Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bundespolizei-Virus, hier die OTL

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.08.2011, 19:14   #1
zdm
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Hi, gestern hat mein Schwiegervater sein Rechner zur Virenbereinigung vorbeigebracht. Es handelt sich um den Bundespolizei-Virus (100 Euro), der ist ja hier im Board bekannt. Habe bereits vorgestern eifrig den einen und anderen Threat verfolgt und bin über den allg. Workflow zur mögl. Beseitigung diesen bösartigen Virus im Bilde. Deshalb hier gleich die otl.txt in der Hoffnung das Arne oder ein anderer Spezialist mir helfen kann.

VG, Toni

die otl.txt befindet sich im Anhang

Alt 04.08.2011, 21:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O20 - HKLM Winlogon: Shell - (C:\DOKUME~1\dieter1\LOKALE~1\Temp\6eldg.exe) - C:\Dokumente und Einstellungen\dieter1\Lokale Einstellungen\Temp\6eldg.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\appconf32.exe) - C:\WINDOWS\system32\appconf32.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007/12/30 09:58:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2011/07/31 12:05:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5021
[2011/07/31 12:05:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xmldm
[2011/07/31 12:05:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\kock
[2008/12/09 11:23:13 | 000,048,176 | RHS- | C] () -- C:\WINDOWS\System32\appconf32.exe
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________

__________________

Alt 04.08.2011, 23:30   #3
zdm
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Hi Arne, na wunderbar...good work ! Der Rechner bootet wieder hoch

vielen Dank!

hier erstmal das Log-File

Code:
ATTFilter
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\DOKUME~1\dieter1\LOKALE~1\Temp\6eldg.exe deleted successfully.
C:\Dokumente und Einstellungen\dieter1\Lokale Einstellungen\Temp\6eldg.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\appconf32.exe deleted successfully.
C:\WINDOWS\system32\appconf32.exe moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\WINDOWS\System32\5021\components folder moved successfully.
C:\WINDOWS\System32\5021 folder moved successfully.
C:\WINDOWS\System32\xmldm folder moved successfully.
C:\WINDOWS\System32\kock folder moved successfully.
File C:\WINDOWS\System32\appconf32.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 08052011_022331
         
__________________

Alt 05.08.2011, 11:45   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.08.2011, 13:01   #5
zdm
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Hier das .log von Malwarebytes

einen OTL-Costum-Scan konnte ich nicht mehr durchführen weil der Rechner wieder im Besitz vom Schwiegervater ist. Habe aber auch mit AntiVir (Premium) einen Vollscan durchgeführt. Der Rechner müßte wieder sauber sein...

Gruß, Toni


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7378

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05.08.2011 01:52:42
mbam-log-2011-08-05 (01-52-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 210243
Laufzeit: 1 Stunde(n), 49 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> No action taken.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken.

Infizierte Dateien:
c:\WINDOWS\system32\acroiehelpe.dll (Trojan.Banker) -> No action taken.
c:\_OTL\movedfiles\08052011_022331\c_dokumente und einstellungen\dieter1\lokale einstellungen\Temp\6eldg.exe (Rogue.MalwareProtection) -> No action taken.
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> No action taken.
c:\Recycle.Bin\d87f7a667a2e2cc (Trojan.Spyeyes) -> No action taken.
         


Alt 05.08.2011, 13:50   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Zitat:
Der Rechner müßte wieder sauber sein...
Vorsicht! Auf diesem Rechner werkelte SpyEyes, ein gefährlicher Datenklauer! Macht dein Schweigervater damit Onlinebanking?
__________________
--> Bundespolizei-Virus, hier die OTL

Alt 05.08.2011, 16:11   #7
zdm
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Hi Arne,

ich fürchte schon Am Sonntag bin ich nochmal bei ihm, wohnt halt weit weg... da mach ich nochmal einen Custom-Scan

Gruß, Toni

Alt 05.08.2011, 22:35   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Tja mit einem CustomScan wirds nicht getan sein.
Wenn dein Vater weiterhi sicher banken will mit diesem Rechner, wird er dies wohl nur noch per Live-CD machen können oder er setzt sein Windows komplett neu auf.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.08.2011, 20:53   #9
zdm
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Hallo Arne, also mein Schwiegervater macht kein Banking an diesem Rechner, hat er bisher auch nie gemacht. Jedenfalls würde ich Dir nochmal das OTL-Log vom Customscan zeigen. Habe ihm empfohlen einen neuen Rechner zu kaufen. Dieser ist über 10 Jahre alt (P4 1,73Ghz, 512MB ram).

voila und thx,
Toni

Alt 09.08.2011, 10:29   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Zitat:
Habe ihm empfohlen einen neuen Rechner zu kaufen.
Will er das denn auch tun? Wenn ja, seh ich keinen großen Sinn mehr Arbeit in das Uraltsystem zu stecken.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.08.2011, 13:40   #11
zdm
 
Bundespolizei-Virus, hier die OTL - Standard

Bundespolizei-Virus, hier die OTL



Hi Arne,

Recht haste ! Ja, er will sich in diesem Jahr (bald) einen neuen Rechner kaufen. Bis dahin kann er mit dem alten ja noch wenigstens ein wenig "emailen", dafür langt das Teil ja noch. Ich danke Dir nochmal herzlich für Deine Bemühungen hier im Forum, die ja auch letztendlich zum Erfolg geführt haben !

Viele Grüße, Toni

Antwort

Themen zu Bundespolizei-Virus, hier die OTL
100 euro, andere, anderen, anderer, anhang, befindet, bereinigung, bereits, beseitigung, board, bundespolizei-virus, bösartige, euro, gestern, hoffnung, otl.txt, rechner, threat



Ähnliche Themen: Bundespolizei-Virus, hier die OTL


  1. Hier geht gar nichts mehr...--.-- (Virus, CPU-Auslastung 100%)
    Plagegeister aller Art und deren Bekämpfung - 16.12.2013 (7)
  2. 100 Euro "Bundespolizei" Virus (Zugriff ohne Bildschirmübernahme durch Virus möglich)
    Plagegeister aller Art und deren Bekämpfung - 04.06.2013 (34)
  3. Security Shield 2012 Virus eingefangen - hier die Logs
    Log-Analyse und Auswertung - 03.07.2012 (3)
  4. Virus Windows Update Ukash..mich hats auch getroffen.Hier die Log Files...
    Log-Analyse und Auswertung - 14.06.2012 (30)
  5. Gema virus - bundespolizei Virus - popup
    Plagegeister aller Art und deren Bekämpfung - 13.04.2012 (21)
  6. Bundespolizei Virus - Bin ich ihn los? Denke nicht! Hier meine LOG-Dateien
    Log-Analyse und Auswertung - 30.03.2012 (12)
  7. BKA und GEMA Virus auf dem Laptop. Mit OTLPE gebootet,hier die Log Files bzw OTL.txt
    Log-Analyse und Auswertung - 24.03.2012 (1)
  8. Habe hier das Problem mit den anscheinend hier Bekannten "50Euro" Virus
    Plagegeister aller Art und deren Bekämpfung - 09.01.2012 (3)
  9. Bundespolizei-Tojaner, hier: OTLPE Logfile
    Log-Analyse und Auswertung - 08.08.2011 (3)
  10. Metropolitan Police Virus - wie einige hier bereits...
    Plagegeister aller Art und deren Bekämpfung - 21.06.2011 (14)
  11. Metropolitan Police Virus - Wie einige hier..
    Plagegeister aller Art und deren Bekämpfung - 19.06.2011 (1)
  12. Virus oder nicht,dass ist hier die Frage
    Log-Analyse und Auswertung - 17.02.2009 (3)
  13. HILFE habe virus scvhost.exe hier dieser log
    Log-Analyse und Auswertung - 04.02.2009 (0)
  14. Virus oder nicht Virus....das ist hier die Frage!
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (0)
  15. Habe/Hatte Virus!! Hier mein Logfile!
    Log-Analyse und Auswertung - 27.05.2008 (4)
  16. Abhilfe bei MSN Virus Backdoor hier
    Plagegeister aller Art und deren Bekämpfung - 03.08.2007 (5)
  17. Hab nen Virus *kotz* - hier mein Hijackthis-Log
    Log-Analyse und Auswertung - 10.07.2005 (2)

Zum Thema Bundespolizei-Virus, hier die OTL - Hi, gestern hat mein Schwiegervater sein Rechner zur Virenbereinigung vorbeigebracht. Es handelt sich um den Bundespolizei-Virus (100 Euro), der ist ja hier im Board bekannt. Habe bereits vorgestern eifrig den - Bundespolizei-Virus, hier die OTL...
Archiv
Du betrachtest: Bundespolizei-Virus, hier die OTL auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.