Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bundespolizei Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.08.2011, 17:45   #1
RICARDOZ
 
Bundespolizei Trojaner - Standard

Bundespolizei Trojaner



Hallo Liebes Trojaner-Board Team,

meine Mutter ist im Internet gesurft und auf einmal kam diese Fake-Meldung der Bundespolizei, welche auffordert 100€ per Ukash oder Paysafecard zu bezahlen.
Wir haben erstmal nichts unternommen außer Firefox über den Taskmanager zu schließen.
Anschließend habe ich mich hier informiert und diverse Bereinigungswege gefunden.

Da ich jedoch nicht weiß welcher der aktuelle und in unserem Fall richtige Bereinigungsweg ist und ihr empfehlt, andere Lösungswege nicht einfach zu übernehmen, habe ich bisher nichts unternommen und bitte euch uns bei der Bereinigung dieses Trojaners zu helfen.

Das Betriebssystem ist Windows XP Professional.

Viele Grüße
RICARDOZ

Geändert von RICARDOZ (14.08.2011 um 17:56 Uhr)

Alt 16.08.2011, 12:56   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner - Standard

Bundespolizei Trojaner



Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
    ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.
__________________

__________________

Alt 16.08.2011, 19:30   #3
RICARDOZ
 
Bundespolizei Trojaner - Standard

Bundespolizei Trojaner



Vielen Dank Arne schonmal für deine erste Hilfe.

Hier der Text aus der shell.txt:

Code:
ATTFilter
WIN_XP X86

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\***\Anwendungsdaten\jashla.exe
File C:\Dokumente und Einstellungen\***\Anwendungsdaten\jashla.exe moved to H:\ infected or not found
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run[PMXInit] = C:\WINDOWS\system32\pmxinit.exe
HKLM\..\Run[NeroCheck] = C:\WINDOWS\system32\NeroCheck.exe
HKLM\..\Run[Lexmark_X79-55] = C:\WINDOWS\system32\lsasss.exe
HKLM\..\Run[TkBellExe] = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
HKLM\..\Run[QuickTime Task] = "C:\Programme\QuickTime\QTTask.exe" -atboottime
HKLM\..\Run[iTunesHelper] = "D:\Programme\iTunes und QuickTime\iTunesHelper.exe"
HKLM\..\Run[FlashGuard] = "C:\Programme\FlashGuard\FlashGuard.exe" -run
HKLM\..\Run[SunJavaUpdateSched] = "C:\Programme\Java\jre6\bin\jusched.exe"
HKLM\..\Run[KernelFaultCheck] = %systemroot%\system32\dumprep 0 -k
HKLM\..\Run[avgnt] = "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

HKCU\..\Run[Regscan] = C:\WINDOWS\system32\regscan.exe

HKU\.DEFAULT\Winlogon; Shell = 
HKU\S-1-5-20\Winlogon; Shell = 
HKU\S-1-5-20_Classes\Winlogon; Shell = 
HKU\S-1-5-21-1390067357-1580818891-1708537768-1003\Winlogon; Shell = explorer.exe,I:\KAZAN\marijana.exe
HKU\S-1-5-21-1390067357-1580818891-1708537768-1003_Classes\Winlogon; Shell = 
HKU\S-1-5-18\Winlogon; Shell =
         
Ich warte auf weitere Instruktionen

Viele Grüße
RICARDOZ
__________________

Alt 17.08.2011, 10:42   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner - Standard

Bundespolizei Trojaner



Startet Windows wieder normal?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.08.2011, 11:00   #5
RICARDOZ
 
Bundespolizei Trojaner - Standard

Bundespolizei Trojaner



Ja Windows startet wieder normal.
Beudetet das jetzt, dass der PC "clean" ist?

Viele Grüße
RICARDOZ


Alt 17.08.2011, 11:34   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner - Standard

Bundespolizei Trojaner



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
--> Bundespolizei Trojaner

Alt 18.08.2011, 11:01   #7
RICARDOZ
 
Bundespolizei Trojaner - Standard

Bundespolizei Trojaner



Vielen Dank schonmal für deine weiteren Instruktionen.

Hier der Log des Scans mit Malwarebytes (bei diesem Scan war AntiVir aktiv und hat sich teilweise auch gemeldet. Beim OTL Scan hatte ich AntiVir deaktiviert.):

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7489

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17.08.2011 22:12:57
mbam-log-2011-08-17 (22-12-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 206503
Laufzeit: 2 Stunde(n), 6 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\lokale einstellungen\temp\jar_cache515694225316585547.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\temp\jar_cache6127163292000287266.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
d:\*** (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\programme\lame_enc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\no23xwrapper.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\ogg.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\vorbis.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\vorbisenc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\vorbisfile.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
         
Der Inhalt des OTL Logs folgt in der nächsten Antwort, weil es sonst zu viele Zeichen wären.

Alt 18.08.2011, 12:10   #8
RICARDOZ
 
Bundespolizei Trojaner - Standard

Bundespolizei Trojaner



Und hier der Log des OTL Scans. Habe es angehängt, weil es doch noch zu viele Zeichen waren.

Vielen Dank und viele Grüße
RICARDOZ

Alt 18.08.2011, 13:08   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner - Standard

Bundespolizei Trojaner



Zitat:
d:\*** (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
Auch ein zensierter Crack/Keygen bleibt illegal und ist als solcher anhand der Einstufung (Riskware) von Malwarebytes zu erkennen



Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Bundespolizei Trojaner
aktuelle, andere, auf einmal, bundespolizei, bundespolizei trojaner, diverse, einfach, empfehlt, fake-meldung, firefox, formiert, gefunde, gesurft, inter, interne, internet, mutter, nichts, paysafecard, schließe, taskma, taskmanager, troja, trojane, trojaner, trojaner-board, trojaners, ukash, übernehmen



Ähnliche Themen: Bundespolizei Trojaner


  1. Bundespolizei Trojaner
    Log-Analyse und Auswertung - 03.10.2012 (38)
  2. BUNDESPOLIZEI Trojaner
    Log-Analyse und Auswertung - 08.08.2012 (7)
  3. Bundespolizei Trojaner
    Mülltonne - 20.07.2012 (0)
  4. Trojaner Bundespolizei
    Log-Analyse und Auswertung - 16.06.2012 (1)
  5. Bundespolizei Trojaner 1.09
    Plagegeister aller Art und deren Bekämpfung - 20.04.2012 (17)
  6. Bundespolizei Trojaner auf win XP
    Log-Analyse und Auswertung - 12.04.2012 (1)
  7. Bundespolizei Trojaner!
    Plagegeister aller Art und deren Bekämpfung - 29.12.2011 (5)
  8. Bundespolizei Trojaner
    Log-Analyse und Auswertung - 26.12.2011 (8)
  9. Bundespolizei Trojaner??
    Plagegeister aller Art und deren Bekämpfung - 26.12.2011 (27)
  10. Bundespolizei Trojaner - Win XP
    Log-Analyse und Auswertung - 18.12.2011 (1)
  11. Bundespolizei Trojaner
    Log-Analyse und Auswertung - 08.11.2011 (1)
  12. Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.08.2011 (1)
  13. Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.08.2011 (1)
  14. Bundespolizei-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.08.2011 (3)
  15. Bundespolizei-Trojaner
    Log-Analyse und Auswertung - 07.08.2011 (1)
  16. Bundespolizei Trojaner
    Log-Analyse und Auswertung - 16.04.2011 (6)
  17. Bundespolizei-Trojaner
    Log-Analyse und Auswertung - 16.04.2011 (3)

Zum Thema Bundespolizei Trojaner - Hallo Liebes Trojaner-Board Team, meine Mutter ist im Internet gesurft und auf einmal kam diese Fake-Meldung der Bundespolizei, welche auffordert 100€ per Ukash oder Paysafecard zu bezahlen. Wir haben erstmal - Bundespolizei Trojaner...
Archiv
Du betrachtest: Bundespolizei Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.