Liebe Helfer,

bei jeder Anmeldung mit einem (Standard-)Benutzerkonto wird die genannte Meldung angezeigt, die mich auffordert eine Schutzsoftware zu kaufen.
Der Taskmanager läßt sich nicht starten.
Andere Benutzerkonten einschl. Admin-Konto funktionieren wie gewohnt.
Im abgesicherten Modus funktionieren alle Benutzerkonten.
Auch wenn ich bei der Nutzeranmeldung WLAN deaktiviert habe und anschl. aktiviere läuft das System wie gewohnt.

Ich habe Windows 7 Pro 32bit.

AV Antivirus hat eine Malware gefunden, die jetzt in Quarantäne ist. Hat jedoch keinen Einfluss auf die Sperrung.
Die Meldung von AV:
Enthält Erkennungsmuster des Java-Scriptvirus JS/iFrame.cqi in einem Cashordner von Mozilla.

OTL habe ich ausgeführt, die Dateien sende ich mit.

Ich habe mich im Forum nach Lösungen umgeschaut und festgestellt, dass individuelle Hilfe nötig ist.

Ich bedanke mich schon mal im voraus für die angebotene Hilfe.



Mit freundlichen Grüßen

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Liebe Helfer,

vielen Dank für die schnelle Hilfe.
Der Rechner läuft wieder und die Sperrmeldung ist weg.

Beim Ausführen von Combofix.exe erschienen zwei Fenster, dass die Programme pev.3XE und pev.exe nicht mehr funktionieren. Combofix blieb auch stehen.
Ich schloss die Programme und Combofix lief wie in der Anleitung beschrieben weiter.

Die Datei combofix.txt sende ich mit.

Ich wünsche euch schöne Festtage und ein gutes Neues Jahr.

Mit freundlichem Gruss

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo marcusg,

Malwarebytes fand nichts. Logdatei sende ich mit.

Nochmals vielen Dank für die Hilfe!

Mit freundlichem Gruss

ok, dann räumen wir jetzt auf und sichern das system ab.
und, nichts zu danken :-)

lade den CCleaner standard:
CCleaner Download - CCleaner 3.14.1616
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hallo markusg,

sorry für die späte Antwort, ich war beruflich stark eingespannt.

Hier ist die Programmliste.

Heute hat Avira noch folgende Schadsoftware

tr ransom.ej.24
exp cve-2011-3544.ar

gefunden und in Quarantäne gesteckt.

Mit freundlichem Gruss

und wo hat avira was gefunden? genaue meldungen bitte posten

Hier sind die genauen Angaben:

Fund 1
Typ: Datei
Quelle: C:\Users\Jürgen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\10b057e1-1167b66a
Status: Infiziert
Quarantäne-Objekt: 541c9d4f.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: JA
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.08.26
Virendefinitionsdatei: 7.11.21.28
Meldung: EXP/CVE-2011-3544.AR
Datum/Uhrzeit: 15.01.2012, 19:34

Fund 2
Typ: Datei
Quelle: C:\Users\Jürgen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\6a2aa288-60bb9e61
Status: Infiziert
Quarantäne-Objekt: 4cbbb23f.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: JA
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.08.26
Virendefinitionsdatei: 7.11.21.28
Meldung: TR/Ransom.EJ.24
Datum/Uhrzeit: 15.01.2012, 19:34

Fund 3
Typ: Datei
Quelle: C:\Qoobox\Quarantine\C\Users\Jürgen\AppData\Roaming\Microsoft\dllhsts.exe.vir
Status: Infiziert
Quarantäne-Objekt: 0649c77b.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.08.26
Virendefinitionsdatei: 7.11.21.28
Meldung: TR/Ransom.EJ.24
Datum/Uhrzeit: 15.01.2012, 19:34

dieses ausführen:
Löschen des Caches von Java Runtime Environment (JRE)
deinstaliere:
Java
Download der kostenlosen Java-Software
downloade java jre instalieren.
Skype™ 4
Kostenlose Internetanfrufe mit Skype. Telefone online billig anrufen
aktuell ist skype5

öffne otl, klicke bereinigen, pc neustarten, remover werden gelöscht.
öffne ccleaner, analysieren, bereinigen, neustarten, testen ob alles läuft wie gewünscht