Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   computer windows7 gesperrt durch sicherheitscenter (https://www.trojaner-board.de/111724-computer-windows7-gesperrt-sicherheitscenter.html)

saa2006 17.03.2012 19:59
computer windows7 gesperrt durch sicherheitscenter
 
Plötzlich Bildschirm mit Aufforderung, dass ich eine nicht registrierte Windows Kopie hätte, die mit 100 Euro und Paysafe Bezahlung zu aktivieren wäre.
Ich komme nicht in abgesicherten Modus rein, den der weise Balken lasst sich von Windows normal starten nicht verschieben und nichts funkioniert z.B F8 oder F12, Widows startet dann und es erscheind sofort das Fenster mit der Zahlungsaufforderung. Bitte um Hilfe, was ich tun kann?

System Windows 7 Home

markusg 17.03.2012 20:01
hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

saa2006 17.03.2012 20:07
Hallo,

ich schreibe von meinem alten rechner, den ich nicht mehr benutzt habe.
Ich werde es versuchen, die cd zubrennen. Danke im vorraus.

saa2006 17.03.2012 22:00
Hallo,

das mit dem brenne der cd hat nicht geklappt 0% extracting,
ich weiß auch nicht ob der brenner funkioniert, was kann ich sonst noch tun ohne cd?
Danke im vorraus für ihre bemühungen

saa2006 18.03.2012 12:22
Hi,

es hat geklappt, ich habe die cd gebrannt.
Ich habe versucht den infiezierten computer mit der cd zu booten, hat aber nicht geklappt. Ich drücke del oder f12 aber er reagiert nicht und windows wird nach par sekunden gestartet und es erscheind wieder das fenster mit der zahlungsaufforderung.
Ich kenne mich leider nicht aus; ist es richtig das ich die cd gleich nach dem brennen im defekten computer boote? Oder muß ich die weiteren anweißungen
auf diesem computer machen?
Vielen dank im vorraus für ihre hilfe

bis bald

saa2006 18.03.2012 15:34
hi,

ich habe die cd gebrannt, aber wenn ich die cd in den infizierten computer einlege, kann ich sie nicht booten, denn wenn ich den computer starte und auf del oder F12 drücke reagiert er nicht und windows wird gestartet und dannach erscheint wieder die zahlungsaufforderung.
ich muß doch die cd in den defekten computer einlegen? sorry aber ich kenne mich leider nicht aus, deshalb frage ich vorsichtshalber noch einmal nach.
vielen dank im vorraus für die hilfe

mfg:dankeschoen:

markusg 18.03.2012 16:25
hi,
es reicht wenn du es einmal schreibst
die cd schon mal an nem andern pc probiert, ob die überhaupt läuft?

saa2006 18.03.2012 18:05
Hi,

es tut mir leid ich wusste nicht ob sie die nachricht erhaltenen.
Ich habe die cd probiert, sie läüft gerade, soll ich sie fertig laufen lassen?

Mfg

markusg 18.03.2012 18:33
sie läuft auf dem infizierten pc oder auf nem andern? wenn auf dem infiziertem, dann laufen lassen.

saa2006 18.03.2012 18:37
Sie lief auf den anderen, weil ich sie getestet habe und ist jetzt mit dem scan fertig.

Mfg

markusg 18.03.2012 18:39
scannen solltest du ja auf dem anderen pc nicht, nur gucken ob sie überhaupt startet
hast du auf dem infizierten gerät die bootreihenfolge verendert, damit das cd laufwerk zuerst gestartet wird?

saa2006 18.03.2012 18:42
nein, ich habe nichts verändert.

soll ich die zwei fenster schliessen, die sich nach dem scan auf dem anderen computer geöffnet haben? und muss ich noch was tun, weil ich leider gescannt habe?

P.S. NOCH MAL VIELEN DANK FÜR IHRE HILFE

markusg 18.03.2012 18:46
1.
kannst ruhig du sagen.
2. ja schließen und pc neustarten und cd raus.
3. im bios die boot reihenfolge auf dem infizierten pc endern und dann von der cd starten.

saa2006 18.03.2012 20:01
hi,

ich habe versucht den infizierten rechner im boot bei mir taste F12 zu starten, geht leider nicht er öffnet mir wieder windows

saa2006 18.03.2012 22:10
hi,

ich habe par mal versucht den bios zu starten, jedesmal wenn es nicht ging und windows wieder starten wollte, habe ich den rechner ausgeschaltet und dann
erschien die windowsreperatur. jetzt geht windows wieder.
soll ich die cd trotzem starten und scannen?
ist der trojaner ganz weg oder muß ich noch was machen?

welchen virusschutz soll ich benutzen, damit ich vor trojaner geschützt bin?

vielen dank im vorraus für deine bemühungen und hilfe

mfg
:dankeschoen:

markusg 19.03.2012 11:38
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

saa2006 27.03.2012 18:47
hallo,

entschuldige bitte das ich mich so lange nicht gemeldet habe, aber ich hatte selbst einen schweren virus. ich habe deine anweißung befolgt und und otl gestartet und gescannt. zwei
fenster haben sich geöffnet den extras.txt habe ich markiert und kopiert, wenn ich larusso öffne erscheint ein blauer balken wo steht: benutzerdefinierte scans/fixes
wo und wie muß ich den text kopieren?

danke im vorraus für deine antwort

markusg 28.03.2012 10:43
einfach die texte hier reinkopieren oder als datei anhängen.

saa2006 01.04.2012 12:24
hallo,

anbei erhältst du die zwei anhänge, nochmals vielen dank für deine hilfe und deine geduld, da ich das alles so kompliert finde, dauerd es bei mir leider so lange, bis ich alles hinkriege.

mfg :dankeschoen:

markusg 01.04.2012 14:05
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

saa2006 01.04.2012 18:00
Hallo,

ich habe combofix gestartet und logfile ist erschinen, ich kann es dir aber nicht schicken, da combofix auf den infiezierten rechner mein firefox und internet exlorer gelöscht hat. Wie komme ich jetzt wieder ins internet rein?

Mfg

vielen dank für deine hilfe

saa2006 01.04.2012 18:12
HALLO,

DAS INTERNET GEHT WIEDER, ANBEI ERHÄLST DU LOG. TXT

MFG ::dankeschoen:

markusg 01.04.2012 18:45
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

saa2006 01.04.2012 21:31
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.01.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Standart :: STANDART-PC [Administrator]

Schutz: Aktiviert

01.04.2012 22:07:29
mbam-log-2012-04-01 (22-07-29).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 297499
Laufzeit: 19 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\Software\RavenBleuSA (Adware.Hotbar.RB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Standart\Downloads\SoftonicDownloader_for_vlc-media-player.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

markusg 02.04.2012 13:39
bitte lade nicht mehr von Softonic
lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

saa2006 03.04.2012 15:03
Hi,

anbei erhälst du die install.txt vom ccleaner.

Bis bald, danke

saa2006 03.04.2012 15:34
hi,

anbei erhälst du die install.txt mit den angaben nötig/unnötig und bekannt/unbekannt.

mfg

markusg 03.04.2012 15:39
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Bing
eBay
K-Lite
Microsoft Silverlight
PricePeep for FireFox betwikx LLC 05.02.2012 2.1.39.0 WEIß ICH NICHT , BEKANNT
was soll das für ne bezeichnung sein..
deinstaliere es falls unnötig.

öffne otl bereinigen neustart
öffneccleaner analysieren ccleaner starten, pcneustarten. testen wie das system läuft

saa2006 04.04.2012 12:10
hallo,

PricePeep for FireFox betwikx LLC 05.02.2012 2.1.39.0 WEIß ICH NICHT , BEKANNT

ich weiß nicht für was das ist und ob ich es benötige.

mfg

markusg 04.04.2012 16:07
dann löschs bitte.

saa2006 07.04.2012 14:57
Hi,
ich wünsche dir frohe ostern und schöne feiertage

viele grüße

markusg 10.04.2012 19:17
wie läuft das system?

saa2006 11.04.2012 11:46
HI,

DANKE DAS SYSTEM LÄÜFT GUT, ABER NUR MICROSOFT WORD STARTER FUNKIONIERT NICHT ES SEHT KEINE VERBINDUNG.

MFG:taenzer:

markusg 12.04.2012 15:03
wie lauten die fehlermeldungen, ich brauch vernünftige angaben zum arbeiten

saa2006 15.04.2012 18:08
HI,

WENN ICH BEI WORD STARTER Z.B. DENN TEXT ÄNDERN WILL; WIRD DIE SEITE WEIß UND ES STEHT OBEN KEINE RÜCKMELDUNG UND DER MAUSZEIGER IST RUND UND DREHT SICH. ICH KANN DAN AUF DER SEITE NICHTS MEHR MACHEN.

VIELEN DANK IM VORRAUS FÜR DEINE HILFE

MFG :taenzer:


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131