win32/Toolbar.Widgi application (deleted - quarantined)        00000000000000000000000000000000        C
C:\Program Files\IObit Toolbar\IE\4.6\iobitToolbarIE.dll        a variant of Win32/Toolbar.Widgi application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3fc5bed9659ab34080218d79f0e7e43c
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-23 12:19:17
# local_time=2012-04-23 02:19:17 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6000 NT
# compatibility_mode=5892 16776534 100 100 40129255 172711381 0 0
# compatibility_mode=8192 67108863 100 0 4781 4781 0 0
# scanned=128317
# found=17
# cleaned=0
# scan_time=4904
C:\Users\Alex\AppData\Local\Temp\dtdrxzcrvnjbl.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\enadxfxjhrdv.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\hmrkemxoojefxidbrvchg.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\jar_cache6398451022995380294.tmp        a variant of Java/Exploit.CVE-2012-0507.R trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\jberazwpblbxrqrc.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\lqemvvmuscwdduvtlxwgzu.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\qneydirbqkbsvimwoqp.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\tlbuuowurlulb.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\ubyfvriqrbf.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\ueocomvfoullczwkttdvzspdj.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\wlrfxfpcphpdtxhsaclhua.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\yijsijiwsi.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Local\Temp\ynztyatxicprmyoegt.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\AppData\Roaming\Uniblue\PowerSuite\_temp\ub.exe        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\Desktop\incredimail.rar        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\Downloads\SoftonicDownloader_fuer_cdburnerxp-pro.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Alex\Downloads\SoftonicDownloader_fuer_ulead-videostudio.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

cosinus 23.04.2012 16:27
Zitat:
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
Ungeduldig und naiv trifft wohl nicht nur auf die Art und Weise zu wie Software installiert wird :balla:
Offfensichtlich halten deine Bekannten auch Update für Windows für unnötig :stirn:
Bei Vista ist man schon längst beim SP2 und IE9

Dann wird irgendwelcher Schrott von der Toolbar und Adware-Klitsche Softonic runtergeladen und installiert, zudem sowas unsinniges bis kontraproduktives wie Incredimail und das Zeugs von Uniblue

Ich glaube hier ist es einfacher und schneller einfach mal von vorn anzufangen, sauber alles neu machen und das System nicht planlos zumüllen (ja es wurde fast planlos zugemüllt aber Updates hat man gepflegt ignoriert :D )

Bahriye 23.04.2012 17:27
Danke nochmal für die Hilfe! Ich werde mich dann wohl noch ein bisschen mit dem PC befassen müssen... Wenigstens habe ich bei dieser Sache an Erfahrung gewonnen. :zunge:

cosinus 23.04.2012 21:17
Wieso denn du, ich dachte das sei nicht dein Rechner?

Bahriye 25.05.2012 20:32
Ich kümmere mich aber darum das er wieder geht :daumenhoc
Entschuldigt aber ich habe die Antwort erst jetzt gesehen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19