Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem blockiert |
||
---|---|---|
#0
| ||
16.02.2012, 19:38
...neu hier
Beiträge: 7 |
||
|
||
16.02.2012, 19:40
...neu hier
Themenstarter Beiträge: 7 |
#2
Habe jetzt noch einen Scan mit dem Kaspersy TDSSKiller drüberlaufen lassen und bin fündig geworden. Leider kann ich die Reportdatei nicht kopieren - warum auch immer. Es gibt zwei Funde:
Unsigned file Service: FsUsbExDisk Suspicious object, medium risk Service type: Kernel driver (0x1) Service start: Demand (0x3) File: C:\Windows\system32\FsUsbExDisk.SYS MD5: cbe5f69a5e5b918225f420a748f3742 und Unsigned file Service: StarOpen Suspicious object, medium risk Service type: File system driver (0x2) Service start: System (0x1) File: C:\Windows\system32\drivers\StarOpen.sys MD5: 306521935042fc0a6988d528643619b3 |
|
|
||
16.02.2012, 19:46
...neu hier
Themenstarter Beiträge: 7 |
#3
Code GMER 1.0.15.15641 - hxxp://www.gmer.net |
|
|
||
16.02.2012, 20:32
Moderator
Beiträge: 5694 |
#4
Herzlich Willkommen auf dem Protecus Forum
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden. • Bitte arbeite alle Schritte der Reihe nach ab. • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben. • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst. • Bitte kein Crossposting (posten in mehreren Foren). • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert. • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst. • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten. Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören. • Doppelklicke auf die ComboFix.exe und folge den Anweisungen. • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird. • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst. **Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren. Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. |
|
|
||
16.02.2012, 21:46
...neu hier
Themenstarter Beiträge: 7 |
#5
Code ComboFix 12-02-16.02 - HOME 16.02.2012 21:39:22.1.2 - x86 |
|
|
||
16.02.2012, 22:33
Moderator
Beiträge: 5694 |
#6
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code
Speichere dies als CFScript.txt auf Deinem Desktop. Wichtig: • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen! • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt. • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann. • Mache nichts am PC solange ComboFix läuft. • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein. Wie läuft das System? |
|
|
||
16.02.2012, 23:35
...neu hier
Themenstarter Beiträge: 7 |
#7
Was es alles gibt. Zieht man eine Textdatei in eine Exe und schon geht's los. Man lernt nie aus. :-)
Arbeite hier parallel mit meinem Notebook, weil sich das Problem immer ergibt, wenn ich mit meinem Festrechner und Internetanschluss starte. Werde nachdem ich jetzt gleich die Log gepostet habe mit Internet neustarten und schauen. Wo hat das Ding denn jetzt gesteckt, bzw. was haben "wir" hier gerade gemacht? Wie siehst du, wo das Problem war? Würde mich mal interessieren. Vielen Dank schonmal. Hier die Log: Code ComboFix 12-02-16.02 - HOME 16.02.2012 23:26:53.2.2 - x86 |
|
|
||
16.02.2012, 23:43
...neu hier
Themenstarter Beiträge: 7 |
#8
Also nach dem ersten Start gibt es keine Probleme. Bisher hat sich meine "Sperre" nicht wieder blicken lassen. Soweit war ich schonmal. Wobei ich deine Arbeit deutlich mehr Vertrauen habe als in meine Versuche. Und wenn wir schon dabei sind aufzuräumen - Was heißt das?! Das ist noch immer über. Muss ich jetzt noch was machen oder wars das?
Unsigned file Service: FsUsbExDisk Suspicious object, medium risk Service type: Kernel driver (0x1) Service start: Demand (0x3) File: C:\Windows\system32\FsUsbExDisk.SYS MD5: cbe5f69a5e5b918225f420a748f3742 und Unsigned file Service: StarOpen Suspicious object, medium risk Service type: File system driver (0x2) Service start: System (0x1) File: C:\Windows\system32\drivers\StarOpen.sys MD5: 306521935042fc0a6988d528643619b3 Dieser Beitrag wurde am 16.02.2012 um 23:52 Uhr von Sperle editiert.
|
|
|
||
17.02.2012, 16:03
Moderator
Beiträge: 5694 |
#9
Die Dateien sind sauber:
File: C:\Windows\system32\FsUsbExDisk.SYS http://www.systemlookup.com/Drivers/3698-FsUsbExDisk_Sys.html File: C:\Windows\system32\drivers\StarOpen.sys http://www.systemlookup.com/Drivers/599-StarOpen_sys.html ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten. Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten. • Dein Anti-Virus-Programm während des Scans deaktivieren. Button (<< klick) drücken. • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren. • IE-User: müssen das Installieren eines ActiveX Elements erlauben. • Setze den einen Hacken bei Yes, i accept the Terms of Use. • Drücke den Button. • Warte bis die Komponenten herunter geladen wurden. • Setze einen Haken bei "Scan archives". • Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist. • drücken. • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch. Wenn der Scan beendet wurde • Klicke Finish. • Browser schließen.Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster. Code "%ProgramFiles%\Eset\Eset Online Scanner\log.txt"Poste nun den Inhalt der log.txt. |
|
|
||
17.02.2012, 21:09
...neu hier
Themenstarter Beiträge: 7 |
#10
B:\Program Files\GridinSoft Trojan Killer\trojankiller.exe a variant of Win32/1AntiVirus application
C:\Qoobox\Quarantine\C\Users\HOME\AppData\Local\Mozilla\Firefox\firefox.exe.vir Win32/LockScreen.AIG trojan C:\Users\HOME\AppData\Roaming\Microsoft\Windows\Templates\GameBoosterSetup.exe a variant of Win32/Toolbar.Widgi application C:\Users\HOME\Downloads\Programme\asc-setup.exe a variant of Win32/Toolbar.Widgi application C:\Users\HOME\Downloads\Programme\defragsetup.exe a variant of Win32/Toolbar.Widgi application C:\Users\HOME\Downloads\Programme\InternationalPrimoPDF.exe Win32/OpenCandy application Das dürften die Reste sein, oder? |
|
|
||
18.02.2012, 02:39
Moderator
Beiträge: 5694 |
#11
Diese ist in Quarantäne von Combofix Noch andere Probleme?
|
|
|
||
Ich habe die letzten zwei Tage versucht meinen PC sauber zu bekommen leider nur mit kurzem Erfolg. Nach Studie diverser Foren und Abarbeitung der Vorschläge stehe ich quasi wieder am Anfang. Es fällt auf, dass die Meldung nicht angezeigt wird, wenn ich den PC ohne Internetverbindung hochfahre. Folgendes habe ich schon versucht:
- Kaspersky Rescue CD (hat einiges gefunden, leider nicht das richtige)
- Einträge über abgesicherten Modus in der Registry gesucht. (Leider nicht die "typischen" Dateien gefunden. Für mich war nichts zu erkennen)
- Diverse Programme scannen lassen (Spybot, Malwarebytes, Trojaner Killer, SuperAntiSpyware, Avast)
Wäre sehr dankbar, wenn man mir helfen könnte. Habe einige Menge Logs.
Hier mal die logs:
DDS
Code
OTLCode