Windows gesperrt, "aus Sicherheitsgründen"
 

Auch mich hat es erwischt mit dem bereits schon öfters beschriebenen Problem:
Der Computer ist gesperrt, "aus Sicherheitsgründen", ich soll 50 Euro zahlen.

Ich arbeite jetzt im abgesicherten Modus, denn ansonsten friert der Computer alle 2 Minuten ein. Über Hilfe würde ich mich sehr freuen,

danke, Bene V.

Pardon, mir ist aufgefallen, dass ich vergessen habe den Gmer-Scan zu machen. Ich habe ihn nun angehängt, ich habe ihn im abgesicherten Modus gemacht. Die anderen beiden Dateien habe ich bekommen, als der Computer bereits eingefroren war mit diesem Trojaner. Trotzdem waren die beiden Dateien OTL.txt und extras.txt beim nächsten Hochfahren auf dem Desktop vorhanden. Ich hoffe, ich habe das richtig gemacht.

Wie gesagt, über Hilfe würde ich mich sehr freuen.

Schönen Gruß,

Bene V.

hi

hast du eine ahnung wo genau du dir das eingefangen hast?
Infos an mich als private nachicht

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.






• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Danke schon mal für die Hilfe, die rar-Datei wird gleich hochgeladen, hier das Textdokument aus dem OTL-Fix:


All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\firefox.exe deleted successfully.
C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe moved successfully.
========== FILES ==========
File\Folder C:\Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 41 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Owner
->Flash cache emptied: 4286642 bytes

User: Public

Total Flash Files Cleaned = 4,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Owner
->Temp folder emptied: 36808999 bytes
->Java cache emptied: 89226294 bytes
->FireFox cache emptied: 54477333 bytes
->Google Chrome cache emptied: 11932537 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3332221 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 5941281 bytes

Total Files Cleaned = 192,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12212011_185559

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

danke für den upload

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Alles erledigt, hier der Inhalt des log.txt von combofix, ich hoffe das ist das erwünschte:

Combofix Logfile:
--- --- ---

ok öffne computer
öffne c:
öffne qoobox
rechtsklick quarantain, mit winrar oder anderem packprogramm ein archiv erstellen und das im upload channel hochladen

Okay, ich habe die Quarantain als rar. hochgeladen. Sollte ich jetzt noch etwas machen?

danke

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Ich habe bereits jetzt zu danken!

Hier das Ergebnis des Malware-Scans:


Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 911122105

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18828

21.12.2011 22:36:42
mbam-log-2011-12-21 (22-36-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 333560
Laufzeit: 1 Stunde(n), 27 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (Search) Good: (Google) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (Search) Good: (Google) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Owner\downloads\removewga12.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.
c:\_OTL\movedfiles\12212011_185559\C_Users\Owner\AppData\Roaming\Mozilla\Firefox\firefox.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

start suchen tippe:
windows update
enter
gehe auf einstellungen, updates automatisch instalieren, täglich, uhrzeit wählen.
sonst alles anhaken außer detailierte infos.
ok klicken.
jetzt updates suchen.
instaliere wichtige und optionale updates.
es wird neustarts geben, dann wieder seite aufrufen, updates suchen, dann wieder instalieren.
es wird folgeupdates geben, da gibts zwar keinen neustart, du musst aber ebenfalls update seite aufrufen, updates suchen, instalieren, so lange bis es keine mehr gibt.
dies ist der erste schritt eine erneute infektion zu verhindern