Aus Sicherheitsgründen wurde ihr Windowssystem blockiert!
 

Hallo,

ich habe mir wohl leider auch den "Windows-blockiert-Virus" eingefangen. Wie schon häufig beschrieben wurde, wurde auch mein Desktop plötzlich schwarz und es erschien die Meldung, dass aus Sicherheitsgründen das Windowssystem blockiert wurde, mit die Aufforderung sich wieder "Freizukaufen".
Auch bei mir erschien diese Meldung gleich nach dem Hochfahren nur wenn das W-LAN angestellt war. Wenn ich das WLAN erst später angeschaltet habe, konnte ich noch einige Zeit das Internet benutzen bevor die Meldung wieder kam. Sobald die Meldung erschien habe ich den PC einfach ausgeschaltet.

Nachdem ich mich hier etwas schlau gemacht hatte, habe ich nach der Anleitung aus dem Forum "Malwarebytes Anti-Malware" heruntergeladen, installiert und den PC scannen lassen.
Zunächst mit Quick-scan, dann vollständig. Die Ergebnisse sind am Ende des Beitrags, da die Datei für den Anhang wohl zu groß war!?

Seitdem kann ich den Rechner auch wieder mit WLAN hochfahren und das Internet normal benutzen ohne, dass die Meldung angezeigt wird.
Trotzdem kann ich dem Frieden noch nicht trauen.
Kann es sein, dass doch noch schädliches Material übrig geblieben ist? und wie könnte man das herausfinden?

Noch verunsicherter bin ich, seitdem ich auf folgender Seite
hxxp://computer.t-online.de/ukash-trojaner-bka-trojaner-entfernen-anleitung/id_49287452/index

gelesen habe, dass es auch wichtig sein kann beim Task-Manager zu kontrollieren, welche Prozesse gerade laufen.
Bei mir läuft bspw. zweimal der Prozess "rundll32.exe"
Auf dieser Seite
hxxp://www.neuber.com/taskmanager/deutsch/prozess/rundll32.exe.html

wird darauf hingewiesen, dass es sich hierbei also auch um einen Virus handeln kann. Was meint ihr dazu?

Bitte entschuldigt meine laienhafte Darstellung (habe mit Computern sonst nicht allzu viel am Hut) und ich hoffe es kann mir jemand weiterhelfen.

Mein Betriebssystem: Windows Vista
Danke vorab!

Gruß Karo


Ergebnisse Scan:

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.18.02

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Karo :: KARO-PC [Administrator]

18.01.2012 11:45:58
mbam-log-2012-01-18 (11-45-58).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 244567
Laufzeit: 23 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\Karo\AppData\Roaming\Microsoft\loadhst.exe (Trojan.Ransom) -> 4680 -> Löschen bei Neustart.

Infizierte Speichermodule: 1
C:\ProgramData\Windows\msdr.dll (Trojan.FakeMS) -> Löschen bei Neustart.

Infizierte Registrierungsschlüssel: 1
HKCR\CLSID\{F12BE2CC-A901-4203-B4F2-ADCB957D1887} (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{C28B9CF3-F2C4-11DD-8D5F-806E6F6E6963} (Trojan.Ransom) -> Daten: C:\Users\Karo\AppData\Roaming\Microsoft\loadhst.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)



Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.18.02

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Karo :: KARO-PC [Administrator]

18.01.2012 12:18:24
mbam-log-2012-01-18 (12-18-24).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 416698
Laufzeit: 2 Stunde(n), 19 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Karo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\43a88c7d-1972ef09 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Das musst du später wenn wir hier durch sind unbedingt ändern. Für Vista ist das SP2 und der IE9 jew. ein Pflichtupdate. Aber wie gesagt jetzt noch nichts installieren. Auch keine anderen Programme ohne Absprache

Guten Morgen,
zunächst vielen Dank für deine schnelle Antwort!
Bisher habe ich Malwarebytes, außer diesen beiden Scanvorgängen gestern, noch nie verwendet.
Ich dachte immer, dass Avira Antivir für meine Zwecke ausreicht, aber offensichtlich hat es vieles nicht erkannt. Als das Problem zum ersten Mal aufgetreten ist, hab ich natürlich mit Avira einen kompletten scan gemacht, da kam folgendes heraus:



Avira AntiVir Personal
Report file date: Dienstag, 17. Januar 2012 14:59

Scanning for 3085313 virus strains and unwanted programs.

Licensee : Avira Free Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows Vista
Windows version : (Service Pack 1) [6.0.6001]
Boot mode : Normally booted
Username : SYSTEM
Computer name : KARO-PC

Version information:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 10:04:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:33
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27.02.2009 09:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27.02.2009 09:58:52
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:08:56
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 15:54:18
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 15:54:42
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 15:54:43
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 15:54:43
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 15:54:43
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 15:54:43
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 15:54:43
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 15:54:43
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 15:54:43
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 15:54:43
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 15:54:43
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 12:31:20
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 12:31:20
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 12:31:20
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 12:31:21
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 12:31:21
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 12:31:22
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 12:31:22
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 11:29:17
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 11:59:35
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 07:42:40
VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 12:01:25
VBASE024.VDF : 7.11.21.41 2048 Bytes 16.01.2012 12:01:25
VBASE025.VDF : 7.11.21.42 2048 Bytes 16.01.2012 12:01:25
VBASE026.VDF : 7.11.21.43 2048 Bytes 16.01.2012 12:01:25
VBASE027.VDF : 7.11.21.44 2048 Bytes 16.01.2012 12:01:25
VBASE028.VDF : 7.11.21.45 2048 Bytes 16.01.2012 12:01:25
VBASE029.VDF : 7.11.21.46 2048 Bytes 16.01.2012 12:01:25
VBASE030.VDF : 7.11.21.47 2048 Bytes 16.01.2012 12:01:25
VBASE031.VDF : 7.11.21.60 70144 Bytes 17.01.2012 12:01:26
Engineversion : 8.2.8.26
AEVDF.DLL : 8.1.2.2 106868 Bytes 30.10.2011 08:19:12
AESCRIPT.DLL : 8.1.3.97 426363 Bytes 13.01.2012 12:00:07
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 12:46:44
AESBX.DLL : 8.2.4.5 434549 Bytes 02.12.2011 17:04:50
AERDL.DLL : 8.1.9.15 639348 Bytes 16.09.2011 14:38:30
AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 17:42:19
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 06.01.2012 12:31:27
AEHEUR.DLL : 8.1.3.18 4297079 Bytes 13.01.2012 12:00:03
AEHELP.DLL : 8.1.18.0 254327 Bytes 30.10.2011 08:19:09
AEGEN.DLL : 8.1.5.17 405877 Bytes 12.12.2011 17:27:04
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 12:45:43
AECORE.DLL : 8.1.24.3 201079 Bytes 06.01.2012 12:31:23
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 17:27:24
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:59
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:14:02
AVREP.DLL : 10.0.0.9 174120 Bytes 05.03.2011 10:40:08
AVREG.DLL : 9.0.0.0 36609 Bytes 05.12.2008 09:32:09
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:41
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05.12.2008 09:32:10
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:39:58
RCTEXT.DLL : 9.0.73.0 86785 Bytes 13.10.2009 11:25:47

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\program files\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: Dienstag, 17. Januar 2012 14:59

Starting search for hidden objects.
'222703' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'SynTPHelper.exe' - '1' Module(s) have been scanned
Scan process 'FNPLicensingService.exe' - '1' Module(s) have been scanned
Scan process 'VCSW.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'loadhst.exe' - '1' Module(s) have been scanned
Scan process 'soffice.bin' - '1' Module(s) have been scanned
Scan process 'VAIOUpdt.exe' - '1' Module(s) have been scanned
Scan process 'soffice.exe' - '1' Module(s) have been scanned
Scan process 'taskeng.exe' - '1' Module(s) have been scanned
Scan process 'BTTray.exe' - '1' Module(s) have been scanned
Scan process 'E_FATICAE.EXE' - '1' Module(s) have been scanned
Scan process 'PCCompanion.exe' - '1' Module(s) have been scanned
Scan process 'E_FATIBVE.EXE' - '1' Module(s) have been scanned
Scan process 'LANUtil.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'MarketingTools.exe' - '1' Module(s) have been scanned
Scan process 'GoogleDesktop.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'ISBMgr.exe' - '1' Module(s) have been scanned
Scan process 'Acrotray.exe' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'MSASCui.exe' - '1' Module(s) have been scanned
Scan process 'SPMgr.exe' - '1' Module(s) have been scanned
Scan process 'GoogleCrashHandler.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'taskeng.exe' - '1' Module(s) have been scanned
Scan process 'dwm.exe' - '1' Module(s) have been scanned
Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned
Scan process 'dllhost.exe' - '1' Module(s) have been scanned
Scan process 'VESMgrSub.exe' - '1' Module(s) have been scanned
Scan process 'WUDFHost.exe' - '1' Module(s) have been scanned
Scan process 'XAudio.exe' - '1' Module(s) have been scanned
Scan process 'SearchIndexer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'VzCdbSvc.exe' - '1' Module(s) have been scanned
Scan process 'VCFw.exe' - '1' Module(s) have been scanned
Scan process 'dllhost.exe' - '1' Module(s) have been scanned
Scan process 'SPMService.exe' - '1' Module(s) have been scanned
Scan process 'VESMgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'RegSrvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'NSUService.exe' - '1' Module(s) have been scanned
Scan process 'NASvc.exe' - '1' Module(s) have been scanned
Scan process 'iviRegMgr.exe' - '1' Module(s) have been scanned
Scan process 'EvtEng.exe' - '1' Module(s) have been scanned
Scan process 'cvpnd.exe' - '1' Module(s) have been scanned
Scan process 'btwdins.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'PhotoshopElementsFileAgent.exe' - '1' Module(s) have been scanned
Scan process 'wlanext.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SLsvc.exe' - '1' Module(s) have been scanned
Scan process 'audiodg.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvvsvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsm.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'wininit.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
80 processes with 80 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
[INFO] Please restart the search with Administrator rights
Master boot sector HD2
[INFO] No virus was found!
[INFO] Please restart the search with Administrator rights

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '48' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\Users\Karo\AppData\Local\Temp\jar_cache8590348628014468566.tmp
[0] Archive type: ZIP
--> she.class
[DETECTION] Contains recognition pattern of the EXP/CVE-2010-0094.F.2 exploit

Beginning disinfection:
C:\Users\Karo\AppData\Local\Temp\jar_cache8590348628014468566.tmp
[WARNING] An error has occurred and the file was not deleted. ErrorID: 26004
[WARNING] The source file could not be found.
[NOTE] Attempting to perform action using the ARK library.
[WARNING] Error in ARK library
[NOTE] The file is scheduled for deleting after reboot.


End of the scan: Dienstag, 17. Januar 2012 18:14
Used time: 3:13:49 Hour(s)

The scan has been done completely.

28622 Scanned directories
863972 Files were scanned
1 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
0 Files were moved to quarantine
0 Files were renamed
2 Files cannot be scanned
863969 Files not concerned
6050 Archives were scanned
3 Warnings
3 Notes
222703 Objects were scanned with rootkit scan
0 Hidden objects were found

Und da danach die "Windows-blockiert" Meldung immernoch kam, war ich sicher, dass Antivir wohl was übersehen hat. Daher habe ich Malwarebytes runtergeladen und wie beschrieben verwendet.

Gruß
Karo

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So habe alle Anweisungen befolgt und heraus kam das hier:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=48c55bf3bd78374daa4df78e682293f6
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-19 02:46:02
# local_time=2012-01-19 03:46:02 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 1455 99634053 0 0
# compatibility_mode=5892 16776573 100 100 24361 164508666 0 0
# compatibility_mode=8192 67108863 100 0 3793 3793 0 0
# scanned=324882
# found=19
# cleaned=0
# scan_time=8445
C:\Program Files\Uniblue\RegistryBooster\Launcher.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\rbnotifier.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\rb_move_serial.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\rb_ubm.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\AppData\Local\Mozilla\Firefox\Profiles\uyo04i39.default\Cache\38D89D24d01 Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\AppData\Local\Temp\mia80C3.tmp\data\OFFLINE\9AB3D468\F6AF8A1D\Launcher.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\AppData\Local\Temp\mia80C3.tmp\data\OFFLINE\9AB3D468\F6AF8A1D\rbmonitor.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\AppData\Local\Temp\mia80C3.tmp\data\OFFLINE\9AB3D468\F6AF8A1D\rbnotifier.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\AppData\Local\Temp\mia80C3.tmp\data\OFFLINE\9AB3D468\F6AF8A1D\rb_move_serial.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\AppData\Local\Temp\mia80C3.tmp\data\OFFLINE\9AB3D468\F6AF8A1D\rb_ubm.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\AppData\Local\Temp\mia80C3.tmp\data\OFFLINE\9AB3D468\F6AF8A1D\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\48e4250c-501f7eee Java/Exploit.CVE-2011-3544.AA trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\64545913-3078f186 Java/Exploit.CVE-2011-3544.AA trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\Desktop\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Karo\Downloads\SoftonicDownloader_fuer_englisch-trainer.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
G:\Karo\Downloads\SoftonicDownloader_fuer_englisch-trainer.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
${Memory} Win32/RegistryBooster application 00000000000000000000000000000000 I

Finger weg von Registry-Cleanern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.


Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Oh Ok, Danke für die Informationen.

Diesen Registry-Cleaner hab ich deshalb runtergeladen, weil auf dieser Seite

hxxp://www.neuber.com/taskmanager/deutsch/prozess/rundll32.exe.html

stand, dass man eben unbedingt die Prozesse im Task Manager (mit Security Tas Manager oder ähnlichem) überprüfen soll. Habe es einmal drüber laufen lassen und es wurde wohl einiges gefunden, was zu optimieren wäre. Dann war aber sowieso Schluss, weil es nur eine Testversion war. Demnach habe ich nichts gelöscht oder sonstwie verändert.
Aber jetzt weiß ich bescheid, dann schmeiß ich das gleich wieder runter.

Und wie gehts jetzt weiter? So wie ich das verstanden habe wurden die auffälligen Dateien doch noch gar nicht zerstört??

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
--- --- ---

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

hier also das Ergebnis von Combofix:

Combofix Logfile:
[/CODE]
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Wie schon befürchtet ist GMER 2 mal abgestürzt, danach habe ich es bleiben lassen. OSAM lieferte folgendes Ergebnis:

OSAM Logfile:
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru [/code]

ok, was ist mit aswMBR?

und hier von aswMBR:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Alles klar, da bin ich erleichtert! Schonmal vielen Dank.
Die Vollscans werden ja wohl jetzt erstmal einige Zeit dauern ;-)

also hier die Logs von Malwarebytes und SuperAntiSpyware:

bei SuperAntiSpyware konnte ich nicht ganz genau der Anleitung folgen, da dort noch eine ältere Version beschrieben war. Kann also sein, dass ich da irgendwas falsch gemacht hab!?
Soll ich die gefundenen Threats nun löschen?

Nein das ist ok, das sind auch nur Cookies, die können weg.

Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

mach bitte noch ESET und bitte einen VOLLSCAN mit SASW denn du hast nur einen Quickscan gemacht

Also habe den Vollscan mit SuperAntispyware gemacht und die gefundenen Cookies gelöscht. Hier der Report von Superantispyware und von ESET:

über diese Softonic-Geschichten hatten wir ja schon geredet. Kann ich den Scan einfach nochmal ausführen und dann "remove found threats" anklicken, um diese loszuwerden? oder sind da noch weitere Schritte notwendig?

Das kannst du auch manuell löschen! Um Dateien zu löschen braucht man keinen Virenscanner oder extra Tool!

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Sonst passt wieder alles :-). Nochmals tausend Dank, wäre allein wirklich komplett aufgeschmissen gewesen.
Da wäre jetzt nur noch die Sache mit den Updates. Wo finde ich denn die Updates zum Service Pack 2 und Internet Explorer 9?

SP2/IE9 für Windows Vista (32-Bit)

1. Das SP2 von hier downloaden => Detail Seite Windows Vista SP2 (348.3MB)
   
2. Alle Programme beenden, Internetverbindung trennen, Virenscanner abstellen!
   
3. SP2 installieren, Anweisungen folgen - Installation kann eine gute Stunde dauern!!
   
4. IE9-Setup laden und ausführen => Windows Internet Explorer 9 für Windows Vista und Windows Server 2008

(Der IE9 erfordert ein installiertes SP2)

Achte beim Setup des IE wieder darauf, dass vorher möglichst alle Programme beendet und der Virenscanner deaktiviert wurde. Im Setup selbst bitte nicht an dem Verbesserungsprogramm teilnehmen (oder wie MS das nennt) und auch KEINE Updates über das Setup installieren. Die installieren wir später, ich sag dir dann wie. Melde dich wenn SP2/IE9 drauf sind.

So alles installiert. Ob man Updates installieren oder an Verbesserungsprogrammen teilnehmen möchte wurde jetzt nichts gefragt. Nach der Lizenzvereinbarung ging alles automatisch.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Ok, Combofix ist deinstalliert, ging problemlos. Wie siehts denn mit den anderen Programmen? In der Liste, die ich über Systemsteuerung -> Programme -> Programme deinstallieren bekomme tauchen einige gar nicht auf. Kann ich diese dann einfach in den Papierkorb schmeißen oder wie deinstalliere ich diese?

Beim Versuch das aktuellen JAVA SE Runtime Environment runterzuladen sind auch noch ein paar Fragen aufgekommen:
wenn ich das erste JRE in der Liste downloaden möchte, bekomme ich eine Liste für die verschiedenen Betriebssysteme

Windows x86 Online 0.85 MB jre-7u2-windows-i586-iftw.exe
Windows x86 Offline 19.35 MB jre-7u2-windows-i586.exe
Windows x64 20.46 MB jre-7u2-windows-x64.exe

welches sollte ich hier denn auswählen? Zumal ich dachte, dass ich irgendeine Version für 32-bit brauchen? oder für was stehen hier 64 und 86?
Fragen über Fragen. Tut mir leid, ist echt nicht mein Fachgebiet hier ;-)

Manche Programme müssen nicht installiert werden sondern werden einfach nur gestartet. Oder hast du eine Setuproutine bei OTL, aswMBR oder dem TDSS-Killer gesehen...

Da du ein 32-Bit-Windows nimmst du das hier => Windows x86 Offline 19.35 MB jre-7u2-windows-i586.exe

so alles erledigt :-). Habe gleich noch die neuste Version von Avira heruntergeladen.

Vielen vielen Dank für deine Hilfe!!!

lg
karo