Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Desktopsperre 50€ Win 7 64 bit

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 04.03.2012, 17:08   #1
Toby102
 
Desktopsperre 50€ Win 7 64 bit - Standard

Desktopsperre 50€ Win 7 64 bit



Hallo,

ich habe das Problem, dass sobald ich meinen Laptop starte der Desktop gesperrt wird und eine Nachricht angezeigt wird, die mich auffordert 50 Euro zu bezahlen, um den PC wieder freizuschalten. Ich habe Windows 7 und ein 64-Bit System.
Ich konnte die OTL.exe starten und anbei habe ich die Logs angeheftet.

Danke schon einmal im Voraus,

Gruß Toby102

Alt 05.03.2012, 16:21   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Desktopsperre 50€ Win 7 64 bit - Standard

Desktopsperre 50€ Win 7 64 bit



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 05.03.2012, 19:18   #3
Toby102
 
Desktopsperre 50€ Win 7 64 bit - Standard

Desktopsperre 50€ Win 7 64 bit



Hi,

ich hab jetzt mal einen Vollscan mit Malwarebytes durchgeführt.
Danach hat das Programm die Funde in Quarantäne verschoben.
Seitdem habe ich mit dem Trojaner keine Probleme mehr, jedoch ist mein Browser mit so einer Art Umleitung auf Werbung versehen. Ich kann zwar durch direkte eingabe der URL auf die Seite gelangen, aber wenn ich auf Suchergebnisse gehen möchte, werde ich auf eine andere Seite umgeleitet.
Anbei habe ich noch den Log von dem 1 stündigen Vollscan.

Vielen Dank schon mal für das Beseitigen des Trojaners
Gruß Toby102

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.05.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Saschi :: SASCHI-PC [Administrator]

Schutz: Aktiviert

05.03.2012 17:18:27
mbam-log-2012-03-05 (17-18-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 476572
Laufzeit: 1 Stunde(n), 7 Minute(n), 

Infizierte Speicherprozesse: 3
C:\Users\Saschi\AppData\Roaming\062B6\49433.exe (Trojan.Dropper.PE4) -> 1716 -> Löschen bei Neustart.
C:\Users\Saschi\AppData\Roaming\B67C9\lvvm.exe (Trojan.Dropper.PE4) -> 1684 -> Löschen bei Neustart.
C:\Users\Saschi\AppData\Roaming\Microsoft\33A0\EC5.exe (Trojan.Dropper.PE4) -> 4504 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|EC5.exe (Trojan.Dropper.PE4) -> Daten: C:\Users\Saschi\AppData\Roaming\Microsoft\33A0\EC5.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Backdoor.CycBot) -> Daten: C:\Users\Saschi\AppData\Roaming\B67C9\lvvm.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen) -> Daten: explorer.exe,C:\Users\Saschi\AppData\Roaming\062B6\49433.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{AC62105C-0964-2F4F-C0CE-4492CB89B1DA} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Saschi\AppData\Roaming\Omac\cylouve.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|EC5.exe (Backdoor.CycBot) -> Daten: C:\Program Files (x86)\LP\33A0\EC5.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Dropper.PE4) -> Bösartig: (C:\Users\Saschi\AppData\Roaming\B67C9\lvvm.exe) Gut: () -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 27
C:\Users\Saschi\AppData\Roaming\062B6\49433.exe (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\Users\Saschi\AppData\Roaming\B67C9\lvvm.exe (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\Users\Saschi\AppData\Roaming\Microsoft\33A0\EC5.exe (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\Program Files (x86)\B67C9\lvvm.exe (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\LP\33A0\62F6.tmp (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\SystemRestore\FRStaging\Windows\System32\consrv.dll (Trojan.Siredef) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\SystemRestore\FRStaging\Windows\System32\dphost.dll (Trojan.Siredef) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Local\e373beef\X (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Local\e373beef\U\80000000.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Local\e373beef\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Local\e373beef\U\800000cf.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Local\Temp\74F3.tmp (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Local\Temp\tmp0f31b080\setup.exe (Trojan.FakeAlert.FS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Local\Temp\tmpc3f6dfd7\setup1.exe (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Local\Temp\tmpe7b64ef3\setup1.exe (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Roaming\firefox.exe (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\Downloads\DownloadSetup (25).exe (Affiliate.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\Downloads\PDFCreatorSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\assembly\tmp\U\00000001.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\assembly\tmp\U\000000cb.@ (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\assembly\tmp\U\000000cf.@ (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\assembly\tmp\U\800000c0.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\assembly\tmp\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\assembly\tmp\U\800000cf.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Saschi\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Löschen bei Neustart.
C:\Users\UpdatusUser\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Löschen bei Neustart.
C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Löschen bei Neustart.

(Ende)
         
__________________

Alt 12.03.2012, 20:40   #4
Toby102
 
Desktopsperre 50€ Win 7 64 bit - Standard

Desktopsperre 50€ Win 7 64 bit



Hi nochmal,
also ich habe immer noch das Problem mit dem abnow.com rootkit.
Also ich bekomm als ne Meldung, dass esgefunden wird aber löschen kann ichs trotzdem nicht-.-
Wäre nett wenn sich nochmal jemand meinen Log angucken würde, wenn nötig mach ich nochmal nen Scan.

Gruß Toby102

Alt 12.03.2012, 20:41   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Desktopsperre 50€ Win 7 64 bit - Standard

Desktopsperre 50€ Win 7 64 bit



Du hast ZeroAccess drauf. Machst du Onlinebanking mit dieser verseuchten Windows-Kiste?
Ich empfehle dir eine komplette Neuinstallation von Windows

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.03.2012, 20:46   #6
Toby102
 
Desktopsperre 50€ Win 7 64 bit - Standard

Desktopsperre 50€ Win 7 64 bit



Ne ich zock eigentlich nur
Muss das mit der Neuinstallation sein? Hab nämlichkeine externe Festplatte um meine Musik etc. zu sichern mhhhh....

Alt 12.03.2012, 20:48   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Desktopsperre 50€ Win 7 64 bit - Standard

Desktopsperre 50€ Win 7 64 bit



Eine Neuinstallation ist dringend zu empfehlen

Zitat:
Hab nämlichkeine externe Festplatte um meine Musik etc. zu sichern mhhhh....
Tolle Einstellung
Was machst du wenn die Platte kaputt geht oder das Dateisystem hinüber ist oder du versehentlich Daten löschst? Ist doch alles Murks ohne Backups
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.03.2012, 20:50   #8
Toby102
 
Desktopsperre 50€ Win 7 64 bit - Standard

Desktopsperre 50€ Win 7 64 bit



Ja gut dann werde ich mir wohl eine anschaffen müssen, aber wenn ich die an meinen "verseuchten" Pc anschließe, werden dann nicht die Viren/Trojaner übertragen?

Alt 12.03.2012, 21:09   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Desktopsperre 50€ Win 7 64 bit - Standard

Desktopsperre 50€ Win 7 64 bit



Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Desktopsperre 50€ Win 7 64 bit
50 euro, 64 bit, 64-bit, anbei, angezeigt, arten, bezahlen, desktop, euro, gesperrt, konnte, laptop, nachricht, otl.exe, problem, sobald, starte, starten, win, win 7, win 7 64 bit, windows, windows 7



Zum Thema Desktopsperre 50€ Win 7 64 bit - Hallo, ich habe das Problem, dass sobald ich meinen Laptop starte der Desktop gesperrt wird und eine Nachricht angezeigt wird, die mich auffordert 50 Euro zu bezahlen, um den PC - Desktopsperre 50€ Win 7 64 bit...
Archiv
Du betrachtest: Desktopsperre 50€ Win 7 64 bit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.