Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows blockiert, 50 Euro zahlen (https://www.trojaner-board.de/107072-windows-blockiert-50-euro-zahlen.html)

blubberbernd 28.12.2011 12:56
Windows blockiert, 50 Euro zahlen
 
Hallo,

auch ich habe hier ein Laptop mit einem blockierten Windows und der Aufforderung, 50 Euro zu zahlen. Ich habe vorab folgende Frage. Gibt es hier im Board eine Anleitung, was zu tun ist, um an die benötigten Logs (OTL etc.) zu kommen?

Danke.

blubberbernd 28.12.2011 13:09
Ok, gefunden.

markusg 28.12.2011 13:58
hi
bitte antworte dir nicht selbst wenn du nen neues thema eröffnest sonst wird dein thema nicht mehr als unbeantwortet angezeigt.

pc neustarten, f8 drücken abgesicherter modus mit netzwerk:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

blubberbernd 28.12.2011 14:58
Ok. Vielen Dank erstmal. Anbei die Ergebnisse des Scans.

markusg 28.12.2011 16:17
hi



achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O4 - HKCU..\Run: [{E97A8421-8F21-11DD-81E5-806E6F6E6963}] C:\Users\Björn\AppData\Roaming\Microsoft\dllhsts.exe (The Pidgin developer community)

 :Files
C:\Users\Björn\AppData\Roaming\Microsoft\dllhsts.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden
öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

blubberbernd 28.12.2011 17:57
Vielen Dank. Sieht so aus, als ob alles funktioniert hat. MovedFiles habe ich im Upload Channel hochgeladen. Aber wo ist das entstandene txt file abgelegt? Ich finde es nicht.

markusg 28.12.2011 18:03
macht nichts, log ist in dem ordner da finde ichs.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

malwarebytes:

blubberbernd 28.12.2011 18:57
Ok, hier die combofix.txt. Vielen Dank nochmal. Gibt's jetzt noch etwas zu tun?

markusg 28.12.2011 19:00
öffne mal computer c: qoobox den ordner quarantain packen und im upload channel hochladen

blubberbernd 28.12.2011 19:09
Erledigt :-)

markusg 28.12.2011 19:14
man dankt
wird das system für online banking einkäufe sonstige zahlungsabwicklungen oderr ähnlich wichtiges genutzt

blubberbernd 29.12.2011 10:45
Sorry, konnte gestern nicht mehr antworten. Ja, das System wurde bisher auch für Online -Banking genutzt.

markusg 29.12.2011 11:43
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

blubberbernd 29.12.2011 12:02
Ich komm schon soweit klar, was Installation usw. angeht. Das Problem ist, das ist nicht mein Laptop. Da ist ein OEM Vista drauf. Soweit ich weiß, ist keine CD vorhanden.

EDIT: Ist ein Medion. Typ weiß ich jetzt nicht, ich hab's auch gerade nicht hier.

markusg 29.12.2011 13:14
jo dann musst du es raus finden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19