Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows gesperrt, "aus Sicherheitsgründen"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.12.2011, 22:42   #1
BeneV
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



Auch mich hat es erwischt mit dem bereits schon öfters beschriebenen Problem:
Der Computer ist gesperrt, "aus Sicherheitsgründen", ich soll 50 Euro zahlen.

Ich arbeite jetzt im abgesicherten Modus, denn ansonsten friert der Computer alle 2 Minuten ein. Über Hilfe würde ich mich sehr freuen,

danke, Bene V.
Angehängte Dateien
Dateityp: txt Extras.Txt (49,7 KB, 197x aufgerufen)
Dateityp: txt OTL.Txt (85,6 KB, 233x aufgerufen)

Alt 21.12.2011, 01:54   #2
BeneV
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



Pardon, mir ist aufgefallen, dass ich vergessen habe den Gmer-Scan zu machen. Ich habe ihn nun angehängt, ich habe ihn im abgesicherten Modus gemacht. Die anderen beiden Dateien habe ich bekommen, als der Computer bereits eingefroren war mit diesem Trojaner. Trotzdem waren die beiden Dateien OTL.txt und extras.txt beim nächsten Hochfahren auf dem Desktop vorhanden. Ich hoffe, ich habe das richtig gemacht.

Wie gesagt, über Hilfe würde ich mich sehr freuen.

Schönen Gruß,

Bene V.
Angehängte Dateien
Dateityp: txt gmer.txt (840 Bytes, 160x aufgerufen)
__________________


Alt 21.12.2011, 10:52   #3
markusg
/// Malware-holic
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



hi

hast du eine ahnung wo genau du dir das eingefangen hast?
Infos an mich als private nachicht

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [firefox.exe] C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe ()
:Files
C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         



• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html
__________________
__________________

Alt 21.12.2011, 18:10   #4
BeneV
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



Danke schon mal für die Hilfe, die rar-Datei wird gleich hochgeladen, hier das Textdokument aus dem OTL-Fix:


All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\firefox.exe deleted successfully.
C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe moved successfully.
========== FILES ==========
File\Folder C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 41 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Owner
->Flash cache emptied: 4286642 bytes

User: Public

Total Flash Files Cleaned = 4,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Owner
->Temp folder emptied: 36808999 bytes
->Java cache emptied: 89226294 bytes
->FireFox cache emptied: 54477333 bytes
->Google Chrome cache emptied: 11932537 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3332221 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 5941281 bytes

Total Files Cleaned = 192,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12212011_185559

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Alt 21.12.2011, 18:21   #5
markusg
/// Malware-holic
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



danke für den upload
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.12.2011, 19:16   #6
BeneV
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



Alles erledigt, hier der Inhalt des log.txt von combofix, ich hoffe das ist das erwünschte:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-12-21.02 - Owner 21.12.2011  19:37:35.1.2 - x86
Microsoft® Windows Vista™ Ultimate   6.0.6001.1.1252.49.2052.18.998.191 [GMT 1:00]
ausgeführt von:: c:\users\Owner\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Owner\AppData\Roaming\EurekaLog
c:\users\Owner\Documents\~WRL0003.tmp
c:\users\Owner\Documents\~WRL0004.tmp
c:\users\Owner\Documents\~WRL0173.tmp
c:\users\Owner\Documents\~WRL0175.tmp
c:\users\Owner\Documents\~WRL0287.tmp
c:\users\Owner\Documents\~WRL0342.tmp
c:\users\Owner\Documents\~WRL0455.tmp
c:\users\Owner\Documents\~WRL0459.tmp
c:\users\Owner\Documents\~WRL0474.tmp
c:\users\Owner\Documents\~WRL0497.tmp
c:\users\Owner\Documents\~WRL0633.tmp
c:\users\Owner\Documents\~WRL0670.tmp
c:\users\Owner\Documents\~WRL0686.tmp
c:\users\Owner\Documents\~WRL0690.tmp
c:\users\Owner\Documents\~WRL0712.tmp
c:\users\Owner\Documents\~WRL0736.tmp
c:\users\Owner\Documents\~WRL0796.tmp
c:\users\Owner\Documents\~WRL0822.tmp
c:\users\Owner\Documents\~WRL0827.tmp
c:\users\Owner\Documents\~WRL0832.tmp
c:\users\Owner\Documents\~WRL0898.tmp
c:\users\Owner\Documents\~WRL0903.tmp
c:\users\Owner\Documents\~WRL0914.tmp
c:\users\Owner\Documents\~WRL0942.tmp
c:\users\Owner\Documents\~WRL0951.tmp
c:\users\Owner\Documents\~WRL0983.tmp
c:\users\Owner\Documents\~WRL0984.tmp
c:\users\Owner\Documents\~WRL1038.tmp
c:\users\Owner\Documents\~WRL1047.tmp
c:\users\Owner\Documents\~WRL1052.tmp
c:\users\Owner\Documents\~WRL1059.tmp
c:\users\Owner\Documents\~WRL1079.tmp
c:\users\Owner\Documents\~WRL1112.tmp
c:\users\Owner\Documents\~WRL1118.tmp
c:\users\Owner\Documents\~WRL1123.tmp
c:\users\Owner\Documents\~WRL1138.tmp
c:\users\Owner\Documents\~WRL1161.tmp
c:\users\Owner\Documents\~WRL1168.tmp
c:\users\Owner\Documents\~WRL1172.tmp
c:\users\Owner\Documents\~WRL1200.tmp
c:\users\Owner\Documents\~WRL1203.tmp
c:\users\Owner\Documents\~WRL1216.tmp
c:\users\Owner\Documents\~WRL1241.tmp
c:\users\Owner\Documents\~WRL1246.tmp
c:\users\Owner\Documents\~WRL1275.tmp
c:\users\Owner\Documents\~WRL1279.tmp
c:\users\Owner\Documents\~WRL1322.tmp
c:\users\Owner\Documents\~WRL1352.tmp
c:\users\Owner\Documents\~WRL1390.tmp
c:\users\Owner\Documents\~WRL1483.tmp
c:\users\Owner\Documents\~WRL1489.tmp
c:\users\Owner\Documents\~WRL1525.tmp
c:\users\Owner\Documents\~WRL1547.tmp
c:\users\Owner\Documents\~WRL1556.tmp
c:\users\Owner\Documents\~WRL1557.tmp
c:\users\Owner\Documents\~WRL1558.tmp
c:\users\Owner\Documents\~WRL1564.tmp
c:\users\Owner\Documents\~WRL1589.tmp
c:\users\Owner\Documents\~WRL1598.tmp
c:\users\Owner\Documents\~WRL1665.tmp
c:\users\Owner\Documents\~WRL1677.tmp
c:\users\Owner\Documents\~WRL1680.tmp
c:\users\Owner\Documents\~WRL1732.tmp
c:\users\Owner\Documents\~WRL1748.tmp
c:\users\Owner\Documents\~WRL1886.tmp
c:\users\Owner\Documents\~WRL1915.tmp
c:\users\Owner\Documents\~WRL1927.tmp
c:\users\Owner\Documents\~WRL1951.tmp
c:\users\Owner\Documents\~WRL1959.tmp
c:\users\Owner\Documents\~WRL1985.tmp
c:\users\Owner\Documents\~WRL2053.tmp
c:\users\Owner\Documents\~WRL2060.tmp
c:\users\Owner\Documents\~WRL2074.tmp
c:\users\Owner\Documents\~WRL2103.tmp
c:\users\Owner\Documents\~WRL2104.tmp
c:\users\Owner\Documents\~WRL2201.tmp
c:\users\Owner\Documents\~WRL2225.tmp
c:\users\Owner\Documents\~WRL2353.tmp
c:\users\Owner\Documents\~WRL2359.tmp
c:\users\Owner\Documents\~WRL2416.tmp
c:\users\Owner\Documents\~WRL2431.tmp
c:\users\Owner\Documents\~WRL2452.tmp
c:\users\Owner\Documents\~WRL2482.tmp
c:\users\Owner\Documents\~WRL2497.tmp
c:\users\Owner\Documents\~WRL2537.tmp
c:\users\Owner\Documents\~WRL2607.tmp
c:\users\Owner\Documents\~WRL2617.tmp
c:\users\Owner\Documents\~WRL2635.tmp
c:\users\Owner\Documents\~WRL2662.tmp
c:\users\Owner\Documents\~WRL2698.tmp
c:\users\Owner\Documents\~WRL2719.tmp
c:\users\Owner\Documents\~WRL2723.tmp
c:\users\Owner\Documents\~WRL2877.tmp
c:\users\Owner\Documents\~WRL2878.tmp
c:\users\Owner\Documents\~WRL2911.tmp
c:\users\Owner\Documents\~WRL2932.tmp
c:\users\Owner\Documents\~WRL2986.tmp
c:\users\Owner\Documents\~WRL3025.tmp
c:\users\Owner\Documents\~WRL3030.tmp
c:\users\Owner\Documents\~WRL3073.tmp
c:\users\Owner\Documents\~WRL3076.tmp
c:\users\Owner\Documents\~WRL3099.tmp
c:\users\Owner\Documents\~WRL3103.tmp
c:\users\Owner\Documents\~WRL3122.tmp
c:\users\Owner\Documents\~WRL3175.tmp
c:\users\Owner\Documents\~WRL3178.tmp
c:\users\Owner\Documents\~WRL3232.tmp
c:\users\Owner\Documents\~WRL3241.tmp
c:\users\Owner\Documents\~WRL3403.tmp
c:\users\Owner\Documents\~WRL3479.tmp
c:\users\Owner\Documents\~WRL3556.tmp
c:\users\Owner\Documents\~WRL3563.tmp
c:\users\Owner\Documents\~WRL3585.tmp
c:\users\Owner\Documents\~WRL3595.tmp
c:\users\Owner\Documents\~WRL3605.tmp
c:\users\Owner\Documents\~WRL3617.tmp
c:\users\Owner\Documents\~WRL3621.tmp
c:\users\Owner\Documents\~WRL3698.tmp
c:\users\Owner\Documents\~WRL3774.tmp
c:\users\Owner\Documents\~WRL3823.tmp
c:\users\Owner\Documents\~WRL3831.tmp
c:\users\Owner\Documents\~WRL3928.tmp
c:\users\Owner\Documents\~WRL4032.tmp
c:\users\Owner\Documents\~WRL4069.tmp
c:\users\Owner\Documents\~WRL4084.tmp
.
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-11-21 bis 2011-12-21  ))))))))))))))))))))))))))))))
.
.
2011-12-21 18:50 . 2011-12-21 18:50	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-12-21 17:55 . 2011-12-21 18:03	--------	d-----w-	C:\_OTL
2011-12-01 09:23 . 2009-11-12 21:15	482408	----a-w-	c:\windows\ssndii.exe
2011-12-01 09:23 . 2011-12-01 09:23	--------	d-----w-	c:\program files\SamsungPrinterLiveUpdate
2011-12-01 09:23 . 2011-12-01 09:23	--------	d-----w-	c:\windows\Samsung
2011-12-01 09:23 . 2009-08-11 00:07	19968	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\ssp7mpc.dll
2011-12-01 09:22 . 2009-08-11 00:07	26624	----a-w-	c:\windows\system32\ssp7ml3.dll
2011-12-01 09:22 . 2009-08-11 00:06	151552	----a-w-	c:\windows\system32\ssp7mci.exe
2011-12-01 09:22 . 2009-08-11 00:06	65536	----a-w-	c:\windows\system32\ssp7mci.dll
2011-12-01 09:22 . 2009-07-30 03:13	49152	----a-w-	c:\windows\system32\ssusbpn.dll
2011-12-01 09:22 . 2009-07-30 03:13	81920	----a-w-	c:\windows\system32\ssdevm.dll
2011-12-01 09:22 . 2009-07-30 03:13	44544	----a-w-	c:\windows\system32\msxml4a.dll
2011-12-01 09:22 . 2009-07-30 03:13	38160	----a-w-	c:\windows\system32\msxml2r.dll
2011-12-01 09:22 . 2009-07-30 03:13	21776	----a-w-	c:\windows\system32\msxml2a.dll
2011-12-01 09:22 . 2009-07-30 03:13	701440	----a-w-	c:\windows\system32\msxml2.dll
2011-12-01 09:21 . 2011-12-01 09:21	--------	d-----w-	C:\Temp
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-10 20:54 . 2011-03-22 17:47	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"BrowserMask"="c:\program files\AntiBrowserSpy\AntiBrowserSpyBrowserMaske.exe" [2011-08-15 101280]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-24 129560]
"TPHOTKEY"="c:\program files\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-01-24 66928]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\ssmmgr.exe" [2010-06-08 618496]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-12 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CyberGhost VPN]
2011-02-02 08:56	196232	----a-w-	c:\program files\S.A.D\CyberGhost VPN\CGStarter.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2612620309-2586857676-1317428021-1000]
"EnableNotificationsRef"=dword:00000001
.
R0 OemBiosDevice;Royalty OEM BIOS Extension;c:\windows\system32\DRIVERS\royal.sys [2007-03-02 240128]
R2 gupdate1c9ab48348f9aab;Google Update Service (gupdate1c9ab48348f9aab);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-22 133104]
R2 TPHKSVC;On Screen Display;c:\program files\LENOVO\HOTKEY\TPHKSVC.exe [2007-12-14 58224]
R3 CGVPNCliSrvc;CyberGhost VPN Client;c:\program files\S.A.D\CyberGhost VPN\CGVPNCliService.exe [2011-07-08 2428968]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-22 133104]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\DRIVERS\massfilter.sys [2009-04-09 7680]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2009-04-09 110592]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-04-09 105344]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-07-29 5120]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-05-21 173352]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-04-20 9216]
S2 wsnm;VMware View Client Service;c:\program files\VMware\VMware View\Client\bin\wsnm.exe [2009-08-26 151552]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - BMLoad
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-21 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-22 19:35]
.
2011-12-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-22 23:44]
.
2011-12-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-22 23:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://startsear.ch/?aff=1&cf=30426844-12c5-11e1-b1a1-001d728aa8d8
mStart Page = hxxp://startsear.ch/?aff=1&cf=30426844-12c5-11e1-b1a1-001d728aa8d8
uInternet Settings,ProxyServer = 127.0.0.1:4001
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: bmnet.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Owner\AppData\Roaming\Mozilla\Firefox\Profiles\v7zdrxk7.default\
FF - prefs.js: browser.search.selectedEngine - Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Octoshape add-in for Adobe Flash Player - c:\users\Owner\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
.
.
.
**************************************************************************
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(652)
c:\windows\system32\bmnet.dll
.
- - - - - - - > 'Explorer.exe'(12040)
c:\program files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\fxssvc.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-12-21  20:01:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-12-21 19:01
.
Vor Suchlauf: 10 Verzeichnis(se), 58.907.918.336 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 58.813.202.432 Bytes frei
.
- - End Of File - - 3F4434A1D568ADBF837B8F33F5FD57D4
         
--- --- ---

Alt 21.12.2011, 19:18   #7
markusg
/// Malware-holic
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



ok öffne computer
öffne c:
öffne qoobox
rechtsklick quarantain, mit winrar oder anderem packprogramm ein archiv erstellen und das im upload channel hochladen
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.12.2011, 19:50   #8
BeneV
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



Okay, ich habe die Quarantain als rar. hochgeladen. Sollte ich jetzt noch etwas machen?

Alt 21.12.2011, 19:57   #9
markusg
/// Malware-holic
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



danke

malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.12.2011, 21:42   #10
BeneV
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



Ich habe bereits jetzt zu danken!

Hier das Ergebnis des Malware-Scans:


Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 911122105

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18828

21.12.2011 22:36:42
mbam-log-2011-12-21 (22-36-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 333560
Laufzeit: 1 Stunde(n), 27 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (Search) Good: (Google) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (Search) Good: (Google) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Owner\downloads\removewga12.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.
c:\_OTL\movedfiles\12212011_185559\C_Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Alt 22.12.2011, 10:21   #11
markusg
/// Malware-holic
 
Windows gesperrt, "aus Sicherheitsgründen" - Standard

Windows gesperrt, "aus Sicherheitsgründen"



start suchen tippe:
windows update
enter
gehe auf einstellungen, updates automatisch instalieren, täglich, uhrzeit wählen.
sonst alles anhaken außer detailierte infos.
ok klicken.
jetzt updates suchen.
instaliere wichtige und optionale updates.
es wird neustarts geben, dann wieder seite aufrufen, updates suchen, dann wieder instalieren.
es wird folgeupdates geben, da gibts zwar keinen neustart, du musst aber ebenfalls update seite aufrufen, updates suchen, instalieren, so lange bis es keine mehr gibt.
dies ist der erste schritt eine erneute infektion zu verhindern
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Windows gesperrt, "aus Sicherheitsgründen"
50 euro, abgesicherte, abgesicherten, abgesicherten modus, aus sicherheitsgründen, bereits, compu, computer, erwischt, euro, freue, friert, gesperrt, minute, minuten, modus, problem, sicherheitsgründe, sicherheitsgründen, windows, windows gesperrt, würde, öfters



Ähnliche Themen: Windows gesperrt, "aus Sicherheitsgründen"


  1. "Windows aus Sicherheitsgründen gesperrt" - 50€ zahlen
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (1)
  2. das bereits altbekannte "Windows wurde aus Sicherheitsgründen gesperrt" Problem
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (1)
  3. Trojaner-Befall: "Achtung - Ihr Windows wurde aus Sicherheitsgründen gesperrt.."
    Log-Analyse und Auswertung - 26.03.2012 (9)
  4. Windows ist gesperrt aus "Sicherheitsgründen"
    Log-Analyse und Auswertung - 18.03.2012 (16)
  5. Trojaner, "Achtung Ihr Windows wurde aus Sicherheitsgründen gesperrt"
    Log-Analyse und Auswertung - 14.03.2012 (5)
  6. Blackscreen und Meldung "Ihr Windowssystem wurde aus Sicherheitsgründen gesperrt. Bezahlen & Her..."
    Plagegeister aller Art und deren Bekämpfung - 07.03.2012 (6)
  7. "Achtung! Windows wurde aus Sicherheitsgründen gesperrt... 50 € überweisen"
    Log-Analyse und Auswertung - 18.02.2012 (33)
  8. Der Computer ist gesperrt, "aus Sicherheitsgründen", ich soll 50 Euro zahlen auch bei mir
    Plagegeister aller Art und deren Bekämpfung - 17.02.2012 (15)
  9. und wieder ein " aus sicherheitsgründen wurd eihr system gesperrt"
    Log-Analyse und Auswertung - 16.02.2012 (5)
  10. Windows 7(64bit) "Ihr Computer wurde aus Sicherheitsgründen gesperrt"
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (4)
  11. "Achtung! Windows wurde aus Sicherheitsgründen gesperrt..."
    Plagegeister aller Art und deren Bekämpfung - 10.02.2012 (18)
  12. Ebenfalls "Windows aus Sicherheitsgründen gesperrt"!
    Plagegeister aller Art und deren Bekämpfung - 05.02.2012 (1)
  13. trojaner eingefangen: "aus Sicherheitsgründen wurde ihr Windows gesperrt"
    Log-Analyse und Auswertung - 25.01.2012 (15)
  14. "Windows wird aus Sicherheitsgründen gesperrt + 50e zahlen für Wiederherstellung"
    Log-Analyse und Auswertung - 23.01.2012 (1)
  15. [doppelt] troyaner eingefangen! "aus sicherheitsgründen wurde ihr windows gesperrt"
    Mülltonne - 23.01.2012 (1)
  16. Mein Windows wurde auch aus "Sicherheitsgründen" gesperrt
    Plagegeister aller Art und deren Bekämpfung - 29.12.2011 (31)
  17. Virus/Trojaner "Achtung! Windows wurde aus Sicherheitsgründen gesperrt"
    Log-Analyse und Auswertung - 29.12.2011 (13)

Zum Thema Windows gesperrt, "aus Sicherheitsgründen" - Auch mich hat es erwischt mit dem bereits schon öfters beschriebenen Problem: Der Computer ist gesperrt, "aus Sicherheitsgründen", ich soll 50 Euro zahlen. Ich arbeite jetzt im abgesicherten Modus, denn - Windows gesperrt, "aus Sicherheitsgründen"...
Archiv
Du betrachtest: Windows gesperrt, "aus Sicherheitsgründen" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.