Trojaner-Board - Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem blockiert.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. (https://www.trojaner-board.de/106279-achtung-sicherheitsgruenden-wurde-windowssystem-blockiert.html)

Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem blockiert.

Hallo ihr Lieben,
Ich hoffe, ich bin hier richtig... Ich habe ein Problem mit meinem Laptop. Und zwar, kommt immer, wenn ich den starte ein schwarzer Bildschirm, man sieht dann nur noch ganz leicht den Desktop und da steht in roten Lettern Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Und da runter ist dann ein Butten, auf dem steht Bezahlen und runterladen.

Ich kann sonst nicht mit dem Laptop machen, außer im abgesicherten Modus, da kommt die Meldung nicht.

Ich hab dann mal bei euch rumgeschaut, und bin auf diesen Tread http://www.trojaner-board.de/106040-...blockiert.html gesoßen, habe die Anweisungen dann erst malk befolgt, habe das System also auf einen USB Stick geladen und durchgeführt, wenn ich den Laptop jetzt starte, kommt immer nooch der schwarze Bilsschirm und ich weiß nicht, was ich jetzt machen soll :(
Ich hoffe auf Hilfe, und muss dazu sagen, das ich ein kleiner Technik legastemiker bin... Aber Anweisungen kann ich ganz gut folgen ;)

Liebe Grüße
Cindy

hi
im abgesicherten modus folgendes:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hey,
Da hab ich doch direkt ne Frage zu ;)
Kann ich OTL im abgesicherten Modus runterladen??

im abgesicherten modus mit netzwerk

ok, danke! dann probier ich das jetzt mal

Hey, mit Netzerkbetrieb lässt sich das Ding nicht starten... der fährt nicht hoch..

Also, das ging zwar nicht, aber er ha mir dann angeboten, das System zu einem vorherigen Zeitpunkt zurück zustetzten, jetzt scheont alles zu funktionieren, oder ist das ein trugschluss??

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

hey deine Antwort, war dann wohl zu dem alten post.
Ich lass bei mir grad Avira drüber laufen, wenn der nichts findet, ist der Laptop dann wieder heile?
Sollte man, falls sowas nochmal passiert, irgendwas auf dem Dong installliert haben??
Wie gesagt, ich hab da keine Ahnung von -.-

hatt sich überschnitten zeige mir das avira log dann.
man sollte einen vernünftig konfigurierten pc haben, ja.
das kommt aber noch.

ok, aber wie gesagt ich bin ein kleiner technik legastemiker... was genau ist ein log, und wie erstellt (?) man ein log?
Sorry, aber ich bin da wirklich ein absoluter neuling... hatte noch nie probleme -.-

das sagen sie alle und schaffens dann trotzdem :-)

mit so guter Hilfe, kein wunder ;)

naja danke für die blumen aber bisher musste ich ja nichts machen :d

auch, wenn du noch nicht wirklich was gemacht hast, hab ich trotzdem das gefühl, als ob du mir schon wahnsinnig geholfen hast! komisch...
naja Avira scheint noch zu brauchen.. ist erst bei 40% :p
Kann also noch dauer, bis du mir erklären musst, was ein log ist, und wie man einen log macht, oder wie immer man das nennt, und wie ich den dann von dem Laptop auf das netbook draufbekomm. wenn ich das denn überahupt muss...?!

nö müsstest eig internet anzeigen.
das log, ist der bericht den du am ende bekommst, musst glaub ich auf bericht anzeigen gehen. dann rechtsklick alles markieren, rechtsklick kopieren.
auf antworten, ins nachichten schreiben feld klicken, dann rechtsklick, einfügen

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 15. Dezember 2011 19:51

Es wird nach 3581979 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CINDYS-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 16:41:40
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 16:41:40
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 16:41:40
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 16:41:41
AVREG.DLL : 10.3.0.9 88833 Bytes 12.07.2011 13:29:03
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:07:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 11:49:54
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:31:32
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 13:19:21
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 21:10:01
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:39:57
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 13:49:54
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 22:24:15
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 16:58:50
VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 16:58:50
VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 16:58:50
VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 16:58:50
VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 16:58:51
VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 19:30:10
VBASE014.VDF : 7.11.18.145 143872 Bytes 01.12.2011 19:08:41
VBASE015.VDF : 7.11.18.180 173056 Bytes 02.12.2011 19:08:50
VBASE016.VDF : 7.11.18.208 164864 Bytes 05.12.2011 19:34:56
VBASE017.VDF : 7.11.18.239 177152 Bytes 06.12.2011 19:34:56
VBASE018.VDF : 7.11.19.36 171520 Bytes 09.12.2011 19:18:08
VBASE019.VDF : 7.11.19.77 144896 Bytes 13.12.2011 16:54:43
VBASE020.VDF : 7.11.19.115 177664 Bytes 15.12.2011 16:54:57
VBASE021.VDF : 7.11.19.116 2048 Bytes 15.12.2011 16:54:57
VBASE022.VDF : 7.11.19.117 2048 Bytes 15.12.2011 16:54:57
VBASE023.VDF : 7.11.19.118 2048 Bytes 15.12.2011 16:54:57
VBASE024.VDF : 7.11.19.119 2048 Bytes 15.12.2011 16:54:58
VBASE025.VDF : 7.11.19.120 2048 Bytes 15.12.2011 16:54:58
VBASE026.VDF : 7.11.19.121 2048 Bytes 15.12.2011 16:54:58
VBASE027.VDF : 7.11.19.122 2048 Bytes 15.12.2011 16:54:58
VBASE028.VDF : 7.11.19.123 2048 Bytes 15.12.2011 16:54:58
VBASE029.VDF : 7.11.19.124 2048 Bytes 15.12.2011 16:54:58
VBASE030.VDF : 7.11.19.125 2048 Bytes 15.12.2011 16:54:58
VBASE031.VDF : 7.11.19.132 105984 Bytes 15.12.2011 18:51:01
Engineversion : 8.2.8.2
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 18:20:03
AESCRIPT.DLL : 8.1.3.90 491899 Bytes 08.12.2011 22:09:53
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 12:48:21
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 19:11:32
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 22:55:19
AEPACK.DLL : 8.2.15.1 770423 Bytes 15.12.2011 18:51:03
AEOFFICE.DLL : 8.1.2.23 201083 Bytes 15.12.2011 18:51:02
AEHEUR.DLL : 8.1.3.6 3895670 Bytes 08.12.2011 22:09:08
AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 18:19:58
AEGEN.DLL : 8.1.5.17 405877 Bytes 08.12.2011 22:00:52
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 12:47:35
AECORE.DLL : 8.1.24.0 196983 Bytes 25.10.2011 18:19:57
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:14:40
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:20
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 16:41:40
AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 18:24:56
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 16:41:40
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 16:41:40
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:20
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 16:41:39
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 16:41:39

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 15. Dezember 2011 19:51

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'wuauclt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpCmdRun.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'WerCon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchPad.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '8' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '628' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>

Ende des Suchlaufs: Donnerstag, 15. Dezember 2011 21:17
Benötigte Zeit: 1:25:18 Stunde(n)

Der Suchlauf wurde abgebrochen!

22204 Verzeichnisse wurden überprüft
393956 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
393956 Dateien ohne Befall
4423 Archive wurden durchsucht
0 Warnungen
0 Hinweise
663971 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

sieht gut aus.

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.