Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Angeblicher Polizeitrojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.08.2011, 15:01   #1
Lagartixa
 
Angeblicher Polizeitrojaner - Standard

Angeblicher Polizeitrojaner



Liebes Trojaner-Board,

ich habe es leider geschafft, mir diesen Polizei-Trojaner einzufangen. Das Teil, das einen auffordert 100€ zu überweisen und alle Anwendungen nach dem Neustarten von Windows lahm legt.
Ich habe mich jetzt schon etwas in eurem Forum umgesehen, da dieses in der letzten Zeit durchaus häufiger vorgekommen ist. Mit Hilfe der vielen Anleitung habe ich es inzwischen auch geschafft, mit OTLPE einen Bericht zu erstellen.

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 8/8/2011 3:43:22 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,023.00 Mb Total Physical Memory | 841.00 Mb Available Physical Memory | 82.00% Memory free
907.00 Mb Paging File | 848.00 Mb Available in Paging File | 94.00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 153.38 Gb Total Space | 131.28 Gb Free Space | 85.60% Space Free | Partition Type: NTFS
Drive I: | 122.23 Mb Total Space | 119.20 Mb Free Space | 97.52% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2011/07/02 03:57:35 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/05/02 03:09:02 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/03/18 05:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2007/02/12 05:03:08 | 000,364,629 | ---- | M] (Atheros) [Auto] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2005/04/03 18:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | Boot] --  -- (SiFilter)
DRV - File not found [Kernel | Boot] --  -- (Si3114r5)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/07/02 03:57:36 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/02 03:57:36 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/06/17 08:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/06/17 08:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/04/13 14:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2007/03/27 07:27:02 | 000,543,712 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2006/11/14 20:00:18 | 000,055,840 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wsimd.sys -- (WSIMD)
DRV - [2004/06/21 04:53:20 | 000,626,204 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004/06/02 22:40:46 | 000,079,360 | R--- | M] (NVIDIA Corporation) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\nvatabus.sys -- (nvatabus)
DRV - [2004/05/17 02:00:54 | 000,012,928 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2004/05/17 02:00:52 | 000,033,280 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2004/02/23 23:08:52 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2003/10/29 01:02:00 | 000,021,120 | R--- | M] (NVIDIA Corporation) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\nv_agp.SYS -- (nv_agp)
DRV - [2001/08/17 09:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Lala_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://de.wikipedia.org/wiki/Wikipedia:Hauptseite"
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/06/26 13:16:54 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2011/03/30 13:31:53 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\mozilla\Extensions
[2011/04/15 09:12:21 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011/04/15 09:12:22 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
File not found (No name found) -- 
[2011/04/15 09:12:14 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011/06/26 13:16:51 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010/01/01 04:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010/01/01 04:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2010/01/01 04:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010/01/01 04:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010/01/01 04:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/01/01 04:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [Nikon Message Center 2] C:\Programme\Nikon\Nikon Message Center 2\NkMC2.exe (Nikon Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TWCU] C:\Programme\TP-LINK\TP-LINK 54M Wireless Client Utility\TWCU.exe (TP-LINK TECHNOLOGIES CO., LTD.)
O4 - Startup: C:\Dokumente und Einstellungen\Lala\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Lala_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1301508992437 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0014-0002-0002-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_02)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\jashla.exe (aIKf)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/03/30 12:29:15 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{2f1a8442-5af1-11e0-9673-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{2f1a8442-5af1-11e0-9673-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2f1a8442-5af1-11e0-9673-806d6172696f}\Shell\AutoRun\command - "" = E:\install.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/08/08 10:07:38 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2011/08/08 07:09:13 | 000,232,448 | ---- | C] (aIKf) -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\jashla.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/08/08 08:04:02 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/08/08 07:13:04 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/08/08 07:09:13 | 000,232,448 | ---- | M] (aIKf) -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\jashla.exe
[2011/08/08 07:04:07 | 000,023,867 | ---- | M] () -- C:\Dokumente und Einstellungen\Lala\Eigene Dateien\Unbenannt 1.odt
[2011/08/08 07:04:07 | 000,000,121 | -H-- | M] () -- C:\Dokumente und Einstellungen\Lala\Eigene Dateien\.~lock.Unbenannt 1.odt#
[2011/08/08 07:04:04 | 000,034,025 | ---- | M] () -- C:\Dokumente und Einstellungen\Lala\Desktop\HAusarbeit.odt
[2011/08/08 07:04:03 | 000,000,121 | -H-- | M] () -- C:\Dokumente und Einstellungen\Lala\Desktop\.~lock.HAusarbeit.odt#
[2011/08/08 04:07:42 | 000,017,145 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011/08/05 09:41:27 | 000,012,969 | ---- | M] () -- C:\Dokumente und Einstellungen\Lala\Desktop\Literaturverzeichnis.odt
[2011/07/17 13:51:58 | 000,000,020 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLet.DAT
[2011/07/17 13:49:16 | 000,000,020 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLev.DAT
[2011/07/13 06:45:04 | 000,122,136 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/07/13 04:04:06 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011/07/12 12:59:27 | 000,087,796 | ---- | M] () -- C:\Dokumente und Einstellungen\Lala\Desktop\Objektstudie.pdf
[2011/07/12 12:58:22 | 000,039,351 | ---- | M] () -- C:\Dokumente und Einstellungen\Lala\Desktop\Berimbau.odt
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/08/08 05:33:01 | 000,000,121 | -H-- | C] () -- C:\Dokumente und Einstellungen\Lala\Eigene Dateien\.~lock.Unbenannt 1.odt#
[2011/08/08 05:15:36 | 000,000,121 | -H-- | C] () -- C:\Dokumente und Einstellungen\Lala\Desktop\.~lock.HAusarbeit.odt#
[2011/08/05 09:41:27 | 000,012,969 | ---- | C] () -- C:\Dokumente und Einstellungen\Lala\Desktop\Literaturverzeichnis.odt
[2011/08/04 09:42:09 | 000,023,867 | ---- | C] () -- C:\Dokumente und Einstellungen\Lala\Eigene Dateien\Unbenannt 1.odt
[2011/08/01 08:54:14 | 000,034,025 | ---- | C] () -- C:\Dokumente und Einstellungen\Lala\Desktop\HAusarbeit.odt
[2011/07/29 05:34:38 | 000,452,501 | ---- | C] () -- C:\Dokumente und Einstellungen\Lala\Desktop\miami2009 (86).JPG
[2011/07/29 05:33:30 | 000,162,958 | ---- | C] () -- C:\Dokumente und Einstellungen\Lala\Desktop\miami2009 (119).JPG
[2011/07/12 12:59:26 | 000,087,796 | ---- | C] () -- C:\Dokumente und Einstellungen\Lala\Desktop\Objektstudie.pdf
[2011/04/24 02:12:20 | 000,017,408 | ---- | C] () -- C:\Dokumente und Einstellungen\Lala\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/03/31 05:38:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ViewNX2.INI
[2011/03/31 05:32:42 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SystemConfiguration
[2011/03/31 05:32:42 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\System Image Utility
[2011/03/31 05:32:42 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\Synth Leads
[2011/03/31 05:32:42 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\Synth Basics
[2011/03/31 05:32:42 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLev.DAT
[2011/03/31 05:32:42 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLes.DAT
[2011/03/31 05:32:37 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Synth Textures
[2011/03/31 05:32:37 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\Sync Services
[2011/03/31 05:32:37 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLet.DAT
[2011/03/30 13:31:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011/03/30 13:15:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011/03/30 13:14:47 | 000,122,136 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/03/30 13:08:10 | 000,377,014 | ---- | C] () -- C:\WINDOWS\System32\wgapi.dll
[2011/03/30 12:47:27 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2011/03/30 12:44:40 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2011/03/30 12:44:37 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2011/03/30 12:44:30 | 000,001,048 | ---- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat
[2011/03/30 12:44:29 | 000,000,455 | ---- | C] () -- C:\WINDOWS\alsndmgr.ini
[2011/03/30 12:42:23 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\NVUninst.exe
[2011/03/30 12:41:19 | 000,005,878 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2011/03/30 12:41:18 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2011/03/30 12:30:47 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011/03/30 12:27:05 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/08/04 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,316,594 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,311,604 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,048,156 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,039,992 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2011/05/29 04:30:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\digital publishing
[2011/03/30 14:03:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\MSNInstaller
[2011/03/31 05:42:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\Nikon
[2011/04/15 09:17:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\OpenOffice.org
[2011/03/31 05:32:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Basics
[2011/03/31 05:32:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Calibrators
[2011/03/31 05:32:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp
[2011/04/01 06:32:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
[2011/03/30 13:07:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TP-LINK
[2011/03/31 05:32:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15
 
========== Purity Check ==========
 
 
< End of report >
         
--- --- ---


Es wäre nett, wenn mir jemand sagen könnte, ob das Problem zu beheben ist, ohne das Betriebssystem neu aufsetzen zu müssen.


Grüße,
Lagartixa
Angehängte Dateien
Dateityp: txt OTL.txt (42,8 KB, 194x aufgerufen)

Geändert von Lagartixa (08.08.2011 um 15:11 Uhr)

Alt 09.08.2011, 16:28   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Angeblicher Polizeitrojaner - Standard

Angeblicher Polizeitrojaner



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Lala\Anwendungsdaten\jashla.exe (aIKf)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/03/30 12:29:15 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{2f1a8442-5af1-11e0-9673-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{2f1a8442-5af1-11e0-9673-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2f1a8442-5af1-11e0-9673-806d6172696f}\Shell\AutoRun\command - "" = E:\install.exe
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________

__________________

Antwort

Themen zu Angeblicher Polizeitrojaner
0x00000001, angeblicher, anleitung, anwendungen, arten, aufsetzen, beheben, bericht, betriebssystem, erstelle, eurem, forum, häufiger, jashla.exe, kaspersky rescue, lahm, leitung, neu aufsetzen, neustarten, otlpe, polizei, polizei-trojaner, polizeitrojaner, problem, reatogo, sched.exe, system image, troja, trojaner-board, windows, zwischen



Ähnliche Themen: Angeblicher Polizeitrojaner


  1. Am 11.03.2015 Link in angeblicher Benachrichtigung von UPS angeklickt
    Plagegeister aller Art und deren Bekämpfung - 30.03.2015 (20)
  2. Angeblicher Trojaner in ZZEE PHPExe
    Alles rund um Windows - 17.12.2014 (7)
  3. Angeblicher Keylogger/Rootkit: Doctor2 rundll32.exe
    Log-Analyse und Auswertung - 24.06.2014 (24)
  4. Erste Details zu Samsungs angeblicher Backdoor
    Nachrichten - 14.03.2014 (0)
  5. LKA NRW warnt vor Betrugsversuchen angeblicher Microsoft-Mitarbeiter
    Nachrichten - 13.01.2014 (0)
  6. Angeblicher Keylogger auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 15.05.2013 (25)
  7. Telefonabzocke mit angeblicher Virenreinigung
    Nachrichten - 13.02.2013 (0)
  8. GVU Trojaner mit angeblicher Webcam Überwachung
    Plagegeister aller Art und deren Bekämpfung - 11.02.2013 (29)
  9. BKA warnt vor Mails zu angeblicher Kreditkartenverifizierung
    Nachrichten - 12.01.2013 (0)
  10. Polizeitrojaner 5.2
    Plagegeister aller Art und deren Bekämpfung - 13.10.2012 (4)
  11. Angeblicher Trojanerfund von Norton
    Plagegeister aller Art und deren Bekämpfung - 29.05.2012 (9)
  12. Internationale Verhaftungen angeblicher LulzSec-Anführer
    Nachrichten - 07.03.2012 (0)
  13. Web.de warnt mich vor angeblicher Malware
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (1)
  14. angeblicher Virus?
    Plagegeister aller Art und deren Bekämpfung - 24.08.2010 (17)
  15. Folgen von AV Security nach angeblicher Löschung
    Plagegeister aller Art und deren Bekämpfung - 22.07.2010 (24)
  16. Trojaner in angeblicher Avira Mail
    Diskussionsforum - 24.04.2007 (1)
  17. Angeblicher RPCBOT.F
    Log-Analyse und Auswertung - 07.06.2006 (2)

Zum Thema Angeblicher Polizeitrojaner - Liebes Trojaner-Board, ich habe es leider geschafft, mir diesen Polizei-Trojaner einzufangen. Das Teil, das einen auffordert 100€ zu überweisen und alle Anwendungen nach dem Neustarten von Windows lahm legt. Ich - Angeblicher Polizeitrojaner...
Archiv
Du betrachtest: Angeblicher Polizeitrojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.