Windows gesperrt, "aus Sicherheitsgründen"

BeneV · 20.12.2011, 23:42

Auch mich hat es erwischt mit dem bereits schon öfters beschriebenen Problem:
Der Computer ist gesperrt, "aus Sicherheitsgründen", ich soll 50 Euro zahlen.

Ich arbeite jetzt im abgesicherten Modus, denn ansonsten friert der Computer alle 2 Minuten ein. Über Hilfe würde ich mich sehr freuen,

danke, Bene V.

BeneV · 21.12.2011, 02:54

Pardon, mir ist aufgefallen, dass ich vergessen habe den Gmer-Scan zu machen. Ich habe ihn nun angehängt, ich habe ihn im abgesicherten Modus gemacht. Die anderen beiden Dateien habe ich bekommen, als der Computer bereits eingefroren war mit diesem Trojaner. Trotzdem waren die beiden Dateien OTL.txt und extras.txt beim nächsten Hochfahren auf dem Desktop vorhanden. Ich hoffe, ich habe das richtig gemacht.

Wie gesagt, über Hilfe würde ich mich sehr freuen.

Schönen Gruß,

Bene V.

markusg · 21.12.2011, 11:52

hi

hast du eine ahnung wo genau du dir das eingefangen hast?
Infos an mich als private nachicht

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
O4 - HKCU..\Run: [firefox.exe] C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe ()
:Files
C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

BeneV · 21.12.2011, 19:10

Danke schon mal für die Hilfe, die rar-Datei wird gleich hochgeladen, hier das Textdokument aus dem OTL-Fix:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\firefox.exe deleted successfully.
C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe moved successfully.
========== FILES ==========
File\Folder C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 41 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Owner
->Flash cache emptied: 4286642 bytes

User: Public

Total Flash Files Cleaned = 4,00 mb

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Owner
->Temp folder emptied: 36808999 bytes
->Java cache emptied: 89226294 bytes
->FireFox cache emptied: 54477333 bytes
->Google Chrome cache emptied: 11932537 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3332221 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 5941281 bytes

Total Files Cleaned = 192,00 mb

OTL by OldTimer - Version 3.2.31.0 log created on 12212011_185559

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

markusg · 21.12.2011, 19:21

danke für den upload

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

BeneV · 21.12.2011, 20:16

Alles erledigt, hier der Inhalt des log.txt von combofix, ich hoffe das ist das erwünschte:

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-12-21.02 - Owner 21.12.2011  19:37:35.1.2 - x86
Microsoft® Windows Vista™ Ultimate   6.0.6001.1.1252.49.2052.18.998.191 [GMT 1:00]
ausgeführt von:: c:\users\Owner\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Owner\AppData\Roaming\EurekaLog
c:\users\Owner\Documents\~WRL0003.tmp
c:\users\Owner\Documents\~WRL0004.tmp
c:\users\Owner\Documents\~WRL0173.tmp
c:\users\Owner\Documents\~WRL0175.tmp
c:\users\Owner\Documents\~WRL0287.tmp
c:\users\Owner\Documents\~WRL0342.tmp
c:\users\Owner\Documents\~WRL0455.tmp
c:\users\Owner\Documents\~WRL0459.tmp
c:\users\Owner\Documents\~WRL0474.tmp
c:\users\Owner\Documents\~WRL0497.tmp
c:\users\Owner\Documents\~WRL0633.tmp
c:\users\Owner\Documents\~WRL0670.tmp
c:\users\Owner\Documents\~WRL0686.tmp
c:\users\Owner\Documents\~WRL0690.tmp
c:\users\Owner\Documents\~WRL0712.tmp
c:\users\Owner\Documents\~WRL0736.tmp
c:\users\Owner\Documents\~WRL0796.tmp
c:\users\Owner\Documents\~WRL0822.tmp
c:\users\Owner\Documents\~WRL0827.tmp
c:\users\Owner\Documents\~WRL0832.tmp
c:\users\Owner\Documents\~WRL0898.tmp
c:\users\Owner\Documents\~WRL0903.tmp
c:\users\Owner\Documents\~WRL0914.tmp
c:\users\Owner\Documents\~WRL0942.tmp
c:\users\Owner\Documents\~WRL0951.tmp
c:\users\Owner\Documents\~WRL0983.tmp
c:\users\Owner\Documents\~WRL0984.tmp
c:\users\Owner\Documents\~WRL1038.tmp
c:\users\Owner\Documents\~WRL1047.tmp
c:\users\Owner\Documents\~WRL1052.tmp
c:\users\Owner\Documents\~WRL1059.tmp
c:\users\Owner\Documents\~WRL1079.tmp
c:\users\Owner\Documents\~WRL1112.tmp
c:\users\Owner\Documents\~WRL1118.tmp
c:\users\Owner\Documents\~WRL1123.tmp
c:\users\Owner\Documents\~WRL1138.tmp
c:\users\Owner\Documents\~WRL1161.tmp
c:\users\Owner\Documents\~WRL1168.tmp
c:\users\Owner\Documents\~WRL1172.tmp
c:\users\Owner\Documents\~WRL1200.tmp
c:\users\Owner\Documents\~WRL1203.tmp
c:\users\Owner\Documents\~WRL1216.tmp
c:\users\Owner\Documents\~WRL1241.tmp
c:\users\Owner\Documents\~WRL1246.tmp
c:\users\Owner\Documents\~WRL1275.tmp
c:\users\Owner\Documents\~WRL1279.tmp
c:\users\Owner\Documents\~WRL1322.tmp
c:\users\Owner\Documents\~WRL1352.tmp
c:\users\Owner\Documents\~WRL1390.tmp
c:\users\Owner\Documents\~WRL1483.tmp
c:\users\Owner\Documents\~WRL1489.tmp
c:\users\Owner\Documents\~WRL1525.tmp
c:\users\Owner\Documents\~WRL1547.tmp
c:\users\Owner\Documents\~WRL1556.tmp
c:\users\Owner\Documents\~WRL1557.tmp
c:\users\Owner\Documents\~WRL1558.tmp
c:\users\Owner\Documents\~WRL1564.tmp
c:\users\Owner\Documents\~WRL1589.tmp
c:\users\Owner\Documents\~WRL1598.tmp
c:\users\Owner\Documents\~WRL1665.tmp
c:\users\Owner\Documents\~WRL1677.tmp
c:\users\Owner\Documents\~WRL1680.tmp
c:\users\Owner\Documents\~WRL1732.tmp
c:\users\Owner\Documents\~WRL1748.tmp
c:\users\Owner\Documents\~WRL1886.tmp
c:\users\Owner\Documents\~WRL1915.tmp
c:\users\Owner\Documents\~WRL1927.tmp
c:\users\Owner\Documents\~WRL1951.tmp
c:\users\Owner\Documents\~WRL1959.tmp
c:\users\Owner\Documents\~WRL1985.tmp
c:\users\Owner\Documents\~WRL2053.tmp
c:\users\Owner\Documents\~WRL2060.tmp
c:\users\Owner\Documents\~WRL2074.tmp
c:\users\Owner\Documents\~WRL2103.tmp
c:\users\Owner\Documents\~WRL2104.tmp
c:\users\Owner\Documents\~WRL2201.tmp
c:\users\Owner\Documents\~WRL2225.tmp
c:\users\Owner\Documents\~WRL2353.tmp
c:\users\Owner\Documents\~WRL2359.tmp
c:\users\Owner\Documents\~WRL2416.tmp
c:\users\Owner\Documents\~WRL2431.tmp
c:\users\Owner\Documents\~WRL2452.tmp
c:\users\Owner\Documents\~WRL2482.tmp
c:\users\Owner\Documents\~WRL2497.tmp
c:\users\Owner\Documents\~WRL2537.tmp
c:\users\Owner\Documents\~WRL2607.tmp
c:\users\Owner\Documents\~WRL2617.tmp
c:\users\Owner\Documents\~WRL2635.tmp
c:\users\Owner\Documents\~WRL2662.tmp
c:\users\Owner\Documents\~WRL2698.tmp
c:\users\Owner\Documents\~WRL2719.tmp
c:\users\Owner\Documents\~WRL2723.tmp
c:\users\Owner\Documents\~WRL2877.tmp
c:\users\Owner\Documents\~WRL2878.tmp
c:\users\Owner\Documents\~WRL2911.tmp
c:\users\Owner\Documents\~WRL2932.tmp
c:\users\Owner\Documents\~WRL2986.tmp
c:\users\Owner\Documents\~WRL3025.tmp
c:\users\Owner\Documents\~WRL3030.tmp
c:\users\Owner\Documents\~WRL3073.tmp
c:\users\Owner\Documents\~WRL3076.tmp
c:\users\Owner\Documents\~WRL3099.tmp
c:\users\Owner\Documents\~WRL3103.tmp
c:\users\Owner\Documents\~WRL3122.tmp
c:\users\Owner\Documents\~WRL3175.tmp
c:\users\Owner\Documents\~WRL3178.tmp
c:\users\Owner\Documents\~WRL3232.tmp
c:\users\Owner\Documents\~WRL3241.tmp
c:\users\Owner\Documents\~WRL3403.tmp
c:\users\Owner\Documents\~WRL3479.tmp
c:\users\Owner\Documents\~WRL3556.tmp
c:\users\Owner\Documents\~WRL3563.tmp
c:\users\Owner\Documents\~WRL3585.tmp
c:\users\Owner\Documents\~WRL3595.tmp
c:\users\Owner\Documents\~WRL3605.tmp
c:\users\Owner\Documents\~WRL3617.tmp
c:\users\Owner\Documents\~WRL3621.tmp
c:\users\Owner\Documents\~WRL3698.tmp
c:\users\Owner\Documents\~WRL3774.tmp
c:\users\Owner\Documents\~WRL3823.tmp
c:\users\Owner\Documents\~WRL3831.tmp
c:\users\Owner\Documents\~WRL3928.tmp
c:\users\Owner\Documents\~WRL4032.tmp
c:\users\Owner\Documents\~WRL4069.tmp
c:\users\Owner\Documents\~WRL4084.tmp
.
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-11-21 bis 2011-12-21  ))))))))))))))))))))))))))))))
.
.
2011-12-21 18:50 . 2011-12-21 18:50	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-12-21 17:55 . 2011-12-21 18:03	--------	d-----w-	C:\_OTL
2011-12-01 09:23 . 2009-11-12 21:15	482408	----a-w-	c:\windows\ssndii.exe
2011-12-01 09:23 . 2011-12-01 09:23	--------	d-----w-	c:\program files\SamsungPrinterLiveUpdate
2011-12-01 09:23 . 2011-12-01 09:23	--------	d-----w-	c:\windows\Samsung
2011-12-01 09:23 . 2009-08-11 00:07	19968	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\ssp7mpc.dll
2011-12-01 09:22 . 2009-08-11 00:07	26624	----a-w-	c:\windows\system32\ssp7ml3.dll
2011-12-01 09:22 . 2009-08-11 00:06	151552	----a-w-	c:\windows\system32\ssp7mci.exe
2011-12-01 09:22 . 2009-08-11 00:06	65536	----a-w-	c:\windows\system32\ssp7mci.dll
2011-12-01 09:22 . 2009-07-30 03:13	49152	----a-w-	c:\windows\system32\ssusbpn.dll
2011-12-01 09:22 . 2009-07-30 03:13	81920	----a-w-	c:\windows\system32\ssdevm.dll
2011-12-01 09:22 . 2009-07-30 03:13	44544	----a-w-	c:\windows\system32\msxml4a.dll
2011-12-01 09:22 . 2009-07-30 03:13	38160	----a-w-	c:\windows\system32\msxml2r.dll
2011-12-01 09:22 . 2009-07-30 03:13	21776	----a-w-	c:\windows\system32\msxml2a.dll
2011-12-01 09:22 . 2009-07-30 03:13	701440	----a-w-	c:\windows\system32\msxml2.dll
2011-12-01 09:21 . 2011-12-01 09:21	--------	d-----w-	C:\Temp
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-10 20:54 . 2011-03-22 17:47	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"BrowserMask"="c:\program files\AntiBrowserSpy\AntiBrowserSpyBrowserMaske.exe" [2011-08-15 101280]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-24 129560]
"TPHOTKEY"="c:\program files\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-01-24 66928]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\ssmmgr.exe" [2010-06-08 618496]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-12 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CyberGhost VPN]
2011-02-02 08:56	196232	----a-w-	c:\program files\S.A.D\CyberGhost VPN\CGStarter.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2612620309-2586857676-1317428021-1000]
"EnableNotificationsRef"=dword:00000001
.
R0 OemBiosDevice;Royalty OEM BIOS Extension;c:\windows\system32\DRIVERS\royal.sys [2007-03-02 240128]
R2 gupdate1c9ab48348f9aab;Google Update Service (gupdate1c9ab48348f9aab);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-22 133104]
R2 TPHKSVC;On Screen Display;c:\program files\LENOVO\HOTKEY\TPHKSVC.exe [2007-12-14 58224]
R3 CGVPNCliSrvc;CyberGhost VPN Client;c:\program files\S.A.D\CyberGhost VPN\CGVPNCliService.exe [2011-07-08 2428968]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-22 133104]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\DRIVERS\massfilter.sys [2009-04-09 7680]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2009-04-09 110592]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2009-04-09 105344]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-07-29 5120]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-05-21 173352]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2009-04-20 9216]
S2 wsnm;VMware View Client Service;c:\program files\VMware\VMware View\Client\bin\wsnm.exe [2009-08-26 151552]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - BMLoad
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-21 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-22 19:35]
.
2011-12-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-22 23:44]
.
2011-12-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-22 23:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://startsear.ch/?aff=1&cf=30426844-12c5-11e1-b1a1-001d728aa8d8
mStart Page = hxxp://startsear.ch/?aff=1&cf=30426844-12c5-11e1-b1a1-001d728aa8d8
uInternet Settings,ProxyServer = 127.0.0.1:4001
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: bmnet.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Owner\AppData\Roaming\Mozilla\Firefox\Profiles\v7zdrxk7.default\
FF - prefs.js: browser.search.selectedEngine - Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Octoshape add-in for Adobe Flash Player - c:\users\Owner\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
.
.
.
**************************************************************************
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(652)
c:\windows\system32\bmnet.dll
.
- - - - - - - > 'Explorer.exe'(12040)
c:\program files\Common Files\Logishrd\LVMVFM\LVPrcInj.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\fxssvc.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-12-21  20:01:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-12-21 19:01
.
Vor Suchlauf: 10 Verzeichnis(se), 58.907.918.336 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 58.813.202.432 Bytes frei
.
- - End Of File - - 3F4434A1D568ADBF837B8F33F5FD57D4

--- --- ---

markusg · 21.12.2011, 20:18

ok öffne computer
öffne c:
öffne qoobox
rechtsklick quarantain, mit winrar oder anderem packprogramm ein archiv erstellen und das im upload channel hochladen

BeneV · 21.12.2011, 20:50

Okay, ich habe die Quarantain als rar. hochgeladen. Sollte ich jetzt noch etwas machen?

markusg · 21.12.2011, 20:57

danke

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

BeneV · 21.12.2011, 22:42

Ich habe bereits jetzt zu danken!

Hier das Ergebnis des Malware-Scans:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 911122105

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18828

21.12.2011 22:36:42
mbam-log-2011-12-21 (22-36-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 333560
Laufzeit: 1 Stunde(n), 27 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (Search) Good: (Google) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (Search) Good: (Google) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Owner\downloads\removewga12.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.
c:\_OTL\movedfiles\12212011_185559\C_Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

markusg · 22.12.2011, 11:21

start suchen tippe:
windows update
enter
gehe auf einstellungen, updates automatisch instalieren, täglich, uhrzeit wählen.
sonst alles anhaken außer detailierte infos.
ok klicken.
jetzt updates suchen.
instaliere wichtige und optionale updates.
es wird neustarts geben, dann wieder seite aufrufen, updates suchen, dann wieder instalieren.
es wird folgeupdates geben, da gibts zwar keinen neustart, du musst aber ebenfalls update seite aufrufen, updates suchen, instalieren, so lange bis es keine mehr gibt.
dies ist der erste schritt eine erneute infektion zu verhindern

Windows gesperrt, "aus Sicherheitsgründen"

Log-Analyse und Auswertung: Windows gesperrt, "aus Sicherheitsgründen"