Schwarzes Fenster: Aus Sicherheitsgründen wurde Ihr System blockiert
 

Hallo Trojaner-Board team,

- Symptom: schwarzer Bildschirm mit Deutschlandflagge, Hinweis "Aus Sicherheitsgründen wurde Ihr System blockiert" und Aufforderung zum Zahlen;
- Problem taucht auf nur beim Internetanschluss (Computer funktioniert wenn er vom Internet getrennt wird);
- Habe, wie im Forum gelesen, Malwarebytes und OTL scans durchgeführt (mbam-, OTL- und Extras-Logdateien im Anhang);
- Beim Lesen der Logdateien fiel mir "Mozilla/Firefox" auf, wobei dieser Browser bei mir gar nicht installiert ist!
- Betriebssystem: Windows XP SP3, Browser: IE8;
- Ich entschuldige mich für das Öffnen eines neuen Themas bezüglich dieses schon bekannten (da es schon mehrmals in diesem Forum behandelt wurde) Problems, ich weiß aber nicht, wie man einen Beitrag direkt in das passende Subforum postet.

Gruß
kriszi

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Hallo Cosinus,

die Funde hatte ich selbstverständlich im Anschluss mit Malwarebytes manuell gelöscht. Das erscheint aber nicht in der Logdatei, da sie vor der Löschaktion erstellt wird.

Gruß

Kriszi

Hallo Cosinus,

wie soll nun vorgegangen werden?

Gruß

Kriszi

DU hast die erste Frage nicht wirklich beantwortet. Hast du nun zuvor gescannt mit Malwarebytes oder nicht? Wenn ja, wo sind die anderen Logs?

Hallo Cosinus,

- hatte mit Malwarebytes gescannt;
- hatte dann die Funde manuell gelöscht;
- hatte dann einnen Scan mit OTL durchgeführt;
- heute morgen habe ich die resultierenden Logdateien an meinen Post angehängt (die mbam-Datei mit den Funden und die 2 OTL-Dateien)!

Welche Datei meinst du mir der Frage "wo sind die anderen Dateien"?

Gruß

Kriszi

Meine Frage war, ob du in der vergangenheit schon mit MBAM gescannt hast wenn ja davon will ich auch die Logs sehen

P.S.: wenn ich sage, ich habe die Funde manuell gelöscht, heißt es, dass ich im Fenster von Malwarebytes, wo die aufgelisteten Funde mit Häckchen ausgewählt sind, mit Klick auf "Ausgewähltes entfernen" gelöscht habe.
Die mbam-Logdatei zeigt die Funde, da sie ja erstellt wird vor der Löschaktion.
Oder meintest du, dass ich nach dem Löschen nochmal ein Malwarebytes-Scan hätte durchführen müssen?

Gruß

Kriszi

Sry danach hatte ich nciht gefragt *seufz* :(

Einfacher: Öffne Malware, klicks auf den Reiter Logdateien und berichte mir wie viele Logs da aufgelistet werden

Ja, ich hatte davor schon gescannt, malwarebytes hatte aber nichts gefunden.
Allerdings war es in dem Moment nicht updated (Definitionen waren 9 Tage alt).
Erst nach dem Update hat er die Funde gemacht.
Konnte ja nicht updaten, da ich keinen Zugang mehr ins Internet hatte.
Ich schaue, ob ich die vorige Logdatei noch habe und poste sie.
Gruß

Kriszi

OK, jetzt ist mir klar, warum wir einander vorbeireden. Ich hatte deine erste Frage übersehen wegen diesem breiten gelben Band mit dem Zitat mitten in deinem Post.
Werde nachschauen, kann allerdings etwas dauern, denn ich bin nicht zu Hause und muss die Aktionen von meiner Familie über das Telefon durchführen lassen.

Gruß

Kriszi

Hallo Cosinus,

hier die vorige mbam-Logdatei.

Gruß

Kriszi

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Cosinus,

es hat etwas gedauert, aber im Anhang ist jetzt die log.txt Datei.

Gruß

Kriszi

Hallo Cosinus,

beim Forumdurchlesen habe ich festgestellt, dass du die Logs in CODE-Tags haben möchtest.

Also hier nochmal die ESET log.txt Datei im gewünschten Format:

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Cosinus,

hier die OTL-Logdatei:

Gruß

Kriszi

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Cosinus,

hier ist die Log Datei:

Kann man jetzt davon ausgehen, dass der Computer wieder in Ordnung ist?

Gruß

Kriszi

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo Cosinus,

es hat etwas gedauert, aber hier ist endlich die Lod Datei:

Gruß

Kriszi

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo Cosinus,

hier der Inhalt der ComboFix.txt Logdatei (habe ich es richtig verstanden, war dieses mal keine Übermittlung mit Code Tags erforderlich?):

________________________________________________________________

Combofix Logfile:
--- --- ---

_________________________________________________________________

Gruß

Kriszi

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hallo Cosinus,

habe weder WINRAR noch 7ZIP.

Von welcher Website können sie sicher heruntergeladen werden?

Mit der Installation eines neuen Produktes auf die Festplatte, wird nicht der ganze Such- und Analyseprozess beinträchtigt, da ja neue Elemente darauf sind?

Gruß

Kriszi

Mit "neuen Produkten" meine ich WinRAR und 7zip, nicht die Tools.

Also wirklich, wie eine Suchmaschine bedient wird weiß du aber schon? :balla:

7-Zip

Ja, googeln kann ich.

Wollte nur vorsichtig sein, da du ja dabei bist, meine Festplatte zu bereinigen, und keinen neuen Müll von irgendeiner unsicheren Website herunterladen.

Man lädst sich ja auch nichts von irgendwas herunter, sondern nach Möglichkeit direkt vom Hersteller. So einfach ist das. Das Hilfsmittel ist keine Zauberei sondern eine Suchmaschine und etwas Eigeninitiative!

Hallo Cosinus,

hier die GMER Log, nachdem der GMER-Scan stundenlang gedauert hat (zwar nicht abgestürtzt, hat einfach ca. 4 Std gebraucht):

GMER Logfile:
--- --- ---

Die OSAM Log folgt in Kürze

Gruß

Kriszi

Hallo Cosinus,

hier die OSAM Log:

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Gruß

Kriszi

Hallo Cosinus,

die aswMBR Log werde ich erst im Laufe des Nachmittags erstellen und senden können.

Gruß

Kriszi

Hallo Cosinus,

hier endlich die aswMBR Log:

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-18 16:18:13
-----------------------------
16:18:13.328 OS Version: Windows 5.1.2600 Service Pack 3
16:18:13.328 Number of processors: 1 586 0x801
16:18:13.359 ComputerName: USER-6D961DF72B UserName: Dauber
16:18:19.609 Initialize success
16:21:45.515 AVAST engine defs: 12021800
16:22:32.250 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
16:22:32.250 Disk 0 Vendor: WDC_WD800BB-00FJA0 13.03G13 Size: 76319MB BusType: 3
16:22:32.281 Disk 0 MBR read successfully
16:22:32.281 Disk 0 MBR scan
16:22:32.390 Disk 0 Windows XP default MBR code
16:22:32.390 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 76308 MB offset 63
16:22:32.406 Disk 0 scanning sectors +156280320
16:22:32.546 Disk 0 scanning C:\WINDOWS\system32\drivers
16:23:01.734 Service scanning
16:23:03.984 Service GMSIPCI D:\INSTALL\GMSIPCI.SYS **LOCKED** 21
16:23:04.750 Modules scanning
16:23:32.390 Disk 0 trace - called modules:
16:23:32.406 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys videX32.sys
16:23:32.421 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x83b70ab8]
16:23:32.421 3 CLASSPNP.SYS[f76affd7] -> nt!IofCallDriver -> \Device\00000064[0x83b39168]
16:23:32.421 5 ACPI.sys[f7625620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x83b8d940]
16:23:33.734 AVAST engine scan C:\WINDOWS
16:23:51.484 AVAST engine scan C:\WINDOWS\system32
16:32:53.265 AVAST engine scan C:\WINDOWS\system32\drivers
16:33:34.453 AVAST engine scan C:\Dokumente und Einstellungen\Dauber
16:58:24.062 AVAST engine scan C:\Dokumente und Einstellungen\All Users
17:01:09.156 Scan finished successfully
17:21:48.468 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Dauber\Desktop\MBR.dat"
17:21:48.468 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Dauber\Desktop\aswMBR.txt"


Gruß

Kriszi

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Cosinus,

SuperAntiSpyware scannt jetzt seit 7 Stunden, ist das normal?

Gruß

Kriszi

Hallo Cosinus,

hier esrtmal endlich (nach 8-stündigem Scan!) die SuperSpywareLog. Es scheint, dass er etwas gefunden hat:

Die Malwarebytes Log wird in einigen Stunden folgen.

Gruß

Kriszi

Überreste, Cookies und 1x Softonic-Müll :pfui: in Zukunft Finger weg von Softonic!
Alles löschen

Hallo Cosinus,

hier endlich die MBAM Log (nach 4-stündigem scannen):

Was Softonic betrifft: das wurde ohne meines Wissens heruntergeladen, als ich das Programm "Recuva" (zum wiederherstellen von gelöschten Bildern auf der Memorycard meiner Digitalkamera) installiert habe. Ich glaube, dass "Recuva" von der Firma Softonic ist. Ärgerlich, wenn so Sachen mitinstalliert werden. Wie kann man sich dagegen schützen und wem kann man noch trauen? Anders ausgedrückt: wie weiß man, ob eine Firma, die Software anbietet, Müll ist?

Gruß

Kriszi

leider muss man sich da immer etwas informieren und darf nicht planlos irgendwas installieren.
Grundsätzlich lädt man sich die Software nur vom Hersteller direkt runter oder notfalls geht auch chip.de, außerdem muss man heutzutage IMMER Software benutzerdefiniert installieren, weil sonst alles mögliche an Dreck (Toolbars und änhlicher Hokuspokus) automatisch mitinstalliert wird :pfui:


So, ansonsten waren da keine Funde mehr, Rechner soweit wieder ok?

Hallo Cosinus,

vielen vielen Dank für deine professionnelle Hilfe (werde auf das Trojaner-Board-Spendekonto etwas überweisen).

Der Rechner ist soweit wieder OK, auch wenn jetzt etwas lahm (lansames Hochfahren und langsames Öffnen eines angeklickten Programs oder einer angeklicktem Datei).

Liegt es vielleicht an den vielen neuinstallierten Tools? Würde es hilfreich sein, die zu deinstallieren und dann den Rechner zu defragmentieren und neuzustarten?

Gruß

Kriszi

http://www.trojaner-board.de/71631-p...samer-tun.html


Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Cosinus,

vielen Dank nochmal für deine Hilfe und auch für diese vielen nützlichen Tipps!

Gruß

Kriszi