Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Mal wieder: Windows blockiert aus Sicherheitsgründen - 50 Euro zahlen (https://www.trojaner-board.de/106483-mal-windows-blockiert-sicherheitsgruenden-50-euro-zahlen.html)

MB-W108 18.12.2011 13:00

Mal wieder: Windows blockiert aus Sicherheitsgründen - 50 Euro zahlen
 
Hallo liebe Leute vom Trojaner-Board,

nun hat es mich und meinen PC verrissen. Er lief bis gerade eben noch einwandfrei (letzter Neustart war am Freitag - sonst nutze ich immer den Ruhezustand), nun nach einem Neustart des PCs kam die mittlerweile bekannte Meldung "Windows wurde aus Sicherheitsgründen blockiert" mit dem freundlichen Hinweis 50 Euro zu bezahlen. Windows fährt erstmal normal hoch, es wird auch alles geladen, dann verschwindet mein Desktop (nur der Hintergrund bleibt sichtbar) und die Meldung erscheint. Das der Desktop sichtbar bleibt weiß ich daher, da ich ein 2 Monitorsystem benutze - links ist die Blockiermeldung, rechts mein Desktop. Taskmanager lässt sich nicht aufrufen und auch kein anderes Programm starten. Runterfahren des PCs geht somit nur noch über die Betätigung des Ausschalters am Gehöuse.
Die entsprechenden Threads habe ich hier bereits gelesen und dementsprechend auch schon den OTL laufen lassen im abgesicherten Modus von Windows, Logfiles stehen also parat :-)
Ich nutze Windows XP Professional 32-bit SP 3, Virenscanner ist Avira 10, auf dem neuesten Stand (heute kam erst die Meldung, dass keine Updates verfügbar wären), XP Anti-spy läuft ebenfalls, Browser ist Mozilla Firefox 3.6.
Vielleicht kann mir hier jemand weiterhelfen und ich bin im Voraus schon sehr dankbar für die Hilfe, damit ich mich bald wieder an meine Arbeit schmeißen kann.

Vielen Dank und viele Grüße
MB-W108

Chris4You 18.12.2011 14:43

Hi,

poste die OTL-Logs vom verseuchten Konto...

OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...

chris

MB-W108 18.12.2011 19:47

Hallo Chris,

erstmal herzlichen Dank dafür, dass Du Dich meines Problems annimmst und mir helfen möchtest - denn ich verzweifle hier halb :-(

Im Anhang findest Du die Dateien OTL und die Extras, hab ich eben gerade frisch ausgelesen. Hoffentlich kannst Du da was erkennen, denn obwohl ich mich mit PCs auskenne sehe ich dort nur Dinge von denen ich beileibe nix verstehe.

Nochmals vielen Dank und viele Grüße
MB-W108

Chris4You 19.12.2011 07:04

Hi,

Fix für OTL (Ucash)
Script auf CD oder USB-Stick kopieren, OTL starten und wie folgt vorgehen...
(abgesicherter Modus mit Eingabeaufforderung OTL starten dann notepad aufrufen, Script laden und Inhalt der Codebox wie u. beschrieben in OTL kopieren)
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:


:OTL

SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [firefox.exe] C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\firefox.exe ()

:Commands
[emptytemp]
[EMPTYFLASH]
[Reboot]

  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL


Dateien Online überprüfen lassen
  • Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:

C:\WINDOWS\vsnct511.exe
C:\WINDOWS\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico

  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

MB-W108 19.12.2011 16:02

Hallo chris,

erstmal nochmals VIELEN HERZLICHEN DANK für Deine Hilfe. Ich habe alle Schritte bei mir auf dem PC ausgeführt und hänge die Logs vom OTL, virustotal und dem MAM hinten an. Habe das Skript von Dir verwendet und danach MAM laufen lassen und alle gefundenen Sachen entfernen lassen.
Ich hoffe ich habe alles richtig gemacht.

Viele Grüße und nochmals vielen Dank!
MB-W108

Chris4You 19.12.2011 16:29

Hi,

Computer->rechts anklicken->Eingenschaften->Computerschutz->Alle Häkchen an den Festplatten entfernen->Übernehmen->Ok & neue Booten;
Dann das gleiche nur diesmal für das Laufwerk auf dem Windows liegt anhaken->Übernehmen->Erstellen und den Anweisungen folgen

BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

MB-W108 19.12.2011 21:13

Hallo Chris,

sooo ich hab nun alles gemacht wie in der Anleitung und anbei kommt der Report des TDSS - ohne Befund - so wurde es mir zumindest angezeigt. Geh ich recht in der Annahme, dass das Martyrium damit überstanden ist?

Viele Grüße und nochmals Danke!!!!
MB-W108

Chris4You 20.12.2011 07:30

Hi,

ja, sieht gut aus.
Wenn der Rechner sich normal verhält, sollte es das gewesen sein...

chris

MB-W108 20.12.2011 20:01

Hallo Chris,

ich kann es kaum fassen wie einfach das ging danke Deiner Hilfe. Für diese will ich mich nochmals bei Dir bedanken, ganz herzlich denn Du weißt selbst wieviel Arbeit Du mir erspart hast und wie viele Sorgen Du mir auch - gerade wegen meiner Daten - genommen hast.
Ich wünsche Dir ein frohes und entspannendes Weihnachtsfest und einen guten Rutsch ins neue Jahr!

Viele dankende Grüße
MB-W108


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131