Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bundespolizei nun auch bei mir Windowsmce 2005

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 15.08.2011, 07:50   #1
erhanau
 
Bundespolizei nun auch bei mir Windowsmce 2005 - Standard

Bundespolizei nun auch bei mir Windowsmce 2005



Nachdem mein Sohn in unserer Abwesenheit den Wohnzimmer Mediacenter-PC benutzt hat (Motto: Egal was kommt ich klick mal O.K.) öffnete sich nun beim Neustart die Warnung vom BKA/Bundespolizei.
Eine Neuinstalation ist nicht bzw. nur mit sehr sehrt viel Aufwand möglich, da die Treiber-Software der einzelnen Komponenten nicht mehr vorhanden ist und somit ewiges Suchen im Internet bedeutet. Wir nutzen den PC eigentlich auch nur um mal nebenher was bei google nachzuschauen (Ausgenommen natürlich unser Sohn, grrrrrr)

Ein Scan mit der Avira-Notfall CD ergab eine Meldung (Exploit...) aber nach Quarantänestellung/Umbenennung konnte der Rechner trotzdem nicht starten.
Das gleiche Spiel mit der Kaspersky 10 Notfall CD. Wieder Fehlermeldung, aber trotz Löschen kam bei Neustart wieder die Bundespolizei/Ukash Forderung.

Bitte um Hilfe welche Schritte ich als nächstes Tun soll

Alt 16.08.2011, 14:28   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei nun auch bei mir Windowsmce 2005 - Standard

Bundespolizei nun auch bei mir Windowsmce 2005



Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
    ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.
__________________

__________________

Alt 17.08.2011, 07:30   #3
erhanau
 
Bundespolizei nun auch bei mir Windowsmce 2005 - Standard

Bundespolizei nun auch bei mir Windowsmce 2005



O.K. habe alles wie beschrieben durchgeführt.
Es trat alles so ein wie beschrieben. Erstmal vielen Dank!!!
Nun habe ich wieder Zugriff auf meinen Rechner.

Die shell.text Datei sieht folgendermaßen aus:

Code:
ATTFilter
WIN_XP X86

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\Media Center\Anwendungsdaten\jashla.exe
File C:\Dokumente und Einstellungen\Media Center\Anwendungsdaten\jashla.exe moved to I:\ infected or not found
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run[ehTray] = C:\WINDOWS\ehome\ehtray.exe
HKLM\..\Run[Verknüpfung mit der High Definition Audio-Eigenschaftenseite] = HDAShCut.exe
HKLM\..\Run[VFD_DISPLAY] = C:\WINDOWS\sddetect.exe
HKLM\..\Run[MXOBG] = C:\WINDOWS\MXOALDR.EXE
HKLM\..\Run[igfxtray] = C:\WINDOWS\system32\igfxtray.exe
HKLM\..\Run[igfxhkcmd] = C:\WINDOWS\system32\hkcmd.exe
HKLM\..\Run[igfxpers] = C:\WINDOWS\system32\igfxpers.exe
HKLM\..\Run[RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run[SoundMan] = SOUNDMAN.EXE
HKLM\..\Run[AlcWzrd] = ALCWZRD.EXE
HKLM\..\Run[Alcmtr] = ALCMTR.EXE
HKLM\..\Run[dvd43] = C:\Programme\dvd43\dvd43_tray.exe
HKLM\..\Run[MSC] = "c:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey

HKCU\..\Run[CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run[WMPNSCFG] = C:\Programme\Windows Media Player\WMPNSCFG.exe
HKCU\..\Run[Personal ID] = C:\COOLSP~1\PERSON~1\PID.EXE

HKU\.DEFAULT\Winlogon; Shell = 
HKU\S-1-5-20\Winlogon; Shell = 
HKU\S-1-5-20_Classes\Winlogon; Shell = 
HKU\S-1-5-21-146863646-2488735475-1843380180-1007\Winlogon; Shell = 
HKU\S-1-5-21-146863646-2488735475-1843380180-1007_Classes\Winlogon; Shell = 
HKU\S-1-5-18\Winlogon; Shell =
         
Was soll ich nun als nächstes ausführen? Malwarebytes Anti-Malware ? Oder ein anderes Programm? Eine Grundsätzliche Frage: soll ich bei den folgenden Programmen auffällige Dateien löschen oder nur in Quarantäne verschieben? Ich habe immer die Sorge, dass so ein Schadcode auch aus der Quarantäne wieder herausgelangen könnte, oder denke ich da zu naiv?
__________________

Alt 17.08.2011, 10:27   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei nun auch bei mir Windowsmce 2005 - Standard

Bundespolizei nun auch bei mir Windowsmce 2005



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.08.2011, 19:14   #5
erhanau
 
Bundespolizei nun auch bei mir Windowsmce 2005 - Standard

Bundespolizei nun auch bei mir Windowsmce 2005



so habe nun Anti-Malware im Vollscan drüberlaufen lassen. er hat 2 infizierte Dateien gefunden, aber während dem Scan habe ich mehrere male einen Alarm von Microsoft security essentials erhalten. Es waren jedesmal (ca. 3mal) ein Trojaner, der aber von mir bestätigt gelöscht wurde.




Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7487

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.08.2011 21:48:52
mbam-log-2011-08-17 (21-48-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|)
Durchsuchte Objekte: 280141
Laufzeit: 2 Stunde(n), 32 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{b5aabd65-0e58-4d9f-bc32-7b00bfedb125}\RP238\A0029173.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\media center\eigene dateien\downloads\powerdvd_9\powerdvd 9\power dvd 9\CORE10k.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully.
         
die Meldung bei Microsoft Security essentials war immer Trojan:Win32/Ransom.DU

und zwar bei der ersten Meldung
Code:
ATTFilter
Elemente: 
file:C:\Dokumente und Einstellungen\Media Center\Lokale Einstellungen\Temp\jar_cache2371147123135404784.tmp
file:C:\Dokumente und Einstellungen\Media Center\Lokale Einstellungen\Temp\jar_cache4225292727350377640.tmp
         
bei der zweiten Meldung
Code:
ATTFilter
Elemente: 
file:C:\System Volume Information\_restore{B5AABD65-0E58-4D9F-BC32-7B00BFEDB125}\RP238\A0029173.exe
         
bei der dritten Meldung
Code:
ATTFilter
Elemente: 
file:I:\infected\jashla.exe
filelocalcopy:\\?\c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\LocalCopy\{DFE9508B-5620-4D2A-9F1E-C0016AD13873}-jashla.exe
         
Alle 3 Microsoft Security Essentials-Meldungen kamen während dem Scan mit Anti-Malware. Alle 3 Fälle sind als entfernt markiert/gelöscht.

Auffällig war, dass der Scan mit Malwarebytes Anti-Malware sehr langsam war, jednfalls kam es mir viel langsamer vor, als ich es auf anderen Rechnern (ähnlicher Konfiguration und Leistung) kenne.

Ich habe nun noch keinen Scan mit olt.exe gemacht, soll ich evtl noch einen weiteren Entfernungsscan mit Antimalware oder einem anderen Programm machen?


Alt 17.08.2011, 21:48   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei nun auch bei mir Windowsmce 2005 - Standard

Bundespolizei nun auch bei mir Windowsmce 2005



Zitat:
c:\dokumente und einstellungen\media center\eigene dateien\downloads\powerdvd_9\powerdvd 9\power dvd 9\CORE10k.EXE (Dont.Steal.Our.Software)


Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________
--> Bundespolizei nun auch bei mir Windowsmce 2005

Alt 18.08.2011, 08:13   #7
erhanau
 
Bundespolizei nun auch bei mir Windowsmce 2005 - Standard

Bundespolizei nun auch bei mir Windowsmce 2005



Also bitte, ich versteh die Welt nicht mehr?

CORE10k.EXE ist nach Google Suche eine Schadsoftware, bzw. im unmittelbaren Zusammenhang mit dem Trojaner zu sehen. "Dont Steal our Software" ist ein comment, der automatisch von Anti-Malware angehängt wird und eben nicht garantiert für irgendwelche illegal genutzte Software steht.

Ich habe zu keinem (!!!) Zeitpunkt auf dem System einen Keygenerator oder Crack betrieben. Der Ordner Powerdvd9 indem die Datei gefunden wurde gehört zur Trial-Software von Power-DVD, welche ich vor ca. 1,5 Jahren mal installiert habe um zu sehen, ob der MPEG2-Codec davon besser ist, als der bereits installierte von Intervideos WinDVD. Nach der Trial-Phase habe ich die Software nicht mehr aktiviert, weil der unterschied nicht so groß war.

Ich finde es super nett, dass man hier geholfen bekommt, aber bin traurig, dass man ohne Grund kriminalisiert wird.

Evtl. könnt ihr mir nun ein wenig vorurteilsfreier helfen?

Alt 18.08.2011, 11:27   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei nun auch bei mir Windowsmce 2005 - Standard

Bundespolizei nun auch bei mir Windowsmce 2005



Zitat:
"Dont Steal our Software" ist ein comment, der automatisch von Anti-Malware angehängt wird und eben nicht garantiert für irgendwelche illegal genutzte Software steht.
So ein Unsinn, CORE10k.EXE und ähnliche Dateinamen sind ein Synonym für Cracks/Keygens!

Zitat:
Ich habe zu keinem (!!!) Zeitpunkt auf dem System einen Keygenerator oder Crack betrieben.
Ja, ist klar. Deswegen findet Malwarebytes ja auch sowas weil du nie sowas drauf hattest

__________________
Logfiles bitte immer in CODE-Tags posten

Thema geschlossen

Themen zu Bundespolizei nun auch bei mir Windowsmce 2005
abwesenheit, einzelne, fehlermeldung, google, interne, internet, kaspersky, klick, komponenten, konnte, löschen, meldung, natürlich, neuinstalation, neustart, nicht mehr, nutzen, rechner, scan, spiel, starte, suche, vorhanden, warnung




Ähnliche Themen: Bundespolizei nun auch bei mir Windowsmce 2005


  1. Bundespolizei Trojaner - auch abgesicherter Modus nicht funktionsfähig
    Log-Analyse und Auswertung - 10.11.2013 (19)
  2. Habe mir auch den Bundespolizei Virus eingefangen
    Log-Analyse und Auswertung - 03.05.2013 (16)
  3. GVU Bundespolizei auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 08.04.2013 (13)
  4. Auch nochmal Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (9)
  5. Mich hats auch erwischt....Bundespolizei - Computer wurde gesperrt
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (5)
  6. Trojaner "Betriebssystemsperrung" durch Bundespolizei - auch mich hats erwischt
    Plagegeister aller Art und deren Bekämpfung - 18.03.2012 (5)
  7. Bundespolizei - Trojaner auch bei mir!
    Plagegeister aller Art und deren Bekämpfung - 08.03.2012 (19)
  8. Auch den Bundespolizei Trojaner eingefangen, Win7 64 bit
    Log-Analyse und Auswertung - 14.02.2012 (23)
  9. Auch mich hat der "Bundespolizei Trojaner" erwischt
    Plagegeister aller Art und deren Bekämpfung - 16.12.2011 (1)
  10. Bundespolizei Trojaner - Auch bei mir
    Log-Analyse und Auswertung - 12.12.2011 (7)
  11. Bundespolizei Trojaner - auch im abgesicherten Modus nicht mehr Start möglich
    Log-Analyse und Auswertung - 05.12.2011 (8)
  12. Bundespolizei-Virus: mich hat es auch erwischt!
    Log-Analyse und Auswertung - 23.11.2011 (12)
  13. "Bundespolizei" beherrscht nun auch meinen Rechner
    Plagegeister aller Art und deren Bekämpfung - 03.08.2011 (5)
  14. Die Bundespolizei ... steht auch bei mir vor der Tür.!
    Log-Analyse und Auswertung - 05.07.2011 (11)
  15. auch winfixer 2005
    Log-Analyse und Auswertung - 18.12.2005 (17)
  16. habe auch Winfixer 2005
    Log-Analyse und Auswertung - 03.12.2005 (17)

Zum Thema Bundespolizei nun auch bei mir Windowsmce 2005 - Nachdem mein Sohn in unserer Abwesenheit den Wohnzimmer Mediacenter-PC benutzt hat (Motto: Egal was kommt ich klick mal O.K.) öffnete sich nun beim Neustart die Warnung vom BKA/Bundespolizei. Eine Neuinstalation - Bundespolizei nun auch bei mir Windowsmce 2005...
Archiv
Du betrachtest: Bundespolizei nun auch bei mir Windowsmce 2005 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.