Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Bundespolizei Windows Vista

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.10.2011, 08:59   #1
flipflopfloh
 
Trojaner Bundespolizei Windows Vista - Standard

Trojaner Bundespolizei Windows Vista



Hallo,

Ein Bekannter hat mir seinen Rechner gebracht und hat sich den Trojaner mit dem weißen Monitor eingefangen, den ihr hier Bundespolizei Trojaner nennt. Bisher hat er Antivira (roter Regenschirm) im abgesicherten Modus laufen lassen. Gefundene dateien hat er beheben lassen, doch ich weiß nicht genau welche es waren, da er das selber getan hat.

Ich habe, da der rechner nicht mehr ans internet kommt meinen nun hier und kann euch leider von diesem rechner, der befallen ist, kaum info´s geben. (punkt 2 nach den 7 goldenen Regeln).

Ich habe mir die CD mit OTLPE bereits gebrannt und auf dem befallenen Rechner versucht.(nach dieser Anweisung hier: http://www.trojaner-board.de/97331-b...n-ich-tun.html ) Allerdings hapert es da schon beim öffnen durch doppelklick des OTLPE Icons.

zunächst öffnet sich kurz ein schwarzes Fenser dass wieder verschwindet und dann kann ich 'browse for Folder' nutzen.
Auswählen kann ich

' my computer' -> no windows installation found
' Ram dik B' --> Target is not windows 2000 or later
' Vista C ' --> Target is not windows 2000 or later
bei allen anderen Möglichkeiten wiederholt sich die Meldung --> Target is not windows 2000 or later

Könnt ihr uns da weiterhelfen? Welche Informationen kann ich euch noch geben?

Liebe Grüße FFF

P.S. ich bin auch kein besonderer Spezialist was Rechner angeht, ich freue mich sehr über Aussagen, die nicht zu viele 'Fremdworte' enthalten.

Danke schon mal im Vorraus!

Alt 17.10.2011, 10:20   #2
flipflopfloh
 
Trojaner Bundespolizei Windows Vista - Standard

Trojaner Bundespolizei Windows Vista



Erweiterung zu der Beschreibung oben:

Systemwiederherstellung habe ich natürlich bereits versucht, doch das lässt der rechner nicht mehr zu. angeblich hätten wir keine Systemwiederherstellungspunkte gesetzt, doch ich weiß, dass ich das bei ihm gemacht hatte.

Grade führe ich den OTL von Oldtimer durch, Ergebnisse im abgesicherten Modus sind hier sichtbar:
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 17.10.2011 11:30:57 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = D:\debugs und co
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18975)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1014,63 Mb Total Physical Memory | 640,79 Mb Available Physical Memory | 63,15% Memory free
2,23 Gb Paging File | 2,00 Gb Available in Paging File | 89,48% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 55,89 Gb Total Space | 31,35 Gb Free Space | 56,08% Space Free | Partition Type: NTFS
Drive D: | 7,45 Gb Total Space | 6,96 Gb Free Space | 93,39% Space Free | Partition Type: FAT32
Drive E: | 54,43 Gb Total Space | 46,18 Gb Free Space | 84,85% Space Free | Partition Type: NTFS
 
Computer Name: RALF-PC | User Name: Ralf | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.10.17 10:24:12 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\debugs und co\OTL.exe
PRC - [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2008.01.19 09:33:11 | 000,498,176 | ---- | M] (Microsoft Corporation) -- C:\Windows\HelpPane.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] --  -- (LiveUpdate Notice Ex)
SRV - [2011.07.03 14:42:31 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.04.27 17:57:50 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.07.28 17:07:42 | 000,073,528 | ---- | M] (AVM Berlin) [Auto | Stopped] -- C:\Program Files\FRITZ!DSL\IGDCTRL.EXE -- (IGDCTRL)
SRV - [2008.01.29 17:38:32 | 000,583,048 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe -- (LiveUpdate Notice Service)
SRV - [2008.01.19 09:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2007.09.26 11:53:56 | 002,999,664 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Programme\Symantec\LiveUpdate\LuComServer_3_2.EXE -- (LiveUpdate)
SRV - [2007.09.26 11:53:56 | 000,554,352 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Automatisches LiveUpdate - Scheduler)
SRV - [2007.04.27 20:15:46 | 000,114,688 | ---- | M] (TOSHIBA Corporation) [Auto | Stopped] -- C:\Programme\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe -- (TNaviSrv)
SRV - [2007.02.05 18:13:14 | 000,094,208 | ---- | M] () [Auto | Stopped] -- C:\Programme\ATK Hotkey\ASLDRSrv.exe -- (ASLDRService)
SRV - [2006.11.14 20:33:10 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) [Auto | Stopped] -- C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe -- (CFSvcs)
SRV - [2006.10.05 13:10:12 | 000,009,216 | ---- | M] (Agere Systems) [Auto | Stopped] -- C:\Windows\System32\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2006.08.23 16:39:48 | 000,049,152 | ---- | M] (Ulead Systems, Inc.) [Auto | Stopped] -- C:\Programme\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- (UleadBurningHelper)
SRV - [2006.05.25 19:30:16 | 000,114,688 | ---- | M] (TOSHIBA Corporation) [Auto | Stopped] -- C:\Windows\System32\TODDSrv.exe -- (TODDSrv)
SRV - [2005.11.17 14:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.03 14:42:39 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.03 14:42:39 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2007.06.19 06:34:48 | 000,737,280 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2007.04.27 20:13:58 | 000,285,184 | ---- | M] (TOSHIBA Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\tos_sps32.sys -- (tos_sps32)
DRV - [2007.04.09 20:13:00 | 000,050,176 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2007.03.21 22:02:04 | 000,037,376 | ---- | M] (REDC) [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\rixdptsk.sys -- (rismxdp)
DRV - [2007.02.24 14:42:22 | 000,039,936 | ---- | M] (REDC) [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2007.01.23 16:40:20 | 000,042,496 | ---- | M] (REDC) [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2007.01.18 16:47:18 | 000,211,072 | ---- | M] (TOSHIBA CORPORATION) [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\kr10n.sys -- (KR10N)
DRV - [2007.01.18 16:40:56 | 000,219,392 | ---- | M] (TOSHIBA CORPORATION) [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\kr10i.sys -- (KR10I)
DRV - [2006.12.14 15:11:58 | 000,007,680 | ---- | M] (ATK0100) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ATKACPI.sys -- (MTsensor)
DRV - [2006.11.28 16:11:00 | 001,161,888 | ---- | M] (Agere Systems) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2006.10.18 12:50:04 | 000,016,128 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\tdcmdpst.sys -- (tdcmdpst)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.12.24 14:31:05 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.6\extensions\\Components: D:\Thunderbird\components
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 2.0.0.6\extensions\\Plugins: D:\Thunderbird\plugins
 
[2010.04.01 17:13:30 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Ralf\AppData\Roaming\mozilla\Extensions
[2010.12.21 20:48:12 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Ralf\AppData\Roaming\mozilla\Firefox\Profiles\u0j24us4.default\extensions
[2010.04.01 17:24:14 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Ralf\AppData\Roaming\mozilla\Firefox\Profiles\u0j24us4.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll (Google Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
O4 - HKLM..\Run: [Symantec PIF AlertEng] C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation)
O4 - HKLM..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (TOSHIBA)
O4 - HKLM..\Run: [Toshiba Registration] C:\Programme\TOSHIBA\Registration\ToshibaRegistration.exe (Toshiba)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [avupdate] C:\Users\Ralf\AppData\Roaming\mahmud.exe (Radialpoint Inc.)
O4 - HKCU..\Run: [Dvdreal] C:\Users\Ralf\AppData\Roaming\Visuser\javapnp.exe File not found
O4 - HKCU..\Run: [msmapusb] rundll32.exe  File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ClassicShell = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: Wallpaper = n
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll (Google Inc.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll (Sun Microsystems, Inc.)
O9 - Extra Button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - hxxp://rover.ebay.com/rover/1/707-44556-9400-3/4 File not found
O9 - Extra Button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - hxxp://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Local intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Local intranet)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{371FE344-9D74-4E6D-B74A-7BEA9BD9D42B}: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{96D91E84-500A-4F4F-92A4-D9A964F6BD23}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) -C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) -C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Ralf\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Ralf\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2010.04.14 22:54:30 | 000,000,166 | ---- | M] () - D:\autorun.inf -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.10.16 13:27:21 | 000,197,120 | ---- | C] (Radialpoint Inc.) -- C:\Users\Ralf\AppData\Roaming\mahmud.exe
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.10.17 11:29:44 | 000,632,850 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.10.17 11:29:44 | 000,591,262 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.10.17 11:29:44 | 000,126,998 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.10.17 11:29:44 | 000,105,142 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.10.17 11:27:58 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.10.17 08:20:14 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.10.17 08:20:14 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.10.17 08:19:08 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.10.17 08:18:41 | 000,016,384 | ---- | M] () -- C:\Windows\System32\Ikeext.etl
[2011.10.17 08:06:05 | 000,271,424 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2011.10.16 21:56:04 | 000,002,623 | ---- | M] () -- C:\Users\Ralf\Desktop\Microsoft Word.lnk
[2011.10.16 21:34:48 | 000,000,680 | ---- | M] () -- C:\Users\Ralf\AppData\Local\d3d9caps.dat
[2011.10.16 13:58:15 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.10.16 13:27:21 | 000,197,120 | ---- | M] (Radialpoint Inc.) -- C:\Users\Ralf\AppData\Roaming\mahmud.exe
[2011.10.13 22:34:26 | 000,000,118 | ---- | M] () -- C:\Windows\System32\MRT.INI
[2011.09.25 10:55:47 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.10.16 21:30:34 | 000,000,680 | ---- | C] () -- C:\Users\Ralf\AppData\Local\d3d9caps.dat
[2011.10.13 22:34:26 | 000,000,118 | ---- | C] () -- C:\Windows\System32\MRT.INI
[2010.06.05 12:07:42 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2010.06.05 12:07:42 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2010.06.05 12:06:59 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2009.05.25 15:18:34 | 000,007,973 | ---- | C] () -- C:\ProgramData\LUUnInstall.LiveUpdate
[2007.10.26 14:23:40 | 000,139,264 | ---- | C] () -- C:\Windows\System32\fsgscom.dll
[2007.08.14 12:10:33 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2007.07.28 11:58:29 | 000,000,016 | -H-- | C] () -- C:\ProgramData\mxfilerelatedcache.mxc2
[2007.07.25 20:16:59 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2007.07.23 09:03:32 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll
[2007.07.23 09:03:32 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll
[2007.07.23 09:03:32 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll
[2007.07.23 09:03:30 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll
[2007.07.20 19:14:33 | 000,029,184 | ---- | C] () -- C:\Users\Ralf\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.07.19 15:09:33 | 000,000,016 | -H-- | C] () -- C:\Users\Ralf\AppData\Local\mxfilerelatedcache.mxc2
[2007.07.19 15:09:32 | 000,000,016 | -H-- | C] () -- C:\Users\Ralf\AppData\Roaming\mxfilerelatedcache.mxc2
[2007.05.24 14:01:06 | 000,006,642 | ---- | C] () -- C:\Windows\mgxoschk.ini
[2007.05.24 13:35:15 | 000,000,000 | ---- | C] () -- C:\Windows\NDSTray.INI
[2007.05.24 13:32:29 | 000,204,800 | ---- | C] () -- C:\Windows\System32\IVIresizeW7.dll
[2007.05.24 13:32:29 | 000,200,704 | ---- | C] () -- C:\Windows\System32\IVIresizeA6.dll
[2007.05.24 13:32:29 | 000,192,512 | ---- | C] () -- C:\Windows\System32\IVIresizeP6.dll
[2007.05.24 13:32:29 | 000,192,512 | ---- | C] () -- C:\Windows\System32\IVIresizeM6.dll
[2007.05.24 13:32:29 | 000,188,416 | ---- | C] () -- C:\Windows\System32\IVIresizePX.dll
[2007.05.24 13:32:29 | 000,020,480 | ---- | C] () -- C:\Windows\System32\IVIresize.dll
[2007.05.24 13:25:55 | 000,016,480 | ---- | C] () -- C:\Windows\System32\rixdicon.dll
[2007.05.24 13:24:01 | 000,128,113 | ---- | C] () -- C:\Windows\System32\csellang.ini
[2007.05.24 13:24:01 | 000,045,056 | ---- | C] () -- C:\Windows\System32\csellang.dll
[2007.05.24 13:24:01 | 000,010,146 | ---- | C] () -- C:\Windows\System32\tosmreg.ini
[2007.05.24 13:24:01 | 000,007,671 | ---- | C] () -- C:\Windows\System32\cseltbl.ini
[2007.05.24 12:48:36 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2007.05.24 12:47:57 | 000,204,800 | ---- | C] () -- C:\Windows\System32\igfxCoIn_v1244.dll
[2006.11.02 17:33:31 | 000,632,850 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2006.11.02 17:33:31 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2006.11.02 17:33:31 | 000,126,998 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2006.11.02 17:33:31 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2006.11.02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006.11.02 14:47:37 | 000,271,424 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 12:33:01 | 000,591,262 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006.11.02 12:33:01 | 000,105,142 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006.11.02 12:25:21 | 000,249,856 | ---- | C] () -- C:\Windows\System32\igfxTMM.dll
[2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2008.10.28 20:15:42 | 000,000,000 | ---D | M] -- C:\Users\Ralf\AppData\Roaming\1&1
[2011.03.17 19:50:38 | 000,000,000 | ---D | M] -- C:\Users\Ralf\AppData\Roaming\856811
[2007.08.14 14:10:48 | 000,000,000 | ---D | M] -- C:\Users\Ralf\AppData\Roaming\DesktopSMS
[2007.10.26 14:08:10 | 000,000,000 | ---D | M] -- C:\Users\Ralf\AppData\Roaming\flightgear.org
[2007.07.24 17:11:02 | 000,000,000 | ---D | M] -- C:\Users\Ralf\AppData\Roaming\MAGIX
[2010.10.02 12:11:03 | 000,000,000 | ---D | M] -- C:\Users\Ralf\AppData\Roaming\TeamViewer
[2007.08.14 12:10:31 | 000,000,000 | ---D | M] -- C:\Users\Ralf\AppData\Roaming\Thunderbird
[2007.07.20 18:01:04 | 000,000,000 | ---D | M] -- C:\Users\Ralf\AppData\Roaming\TOSHIBA
[2010.12.24 10:59:37 | 000,000,000 | ---D | M] -- C:\Users\Ralf\AppData\Roaming\Visuser
[2011.10.17 08:06:40 | 000,032,514 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >
         
--- --- ---
__________________


Geändert von flipflopfloh (17.10.2011 um 10:45 Uhr)

Alt 17.10.2011, 16:49   #3
markusg
/// Malware-holic
 
Trojaner Bundespolizei Windows Vista - Standard

Trojaner Bundespolizei Windows Vista



auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [avupdate] C:\Users\Ralf\AppData\Roaming\mahmud.exe (Radialpoint Inc.)
:Files
C:\Users\Ralf\AppData\Roaming\mahmud.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne computer , öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html
__________________
__________________

Alt 18.10.2011, 10:33   #4
flipflopfloh
 
Trojaner Bundespolizei Windows Vista - Standard

Trojaner Bundespolizei Windows Vista



Lieben Dank für die Hilfe.

Ich habe mich gestern abend dazu entschlossen, dem Rechner ein neues Betriebssystem zu gönnen.

Lieben Dank aber für deine Hilfe!!!

Alt 18.10.2011, 14:18   #5
markusg
/// Malware-holic
 
Trojaner Bundespolizei Windows Vista - Standard

Trojaner Bundespolizei Windows Vista



wenn du magst, zeige ich dir noch wie du das neue system vernünftig absicherst.

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.10.2011, 18:20   #6
flipflopfloh
 
Trojaner Bundespolizei Windows Vista - Standard

Trojaner Bundespolizei Windows Vista



Sehr gerne.

Ich habe bis jetzt vista neu drauf, service pack 1 und 2 drauf, Avira installiert und spybot search&destroy installiert. derzeit zieht sich das system die ganzen updates runter (173 bis jetzt)..... Wenn du mir noch Tipps geben kannst für diesen potentiell gefährdeten Rechner..... gerne... ist nicht der erste Virus/Trojaner und Co den ich ihm da runterhole......

Geändert von flipflopfloh (18.10.2011 um 18:31 Uhr)

Alt 18.10.2011, 18:44   #7
markusg
/// Malware-holic
 
Trojaner Bundespolizei Windows Vista - Standard

Trojaner Bundespolizei Windows Vista



auf spybot kann man verzichten.
unter updates, optionen prüfe mal das automatische updates auf instalieren steht, suche täglich, und alles außer detailierte infos anzeigen angehakt ist. ok klicken.
http://www.trojaner-board.de/96344-a...-rechners.html
anmerkungen:
arbeite erst alles ab, was unter windows 7 bzw vista zu finden ist. aus dem bereich xp folgendes abarbeiten:
Datenausführungsverhinderung:
Maßnahmen für ALLE Windows-Versionen
danach dieses abarbeiten.
emsisoft
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
der blockiert alle von mir getesteten malware samples.
dies bedeutet natürlich nicht 100 %iger schutz, denn so was gibts nicht.
du hast da ne 30 tage test version zur verfügung, würd ich mir auf jeden fall mal ansehen.
als kostenlosen scanner würde ich avast empfehlen, ist nicht so gut wie emsisoft, aber meiner meinung nach das beste als kostenloser scanner.

als browser würde ich persönlich opera einsetzen. er hat erst mal mehr ausstattung als der ff, ist weniger fehler anfällig, heißt weniger lücken in den letzten jahren.
und er ist, meines erachtens nach, schneller.
nächste anmerkung:
sandboxie.
das programm Sandboxie ist ein programm, in dem du deinen browser isuliert vom system laufen lassen kannst.
da heut zu tage häufig legitime seiten ziehl von angriffen werden, um zb so viele user mit schadcode zu infizieren damit sie teil eines botnetzes werden, muss man, auch als privat person, seinen pc best möglich schützen.
dies haben wir natürlich bereits getan, in dem wir bekannte lücken schließen und weitere maßnamen getroffen haben.
trotz alle dem, kann immer mal was "durch rutschen".
wenn du jetzt deinen browser in der sandbox gestartet hast, rutscht diese malware nur dort rein, und durch unsere gewählten einstellungen, sollte sie im bestfall überhaupt nicht startenda sie zb durch das av geblockt wird, oder, falls doch, richtet sie in der sandbox keinen schaden an.

um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. ist die lizenz dein ganzes leben lang gültig, und du kannst die auf allen pcs nutzen, die sich in deinem haushalt befinden.
2. gibts, wenn du diese lizenz hast, noch einige nützliche funktionen, wie zb, erzwungener programm start.
dies bedeutet, wenn du zb bei erzwungener programm start deine browser, mail programme etc einträgst kannst du diese direkt über das entsprechende symbol in der sandbox starten lassen.
oder, wenn du einen link in einer mail bekommst und diesen anklickst, startet der browser ebenfalls in der sandbox.
wenn du die kostenlose version nutzt, startest du deinen browser absofort immer über das symbol "sandboxed web browser"
und alle programme die du noch in der sandbox laufen lassen willst mit rechtsklick und dann auf in Sandboxie starten klicken.
diese kann man also auch nutzen, um neue programme zu testen.

anmerkung 3:
gehe mal nach c:\benutzer.
da müsste jetzt ein ordner sein, der deinen vergebenen nutzer namen trägt.
dort klickst du mal drauf.
dann siehst du verschiedene ordner. wähle desktop
dort alles markieren, kopieren.
dann gehe wieder zurück auf benutzer,
und wähle
c:\benutzer\Default\desktop
dort rechtsklick, einfügen.
evtl das ganze wiederhohlen mit dem startmenü ordner.
damit siehst du alle verknüpfungen im eingeschrenktem nutzerkonto
wenn du jetzt alles umgesetzt hast.
bitte nur noch im eingeschrenkten konto arbeiten, da das admin konto nur für instalationen gedacht ist.
und, wie gesagt, nur noch in Sandboxie surfen, mit klick auf "sandboxed web browser"
ich weis, viel arbeit, bei fragen, stelle sie!
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Trojaner Bundespolizei Windows Vista
abgesicherten, anderen, befallen, computer, dateien, eingefangen, gen, installation, internet, meldung, modus, monitor, nicht mehr, not, ram, rechner, regeln, trojaner, vista, weiße, wiederholt, windows, windows vista, öffnen, öffnet



Ähnliche Themen: Trojaner Bundespolizei Windows Vista


  1. Bundespolizei-Trojaner eingefangen? (Vista)
    Plagegeister aller Art und deren Bekämpfung - 15.11.2014 (17)
  2. Windows Vista - Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 04.12.2013 (3)
  3. Bundespolizei Virus - Windows Vista
    Log-Analyse und Auswertung - 13.11.2013 (11)
  4. Windows Vista: Bundespolizei-Virus!
    Log-Analyse und Auswertung - 23.10.2013 (5)
  5. GVU Bundespolizei Trojaner in Vista, kein abgesicherter Start möglich
    Plagegeister aller Art und deren Bekämpfung - 10.09.2013 (6)
  6. Windows Vista: Fake-nachricht Bundespolizei - jetzt weißer Bildschirm beim hochfahren
    Log-Analyse und Auswertung - 07.08.2013 (15)
  7. GVU/Bundespolizei Trojaner - Windows Vista Home Version
    Log-Analyse und Auswertung - 15.10.2012 (3)
  8. bundespolizei trojaner auf Vista Rechner ;(
    Plagegeister aller Art und deren Bekämpfung - 08.10.2012 (2)
  9. Bundespolizei Trojaner Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 01.10.2012 (25)
  10. Bundespolizei-Trojaner auf Vista-PC
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (5)
  11. bundespolizei virus windows vista
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (1)
  12. Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (12)
  13. Bundespolizei Trojaner/ Vista
    Plagegeister aller Art und deren Bekämpfung - 26.03.2012 (21)
  14. Windows Vista Home Premium 32-Bit Trojaner Windows gesperrt 50€ zahlen.
    Log-Analyse und Auswertung - 23.01.2012 (1)
  15. Windows Vista 32bit von Bundespolizei uKash infiziert.
    Plagegeister aller Art und deren Bekämpfung - 12.10.2011 (10)
  16. Bundespolizei Trojaner (Vista 32bit)
    Plagegeister aller Art und deren Bekämpfung - 11.10.2011 (5)
  17. Bundespolizei-Trojaner Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 18.08.2011 (1)

Zum Thema Trojaner Bundespolizei Windows Vista - Hallo, Ein Bekannter hat mir seinen Rechner gebracht und hat sich den Trojaner mit dem weißen Monitor eingefangen, den ihr hier Bundespolizei Trojaner nennt. Bisher hat er Antivira (roter Regenschirm) - Trojaner Bundespolizei Windows Vista...
Archiv
Du betrachtest: Trojaner Bundespolizei Windows Vista auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.