Virus eingefangen - sobald PC ins Internet will kommt Bundespolizei

Tang0 · 08.07.2012, 10:11

Hallo Trojaner-Team,

gestern Abend rief mich mein Vater an, er hätte auf einmal eine Nachricht von der Bundespolizei erhalten, er solle 100 Euro bezahlen. Diese Nachricht würde auch nicht mehr weggehen...auch nicht nach einem Neustart.

Auf meine Bitte hin, mal den Task-Manager zu öffnen, meinte er, das geht nicht. Nichts würde mehr gehen. Ich habe ihm gesagt er soll erst mal das Netzwerkkabel ziehen und neu starten. Beim folgenden Neustart, kam das Fenster nicht wieder. Also kommt es erst, wenn sich eine Verbindung ins Internet aufgebaut hat.

Wo er überall rumgesurft ist konnte er mir leider nicht genau sagen...jaja

Nun hat er mir gesagt, er wolle dann halt das Geld zahlen und dann wäre bestimmt alles wieder gut...jo...hab ich ihm erst mal ausgeredet.

Ich habe nach einigem Suchen hier im Board einen Thread entdeckt, wo jemand genau das selbe Problem hat...ganz genau das Selbe.

http://www.trojaner-board.de/117601-...ornoseite.html

Leider wird in diesem Thread dem Thread-Ersteller auf genau sein Problem eine Datei "gebastelt", die er benutzen soll.

Zitat:

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:

FILELOOK::
c:\windows\system32\corpol.dll
c:\windows\system32\ieencode.dll
c:\windows\system32\inetcpl.cpl

Speichere dies als CFScript.txt auf Deinem Desktop.

Ich hoffe, es gibt evtl. auch einen Weg ohne dieses Textfile, da ich nicht weiß, wann ich mal wieder zu meinem Vater komme und er das alleine nicht hinbekommt!!! Definitiv nicht! Er nutzt den PC nur um bissi zu spielen, Korrespondenz und surfen. Von den Innereien hat er keinen Plan.

Ich hoffe echt ihr könnt mir da helfen. Alle nötigen Programm (Scanner etc.) habe ich mir rausgeschrieben und könnte sie ihm mitteilen.

Liebe sonntägliche Grüße
Tang0

EDIT: Hier noch ein zusammengestückeltes Bild das er mir hat zukommen lassen:

So, ich hab mir jetzt den PC meines Vaters abgeholt und ihn aufgebaut.
Combofix ist gerade fertig und ich hatte vorher versucht die ASK-Toolbar zu deinstallieren...das geht aber nicht! Bekomme immer gesagt, ich solle den Internet Explorer schliessen, der aber gar nicht auf ist.
Task Manager geht auch nicht, also kann ich den Prozess nicht killen.

Anbei das ComBo.txt File zur Auswertung

Code:

ATTFilter

ComboFix 12-07-07.04 - Bernd 08.07.2012  14:24:03.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2741 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Bernd\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Bernd\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokume~1\Bernd\LOKALE~1\Temp\glom0_og.exe
c:\dokumente und einstellungen\Bernd\Lokale Einstellungen\Temp\glom0_og.exe
c:\windows\system32\appconf32.exe
c:\windows\system32\kock
c:\windows\system32\UAs
c:\windows\system32\UAs\IEXPLORE.EXE_UAs001.dat
c:\windows\system32\UAs\IEXPLORE.EXE_UAs002.dat
c:\windows\system32\xmldm
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-08 bis 2012-07-08  ))))))))))))))))))))))))))))))
.
.
2012-07-08 12:07 . 2012-07-08 12:07	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2012-07-08 12:01 . 2012-07-08 12:01	--------	d-----w-	c:\programme\VS Revo Group
2012-07-07 14:35 . 2012-07-07 14:36	14664	----a-w-	c:\windows\stinger.sys
2012-07-07 14:35 . 2012-07-07 14:35	159608	----a-w-	c:\windows\system32\mfevtps.exe.5eea.deleteme
2012-07-07 11:39 . 2012-07-07 14:44	--------	d-----w-	c:\programme\stinger
2012-07-06 14:03 . 2012-07-06 14:03	--------	d-----w-	c:\windows\system32\13001.017
2012-07-06 12:12 . 2012-07-06 12:12	179904	----a-w-	c:\windows\system32\AcroIEHelpe161.dll.vir
2012-07-05 13:44 . 2012-07-05 13:44	--------	d-----w-	c:\windows\system32\13001.016
2012-07-05 08:03 . 2012-07-05 08:03	--------	d-----w-	c:\windows\system32\13001.015
2012-07-04 11:39 . 2012-07-04 11:39	--------	d-----w-	c:\windows\system32\13001.014
2012-07-04 11:39 . 2012-07-04 11:39	264	----a-w-	c:\windows\system32\srvblck5.tmp
2012-07-04 09:30 . 2012-07-04 09:30	--------	d-----w-	c:\dokumente und einstellungen\Bernd\Lokale Einstellungen\Anwendungsdaten\Seppia
2012-07-04 09:21 . 2012-07-04 09:21	--------	d-----w-	c:\programme\Online Games Manager
2012-06-23 11:00 . 2012-06-23 11:00	--------	d-----w-	c:\dokumente und einstellungen\Bernd\Anwendungsdaten\MumboJumbo
2012-06-19 14:45 . 2012-06-19 14:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Particles
2012-06-19 14:45 . 2012-06-19 14:49	--------	d-----w-	c:\dokumente und einstellungen\Bernd\Lokale Einstellungen\Anwendungsdaten\Murder on the Titanic
2012-06-14 08:23 . 2012-05-11 14:40	521728	-c----w-	c:\windows\system32\dllcache\jsdbgui.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-23 11:35 . 2012-03-29 14:03	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-23 11:35 . 2012-03-29 14:03	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-02 13:19 . 2009-12-28 21:23	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-12-28 21:23	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-12-28 21:23	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 17:24	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-12-28 21:23	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-12-28 21:23	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-08-06 17:24	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 17:24	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-04-14 12:00	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 17:24	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-12-28 21:23	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-12-28 21:23	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-05-31 13:22 . 2008-04-14 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2008-04-14 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2008-04-14 12:00	1863296	----a-w-	c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2008-04-14 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2008-04-14 12:00	385024	----a-w-	c:\windows\system32\html.iec
2012-05-05 03:14 . 2008-04-14 12:00	2150912	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2008-04-14 07:30	2029056	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2009-12-28 21:20	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-04-27 08:20 . 2012-05-28 14:48	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-04-24 22:32 . 2012-05-28 14:48	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-04-16 19:17 . 2012-05-28 14:48	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-06-17 07:40 . 2011-04-24 10:46	85472	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2012-01-04 18:20	1514152	----a-w-	c:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2012-01-04 1514152]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2012-01-04 1514152]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
"ccleaner"="c:\programme\CCleaner\CCleaner.exe" [2010-06-23 1699128]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-16 13680640]
"nwiz"="nwiz.exe" [2009-01-16 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-16 86016]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"SetDefPrt"="c:\programme\Brother\Brmfl04a\BrStDvPt.exe" [2004-05-25 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2004-07-20 851968]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-09-12 5082488]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-09-12 357800]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"Reader Application Helper"="c:\programme\Sony\ReaderDesktop\appHelper\ReaderAppHelper.exe" [2011-11-23 892928]
"BrStsMon00"="c:\programme\Browny02\Brother\BrStMonW.exe" [2010-06-10 2621440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Bernd\Startmenü\Programme\Autostart\
ctfmon.lnk - c:\windows\system32\rundll32.exe [2008-4-14 33792]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2010-4-22 819200]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1und1Dispatcher]
2011-07-13 14:24	216432	----a-w-	c:\programme\1und1Softwareaktualisierung\SchedDispatcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater]
2012-01-04 18:20	1391272	----a-w-	c:\programme\Ask.com\Updater\Updater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-18 13:02	254696	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Opera\\opera.exe"=
.
R0 tdrpman251;Acronis Try&Decide and Restore Points filter (build 251);c:\windows\system32\drivers\tdrpm251.sys [22.04.2010 19:55 902432]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [28.05.2012 16:48 36000]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [22.04.2010 18:33 13696]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [22.04.2010 19:55 2326920]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.05.2012 16:48 86224]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [28.05.2012 16:48 465360]
R2 ogmservice;Online Games Manager;c:\programme\Online Games Manager\ogmservice.exe [08.06.2012 09:02 521344]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [22.04.2011 14:21 92592]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [19.11.2010 15:31 1051968]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [22.04.2010 19:55 159168]
R3 BrYNSvc;BrYNSvc;c:\programme\Browny02\BrYNSvc.exe [19.02.2012 16:40 245760]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [07.10.2009 12:29 30880]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 13:41 10064]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [29.03.2012 16:03 250056]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.12.2009 23:48 1684736]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [27.04.2012 12:21 113120]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - APPMGMT
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-08 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-29 11:35]
.
2012-07-01 c:\windows\Tasks\Defraggler Volume C Task.job
- c:\programme\Defraggler\df.exe [2012-01-16 14:37]
.
2012-07-08 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2012-01-04 18:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.Csl-Computer.com
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Bernd\Anwendungsdaten\Mozilla\Firefox\Profiles\m0pw6ncu.default\
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-08 14:30
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1156)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2012-07-08  14:35:09
ComboFix-quarantined-files.txt  2012-07-08 12:35
.
Vor Suchlauf: 6 Verzeichnis(se), 474.496.778.240 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 474.448.384.000 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - E6FE71740D3689103A6CC76B253E870C

Nachdem ich nun ComboFix habe durchlaufen lassen, habe ich festgestellt, dass ich den Task Manager wieder öffnen kann!
Anbei ein Bild davon...vielleicht erkennt der eine oder andere ja schon etas

ANMERKUNG: Eben liess sich auch die Ask.Toolbar exe deinstallieren...das geht nun nach ComboFix! Hurra...Teilerfolge

Eben hat der PC noch etwas ausgespuckt, aber ich habe die Datei aus diesem temp. Verzeichnis gelöscht in der Hoffnung, dass das ok war...hmmm

Bild:

Virus eingefangen - sobald PC ins Internet will kommt Bundespolizei

Plagegeister aller Art und deren Bekämpfung: Virus eingefangen - sobald PC ins Internet will kommt Bundespolizei

Virus eingefangen - sobald PC ins Internet will kommt Bundespolizei

Ähnliche Themen: Virus eingefangen - sobald PC ins Internet will kommt Bundespolizei