Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Scareware: Windows wurde aus Sicherheitsgründen deaktivert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.02.2012, 13:11   #1
DesMas
 
Scareware: Windows wurde aus Sicherheitsgründen deaktivert - Standard

Scareware: Windows wurde aus Sicherheitsgründen deaktivert



Moin Boardcommunity

Ichb habe hier mal wieder einen Rechner, der sich weigert den benannten Befall loszuwerden mit einfachen Mitteln loszuwerden .
Habe mittels der bekannten Tools mal im abgesicherten Modus des befallenn Kontos ein paar Logs erzeugt.

Ich hatte im Zuge dessen auch schon einmal vom Administrtor Account einen QuickScan des ComboFix Tolls angestoßen, dessen Log ich nicht vorenthalten möchte:
Code:
ATTFilter
ComboFix 12-02-27.02 - Administrator 29.02.2012  10:35:50.1.1 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2767 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\programme\xp-AntiSpy
c:\programme\xp-AntiSpy\Uninstall.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.chm
c:\programme\xp-AntiSpy\xp-AntiSpy.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.url
c:\windows\pi.exe
c:\windows\system32\SET61.tmp
c:\windows\system32\SET62.tmp
c:\windows\system32\SET64.tmp
c:\windows\system32\SET65.tmp
c:\windows\system32\SET6A.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-28 bis 2012-02-29  ))))))))))))))))))))))))))))))
.
.
2012-02-29 09:17 . 2012-02-29 09:17	--------	d-----w-	c:\programme\CleanUp!
2012-02-28 18:58 . 2012-02-28 18:58	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2012-02-28 18:56 . 2012-02-28 18:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-28 18:56 . 2012-02-28 18:56	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-02-28 18:56 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-02-24 21:54 . 2012-02-24 21:56	--------	d-----w-	c:\programme\Freemake
2012-02-15 11:17 . 2012-01-11 19:06	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-02-15 11:17 . 2012-01-11 19:06	3072	------w-	c:\windows\system32\iacenc.dll
2012-02-10 15:08 . 2012-02-25 07:43	287	----a-w-	C:\user.js
2012-02-10 15:08 . 2012-02-10 15:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-12 17:20 . 2006-02-28 12:00	1860096	----a-w-	c:\windows\system32\win32k.sys
2011-12-17 19:43 . 2006-02-28 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2006-02-28 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2006-02-28 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2006-02-28 12:00	385024	----a-w-	c:\windows\system32\html.iec
2012-02-18 14:04 . 2011-05-10 12:01	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2011-07-27 20:41	1493160	----a-w-	c:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2011-07-27 1493160]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"lxdumon.exe"="c:\programme\Lexmark 5600-6600 Series\lxdumon.exe" [2008-05-30 676520]
"lxduamon"="c:\programme\Lexmark 5600-6600 Series\lxduamon.exe" [2008-05-30 16040]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"ApnUpdater"="c:\programme\Ask.com\Updater\Updater.exe" [2011-07-27 397992]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2010-03-12 49208]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprestrt
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^phase-6 Reminder.lnk]
path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\phase-6 Reminder.lnk
backup=c:\windows\pss\phase-6 Reminder.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 14:20	57344	----a-r-	c:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22	15360	----a-w-	c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxduamon]
2008-05-30 01:04	16040	----a-w-	c:\programme\Lexmark 5600-6600 Series\lxduamon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxdumon.exe]
2008-05-30 01:04	676520	----a-w-	c:\programme\Lexmark 5600-6600 Series\lxdumon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-07-09 15:24	13923432	----a-w-	c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-07-09 15:24	110696	----a-w-	c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-07-03 14:51	16876032	----a-r-	c:\windows\RTHDCPL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2006-11-23 23:06	487424	----a-r-	c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-08-08 17:51	77824	----a-w-	c:\programme\Java\jre1.6.0\bin\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre1.6.0\\bin\\javaw.exe"=
"c:\\Programme\\Lexmark 5600-6600 Series\\lxduamon.exe"=
"c:\\Programme\\Lexmark 5600-6600 Series\\frun.exe"=
"c:\\Programme\\Lexmark 5600-6600 Series\\Diagnostics\\lxdudiag.exe"=
"c:\\WINDOWS\\system32\\lxducoms.exe"=
.
R0 m5288;m5288;c:\windows\system32\drivers\m5288.sys [07.08.2008 19:06 210304]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [22.03.2005 19:36 28672]
S2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [14.08.2008 09:11 99840]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.09.2011 19:43 136360]
S2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [25.09.2011 19:42 428200]
S2 lxdu_device;lxdu_device;c:\windows\system32\lxducoms.exe -service --> c:\windows\system32\lxducoms.exe -service [?]
S2 lxduCATSCustConnectService;lxduCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxduserv.exe [09.11.2010 13:36 98984]
S3 APL531;OVT Scanner;c:\windows\system32\drivers\ov550i.sys [31.07.2006 06:44 580992]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [14.08.2008 09:10 1527900]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [10.08.2008 16:42 215552]
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-25 c:\windows\Tasks\At1.job
- c:\programme\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe [2010-06-14 15:07]
.
2012-02-28 c:\windows\Tasks\At2.job
- c:\programme\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe [2010-06-14 15:07]
.
2012-02-25 c:\windows\Tasks\At3.job
- c:\programme\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe [2010-06-14 15:07]
.
2012-02-26 c:\windows\Tasks\At4.job
- c:\programme\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe [2010-06-14 15:07]
.
2012-02-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1220945662-1202660629-1801674531-1003Core.job
- c:\dokumente und einstellungen\Schoppelgeist\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-02-06 20:18]
.
2012-02-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1220945662-1202660629-1801674531-1003UA.job
- c:\dokumente und einstellungen\Schoppelgeist\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-02-06 20:18]
.
2012-02-28 c:\windows\Tasks\hpwebreg_CN0CP33G9305D1.job
- c:\programme\HP\HP Deskjet 2050 J510 series\Bin\hpwebreg.exe [2010-06-14 15:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://mystart.incredimail.com/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\16cqb3vs.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-ICQ - c:\programme\ICQ6.5\ICQ.exe
MSConfigStartUp-IncrediMail - c:\programme\IncrediMail\bin\IncMail.exe
MSConfigStartUp-Lexmark 5600-6600 Series Fax Server - c:\programme\Lexmark 5600-6600 Series\fm3032.exe
MSConfigStartUp-OrderReminder - c:\programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe
AddRemove-OVT Scanner - c:\windows\omniuns.exe USB\Vid_05a9&PID_1550 OVT Scanner
AddRemove-xp-AntiSpy - c:\programme\xp-AntiSpy\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-29 10:39
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1220945662-1202660629-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d3,ea,90,f9,82,36,02,48,89,0a,d7,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d3,ea,90,f9,82,36,02,48,89,0a,d7,\
.
[HKEY_USERS\S-1-5-21-1220945662-1202660629-1801674531-500\Software\SecuROM\License information*]
"datasecu"=hex:be,5d,30,ea,0f,2e,c7,44,51,a7,2d,4d,fc,d3,57,bb,d5,84,d7,0a,68,
   bb,a7,e6,73,50,01,43,b0,7a,6d,0b,88,e8,3c,9c,5e,86,5e,60,3b,be,75,29,61,30,\
"rkeysecu"=hex:d8,dc,53,59,36,40,f0,6a,8c,e5,4f,a7,0b,08,47,d6
.
Zeit der Fertigstellung: 2012-02-29  10:41:23
ComboFix-quarantined-files.txt  2012-02-29 09:41
.
Vor Suchlauf: 11 Verzeichnis(se), 22.147.858.432 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 22.598.578.176 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 470D36AA8B014BD2093784655A57D03C
         
Code:
ATTFilter
OTL Extras logfile created on: 29.02.2012 11:00:35 - Run 1
OTL by OldTimer - Version 3.2.33.2     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,67 Gb Available Physical Memory | 89,03% Memory free
3,60 Gb Paging File | 3,50 Gb Available in Paging File | 97,17% Paging File free
Paging file location(s): c:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 58,59 Gb Total Space | 21,07 Gb Free Space | 35,97% Space Free | Partition Type: NTFS
Drive D: | 146,48 Gb Total Space | 141,90 Gb Free Space | 96,87% Space Free | Partition Type: NTFS
Drive E: | 27,80 Gb Total Space | 22,36 Gb Free Space | 80,44% Space Free | Partition Type: NTFS
Drive G: | 1,87 Gb Total Space | 1,85 Gb Free Space | 99,19% Space Free | Partition Type: FAT
 
Computer Name: KLASEN | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [Betrachten mit XnView] -- "C:\Programme\XnView\xnview.exe" "%1" (XnView, hxxp://www.xnview.com)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Java\jre1.6.0\bin\javaw.exe" = C:\Programme\Java\jre1.6.0\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Lexmark 5600-6600 Series\lxduamon.exe" = C:\Programme\Lexmark 5600-6600 Series\lxduamon.exe:*:Enabled:Lexmark Device Monitor -- ()
"C:\Programme\Lexmark 5600-6600 Series\frun.exe" = C:\Programme\Lexmark 5600-6600 Series\frun.exe:*:Enabled:Lexmark Productivity Studio -- ()
"C:\Programme\Lexmark 5600-6600 Series\Diagnostics\lxdudiag.exe" = C:\Programme\Lexmark 5600-6600 Series\Diagnostics\lxdudiag.exe:*:Enabled:Lexmark Servicecenter -- ()
"C:\WINDOWS\system32\lxducoms.exe" = C:\WINDOWS\system32\lxducoms.exe:*:Enabled:5600-6600 Series Server -- ( )
"C:\Programme\HP\HP Deskjet 2050 J510 series\Bin\USBSetup.exe" = C:\Programme\HP\HP Deskjet 2050 J510 series\Bin\USBSetup.exe:LocalSubNet:Enabled:HP Geräteeinrichtung -- (Hewlett-Packard Co.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{063E409E-3D7C-4A4A-95AB-2F124B9224B3}" = ArcSoft PhotoImpression 6
"{0F9196C6-58B4-445B-B56E-B1200FECC151}" = Microsoft Bootvis
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java(TM) 6 Update 26
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java(TM) SE Runtime Environment 6
"{32A3A4F4-B792-11D6-A78A-00B0D0160000}" = Java(TM) SE Development Kit 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{63CFD835-FF50-4F8B-91CD-5662A8C640F8}" = Photo Transport
"{6B566EFE-DC1D-471F-93DD-84832663F140}" = OVT Scanner X86
"{7821C7B2-7E21-4CF3-925B-58B6A8BC6311}" = LibreOffice 3.4
"{787D1A33-A97B-4245-87C0-7174609A540C}" = HP Update
"{7A3DF2E2-CF13-44FB-A93E-F71D5381DB3F}" = HP Deskjet 2050 J510 series Hilfe
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{9509674F-3972-11DE-806D-005056806466}" = Google Earth
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9FAAE06C-DEDD-4299-B88D-1F9AD5E1547F}" = HP Deskjet 2050 J510 series - Grundlegende Software für das Gerät
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{B23B43B5-DDDC-41DA-9700-F334744E694E}" = Studie zur Verbesserung von HP Deskjet 2050 J510 series Produkten
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D2C5E510-BE6D-42CC-9F61-E4F939078474}" = Lexmark 
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FC906D5C-91F9-4DA4-A765-6DCBB669F317}" = Sony Ericsson PC Suite
"{FDC53DC6-137A-4541-BFA2-A9BAE4A7FE99}" = ULi Chipset Driver
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CleanUp!" = CleanUp!
"Digital Camera Driver" = Digital Camera Driver
"FileZilla Client" = FileZilla Client 3.5.1
"Firebird SQL Server D" = Firebird SQL Server - MAGIX Edition (D)
"HP Photo Creations" = HP Photo Creations
"Lexmark 5600-6600 Series" = Lexmark 5600-6600 Series
"MAGIX Foto Manager 2006 D" = MAGIX Foto Manager 2006 (D)
"MAGIX Music Manager 2006 D" = MAGIX Music Manager 2006 (D)
"MAGIX Online Druck Service D" = MAGIX Online Druck Service (D)
"MAGIX Video deluxe 2006 2007 D" = MAGIX Video deluxe 2006 2007 (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 10.0.2 (x86 de)" = Mozilla Firefox 10.0.2 (x86 de)
"Mozilla Thunderbird 10.0.2 (x86 de)" = Mozilla Thunderbird 10.0.2 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Demo
"Nero BurnRights!UninstallKey" = Nero BurnRights (Ahead Software)
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"Personal Backup 5_is1" = Personal Backup 5.0
"phase-6" = phase-6 2.1.0
"phase-6 Feeding Tool" = phase-6 Feeding Tool 1.0.5
"PhotoScape" = PhotoScape
"Picasa 3" = Picasa 3
"SiS163u" = 802.11g Wireless USB 2.0 Adapter
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"XnView_is1" = XnView 1.96.5
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 26.02.2012 12:36:16 | Computer Name = KLASEN | Source = ESENT | ID = 490
Description = svchost (1264) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 26.02.2012 12:37:55 | Computer Name = KLASEN | Source = ESENT | ID = 490
Description = svchost (1268) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 28.02.2012 13:46:22 | Computer Name = KLASEN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{0009ee43-63ee-11dd-ab8e-806d6172696f},0xc0000000,0x00000003,...)".
 hr = 0x80070005.
 
Error - 28.02.2012 13:46:44 | Computer Name = KLASEN | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
 aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070015" (konvertiert
 in 0x800423f3) fehlgeschlagen.
 
Error - 28.02.2012 13:55:56 | Computer Name = KLASEN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{0009ee43-63ee-11dd-ab8e-806d6172696f},0xc0000000,0x00000003,...)".
 hr = 0x80070005.
 
Error - 28.02.2012 13:56:19 | Computer Name = KLASEN | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
 aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070015" (konvertiert
 in 0x800423f3) fehlgeschlagen.
 
Error - 28.02.2012 14:04:41 | Computer Name = KLASEN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{0009ee43-63ee-11dd-ab8e-806d6172696f},0xc0000000,0x00000003,...)".
 hr = 0x80070005.
 
Error - 28.02.2012 14:05:04 | Computer Name = KLASEN | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
 aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070015" (konvertiert
 in 0x800423f3) fehlgeschlagen.
 
Error - 28.02.2012 14:22:59 | Computer Name = KLASEN | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{0009ee43-63ee-11dd-ab8e-806d6172696f},0xc0000000,0x00000003,...)".
 hr = 0x80070005.
 
Error - 28.02.2012 14:23:22 | Computer Name = KLASEN | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
 aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070015" (konvertiert
 in 0x800423f3) fehlgeschlagen.
 
[ System Events ]
Error - 29.02.2012 05:30:04 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 29.02.2012 05:30:16 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 29.02.2012 05:30:30 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 29.02.2012 05:42:04 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 29.02.2012 05:42:08 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 29.02.2012 05:47:57 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 29.02.2012 05:49:10 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 29.02.2012 05:53:41 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 29.02.2012 05:53:46 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 29.02.2012 05:59:49 | Computer Name = KLASEN | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
 
< End of report >
         
Für jedewede Hilfe, schonmal Dank im Voraus
Angehängte Dateien
Dateityp: txt mbam-log-2012-02-29 (12-55-10).txt (1,9 KB, 147x aufgerufen)
Dateityp: txt OTL.Txt (82,0 KB, 162x aufgerufen)
Dateityp: txt hijackthis.log.txt (5,2 KB, 144x aufgerufen)

Alt 29.02.2012, 15:29   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scareware: Windows wurde aus Sicherheitsgründen deaktivert - Standard

Scareware: Windows wurde aus Sicherheitsgründen deaktivert



Zitat:
ComboFix Tolls angestoßen, dessen Log ich nicht vorenthalten möchte:
Warum Combofix?! Hier steht überall, dass CF erst auf Anweisung hin ausgeführt werden darf!!
__________________

__________________

Alt 29.02.2012, 16:12   #3
DesMas
 
Scareware: Windows wurde aus Sicherheitsgründen deaktivert - Standard

Scareware: Windows wurde aus Sicherheitsgründen deaktivert



Hallo Cosinus

Zitat:
Warum Combofix?! Hier steht überall, dass CF erst auf Anweisung hin ausgeführt werden darf!!


Weil das Tool sich zusammen mit MbAM, OTL, autoruns, und andern auf meinem "Virenjägerstick" befindet und mir bisher auch ohne zus. Scripte zur Ausführung gute Dienste geleistet hat.
Außerdem habe ich den Foren Post erst eröffnet, nachdem klar war das das Ding sich nicht so einfach eliminieren lässt.
Im Regelfall schmeiß ich dann eine LiveCD mit einem aufgepeppten Lunix rein und lass die Kiste durchprügeln.
(Nur diesmal hab ich halt wegen des vermehrten Aufkommens von dem Ding mal einen Eintrag generiert, in der Hoffnung erweiterte Informationen zur gezoelten Beseitigung erlangen zu können.)
__________________

Alt 29.02.2012, 17:48   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scareware: Windows wurde aus Sicherheitsgründen deaktivert - Standard

Scareware: Windows wurde aus Sicherheitsgründen deaktivert



Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.03.2012, 08:41   #5
DesMas
 
Scareware: Windows wurde aus Sicherheitsgründen deaktivert - Standard

Scareware: Windows wurde aus Sicherheitsgründen deaktivert



Moin, Ja ein paar weitere Logs von Suchläufen exisiteren; allerdings nur einmal mit Befund

Code:
ATTFilter
C:\Dokumente und Einstellungen\Schoppelgeist\Desktop\GinoPlayer__locamotive_breath_1_mp3_.exe (PUP.Adware.Ginoplayer.ScamLotto) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Schoppelgeist\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
         
Der Lauf über nen Kaspersky per LiveLunix brachte noch folgendes:
Code:
ATTFilter
Status: Gelöscht  (Ereignisse: 6)	
29.02.12 17:59	Gelöscht	trojanisches Programm Exploit.Win32.Pidief.dek	C:/Dokumente und Einstellungen/Schoppelgeist/Lokale Einstellungen/Anwendungsdaten/Mozilla/Firefox/Profiles/yekqimj0.default/Cache/1/39/A363Cd01	Hoch	
29.02.12 17:59	Gelöscht	trojanisches Programm Trojan-Ransom.Win32.Foreign.all	C:/Dokumente und Einstellungen/Schoppelgeist/Lokale Einstellungen/Anwendungsdaten/Skype/Skype.exe	Hoch	
29.02.12 17:59	Gelöscht	trojanisches Programm Trojan-Ransom.Win32.Foreign.all	C:/Dokumente und Einstellungen/Schoppelgeist/Lokale Einstellungen/Temp/vff.exe	Hoch	
29.02.12 17:59	Gelöscht	trojanisches Programm Trojan-Ransom.Win32.Foreign.all	C:/Dokumente und Einstellungen/Schoppelgeist/Lokale Einstellungen/Temp/hdd32.exe	Hoch	
29.02.12 17:59	Gelöscht	trojanisches Programm Exploit.Java.CVE-2010-0840.gc	C:/Dokumente und Einstellungen/Schoppelgeist/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/29/5c52ae5d-58c9ebbd//Goo.class	Hoch	
29.02.12 17:59	Gelöscht	trojanisches Programm Exploit.Java.CVE-2010-0840.gc	C:/Dokumente und Einstellungen/Schoppelgeist/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/29/5c52ae5d-58c9ebbd	Hoch
         
Damit war auch die Scareware tot.
Java und Skype wurden zusätzlich schon komplett eliminiert/ausgetauscht.

Ein nachgelagerter Lauf eines Virenscanners vrachte dann aber noch einmal einen "TR/TrashGen" in den Wiederherstellungsdateien zu Tage; weswegen ich die Systemwiederherstellung zur Löschung der Daten deaktiviert habe.

Angehängte Dateien
Dateityp: txt mbam-log-2012-02-28 (20-00-46).txt (2,7 KB, 151x aufgerufen)
Dateityp: txt mbam-log-2012-02-29 (11-18-14).txt (2,2 KB, 174x aufgerufen)
Dateityp: txt mbam-log-2012-02-29 (12-55-10).txt (1,9 KB, 150x aufgerufen)
Dateityp: txt mbam-log-2012-02-29 (19-30-07).txt (2,2 KB, 143x aufgerufen)

Alt 01.03.2012, 16:51   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Scareware: Windows wurde aus Sicherheitsgründen deaktivert - Standard

Scareware: Windows wurde aus Sicherheitsgründen deaktivert



Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
--> Scareware: Windows wurde aus Sicherheitsgründen deaktivert

Antwort

Themen zu Scareware: Windows wurde aus Sicherheitsgründen deaktivert
antivir, avg, avgnt, avira, combofix, desktop, diagnostics, einstellungen, error, firefox, flash player, helper, internet, internet explorer, logfile, mozilla, mozilla thunderbird, picasa, preferences, realtek, registry, rundll, security, software, studio, svchost, system, udp, unerwarteter fehler, usb, usb 2.0, windows, windows xp



Ähnliche Themen: Scareware: Windows wurde aus Sicherheitsgründen deaktivert


  1. Aus Sicherheitsgründen wurde ihr windows....
    Plagegeister aller Art und deren Bekämpfung - 11.04.2012 (5)
  2. Windows wurde aus Sicherheitsgründen bockiert
    Plagegeister aller Art und deren Bekämpfung - 11.04.2012 (11)
  3. Windows wurde aus Sicherheitsgründen blockiert
    Log-Analyse und Auswertung - 31.03.2012 (13)
  4. Windows wurde aus Sicherheitsgründen gesperrt
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (12)
  5. Scareware: Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem blockiert.
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (1)
  6. Windows 7: Achtung Ihr Windows wurde aus Sicherheitsgründen gesperrt! Bezahlen und runterladen
    Log-Analyse und Auswertung - 17.02.2012 (2)
  7. aus sicherheitsgründen wurde windows blockiert
    Log-Analyse und Auswertung - 14.02.2012 (3)
  8. Windows-System wurde aus Sicherheitsgründen deaktivert..Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 16.01.2012 (21)
  9. Windows wurde aus Sicherheitsgründen blockiert.
    Log-Analyse und Auswertung - 07.01.2012 (13)
  10. Windows wurde aus Sicherheitsgründen geblockt
    Log-Analyse und Auswertung - 06.01.2012 (1)
  11. Windows wurde aus Sicherheitsgründen heruntergefahren.
    Plagegeister aller Art und deren Bekämpfung - 04.01.2012 (24)
  12. Achtung Aus Sicherheitsgründen wurde ihr Windows System blockiert Windows xp
    Plagegeister aller Art und deren Bekämpfung - 03.01.2012 (7)
  13. Windows (7) wurde aus Sicherheitsgründen gesperrt..... 50€ etc.
    Log-Analyse und Auswertung - 29.12.2011 (2)
  14. Aus sicherheitsgründen wurde ihr Windows blockiert !
    Log-Analyse und Auswertung - 17.12.2011 (10)
  15. Gehe zum ersten neuen Beitrag Aus Sicherheitsgründen wurde ihr windows System blockiert (auf Windows
    Log-Analyse und Auswertung - 16.12.2011 (16)
  16. Windows wurde aus sicherheitsgründen blockiert
    Log-Analyse und Auswertung - 14.12.2011 (10)
  17. Windows wurde aus Sicherheitsgründen blockiert
    Log-Analyse und Auswertung - 12.12.2011 (1)

Zum Thema Scareware: Windows wurde aus Sicherheitsgründen deaktivert - Moin Boardcommunity Ichb habe hier mal wieder einen Rechner, der sich weigert den benannten Befall loszuwerden mit einfachen Mitteln loszuwerden . Habe mittels der bekannten Tools mal im abgesicherten Modus - Scareware: Windows wurde aus Sicherheitsgründen deaktivert...
Archiv
Du betrachtest: Scareware: Windows wurde aus Sicherheitsgründen deaktivert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.