Trojaner-Board - Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem gesperrt!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem gesperrt! (https://www.trojaner-board.de/106877-achtung-sicherheitsgruenden-wurde-windowssystem-gesperrt.html)

Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem gesperrt!

Hallo Zusammen,
seit gestern Mittag habe auch wie viele andere das Problem mit dem Virus:

"Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem gesperrt!"

Die einzig brauchbaren Tipss und Hilfestellungen die mein Problem betreffen find ich hier bei euch, und dort heisst es dann das ich meinen eigenen Thread aufmachen soll, da dieser Virus oder Trojaner eine spezielle Behandlung braucht.

Auch ich bin nun hier wie viele andere und bitte Euch um Hilfe.

Ich fahre ein Windows 7 32Bit wie Ihr den OTLogfiles entnehmen könnt.
Es gibt nur einen Benutzer, den Admin und der ist betroffen.
Fahre ich den PC ohne angestecktes Lankabel hoch, kann ich den Rechner ganz normal steuern. Stecke ich jetzt das LAN-Kabel an komme ich für ein paar Minuten oder auch garnicht ins Netz, bevor der Bildschirm wieder schwarz wird.

Der Scan mit OTL wurde im normalen Windowsbetrieb ohne LAN-Kabel gemacht.

Derzeit bin ich mit meinem LAP unterwegs und erstelle dieses Thema.

Hoffentlich könnt Ihr mir helfen.

Vorab Vielen Dank

Gruß
Maschinator

Im Anhang befinden sich die erforderlichen Ergebnis von OTL.

hi

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKCU..\Run: [{4671E9A8-DED2-11DE-A187-806E6F6E6963}] C:\Users\Sven\AppData\Roaming\Microsoft\dllhsts.exe (Auslogics)
 

:Files

C:\Users\Sven\AppData\Roaming\Microsoft\dllhsts.exe

:Commands

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Juhu, es läuft momentan wieder :dankeschoen::applaus:

Nachdem ich die Textbox wie beschrieben kopiert und in OTL eigefügt und Fix gedrückt habe, wurde wie erwähnt der Neustart verlangt und durchgeführt.
Nach dem Starten in den normalen Modus waren alle Symbole da und ein Zugang ist seit dem in Internet wieder möglich.
auf dem Desktop lagen zwei Desktop.ini ab.
den Inhalt habe ich Dir jetzt eingefügt und als Antwort weiter geleitet.

1. Text:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799

2.Text:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183

Muß ich denn auch das mit dem UploadChannel machen?

Gruß
Maschinator :Boogie:

Eränzend zu meiner Antwort um 22:14

Ein Text wie beschrieben kam nach dem Neustart nicht.

UploadChannnel wurde durchgeführt->hoofe das ich es richtig gemacht habe:pfeiff:

Eine Spende in die Kaffeekasse wurde veranlasst :Boogie::singsing:

Wenn ich noch etwas tun kann , dann bitte melden:dankeschoen::dankeschoen:

hi, danke.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hi, habe Combofix ausgeführt.
Combofix Logfile:

Code:

ComboFix 11-12-27.01 - Sven 27.12.2011  18:36:42.1.2 - x86

Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.3327.2289 [GMT 1:00]

ausgeführt von:: c:\users\Sven\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.
  ADS - Windows: deleted 48 bytes in 1 streams. 

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\Sven\AppData\Roaming\Duco

c:\users\Sven\AppData\Roaming\Duco\tyyri.rai

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-11-27 bis 2011-12-27  ))))))))))))))))))))))))))))))

.

.

2011-12-27 17:40 . 2011-12-27 17:40        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-12-27 16:30 . 2011-12-27 16:30        56200        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{9526605B-1809-471C-9267-0FEA99E5BB27}\offreg.dll

2011-12-27 14:00 . 2011-11-21 10:47        6823496        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{9526605B-1809-471C-9267-0FEA99E5BB27}\mpengine.dll

2011-12-25 21:00 . 2011-12-25 21:24        --------        d-----w-        C:\_OTL

2011-12-16 18:06 . 2011-10-26 04:47        3912560        ----a-w-        c:\windows\system32\ntoskrnl.exe

2011-12-16 18:06 . 2011-10-26 04:47        3967856        ----a-w-        c:\windows\system32\ntkrnlpa.exe

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-11-24 21:23 . 2011-11-24 21:23        181432        ----a-w-        c:\windows\system32\drivers\ssudserd.sys

2011-11-24 21:23 . 2011-11-24 21:23        181432        ----a-w-        c:\windows\system32\drivers\ssudmdm.sys

2011-11-24 21:23 . 2011-11-24 21:23        80184        ----a-w-        c:\windows\system32\drivers\ssudbus.sys

2011-10-14 14:57 . 2011-05-19 19:16        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-09-29 16:03 . 2011-11-10 17:23        1290608        ----a-w-        c:\windows\system32\drivers\tcpip.sys

2011-07-14 08:31 . 2010-09-05 10:23        1456640        ----a-w-        c:\program files\Common Files\Falk Navi-Manager.msi

2006-05-03 09:06        163328        --sha-r-        c:\windows\System32\flvDX.dll

2007-02-21 10:47        31232        --sha-r-        c:\windows\System32\msfDX.dll

2008-03-16 12:30        216064        --sha-r-        c:\windows\System32\nbDX.dll

.
 

        Code:


        
<pre>

c:\windows\System32\config\systemprofile\AppData\Roaming\Adobe\AdobeUpdate .exe

</pre>

 
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-08-13 98304]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-11 406016]

"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]

"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-01 281768]

.

c:\users\Sven\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-3-14 2938184]

WISO Mein Steuer-Sparbuch heute.lnk - c:\program files\WISO\Steuersoftware 2011\mshaktuell.exe [2011-2-17 1302640]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"mixer4"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ           kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [2011-11-24 80184]

R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]

R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [2011-11-24 181432]

R3 ssudserd;SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudserd.sys [2011-11-24 181432]

R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]

R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]

R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]

R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]

S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 277544]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-02 136360]

S3 pcouffin;VSO Software pcouffin;c:\windows\system32\Drivers\pcouffin.sys [2009-12-04 47360]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-30 187392]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper        REG_MULTI_SZ           getPlusHelper

WindowsMobile        REG_MULTI_SZ           wcescomm rapimgr

LocalServiceRestricted        REG_MULTI_SZ           WcesComm RapiMgr

.

Inhalt des "geplante Tasks" Ordners

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyServer = http=127.0.0.1:6522

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\users\Sven\AppData\Roaming\Mozilla\Firefox\Profiles\3z6llp18.default\

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-12-27  18:41:51

ComboFix-quarantined-files.txt  2011-12-27 17:41

.

Vor Suchlauf: 7 Verzeichnis(se), 71.029.633.024 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 71.183.982.592 Bytes frei

.

- - End Of File - - 3D87E8529682005859846A5D8C07F25B

--- --- ---

Danke
Gruß
Maschinator

hi wird das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtigem genutzt?

Ja, wird es!!!

Warum?

ich sehe hier überreste einer infektion mit trojan.zbot, der klaut banking daten.
dieses system sollte daher neu gemacht und bei der bank neue zugangsdaten angefordert werden.
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
Recovery CD oder Recovery Partition?
falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Stimmt, man hat versucht vor einem Jahr an meinen Bankdaten zukommen. Habe sofort meine Bank informiert. Habe einen komplett neuen Zugang bekommen mit neuen Passwort.

Nutze ne Windows CD und PC Hersteller gibt es nicht, da ein sehr guter Freund den PC für mich zusammengebaut hat.

Ich weiß schon wie man formantiert, abe rmit ne Anleitung würde ich mich sicherer fühlen.

Denkst Du ernsthaft, das es nötig ist, eine Neuinstallation durchzuführen?

Was meinst Du mit PC absichern? Habe doch Anvira installiert.

Und welche Passwörter müssen denn geändert werden, weil Du alle schreibst?

Ich glaube da steht mir viel Arbeit bevor!!! :confused:

naja, das avira nicht der idialste schutz ist, siehst du ja deswegen ist da einiges zu tun.
na mit alle meinte ich, alle passwörter.
ein frisch aufgesetztes system hat einige vorteile die anleitung betreffend die ich dir geben werde.
sag mir wenn die daten gesichert sind, dann gehts weiter.