Polizei-Trojaner Österreich mit Webcam, wie für immer entfernen?

swoffus · 18.07.2012, 15:24

Danke schon mal im vorhinein für Deine Bemühungen, mir zu helfen!

Ich habe Combofix laufen lassen und das ist das Ergebnis:
(hoffe ich habe alle Antivirusprogramme und ähnliches deaktivieren können - wie finde ich das heraus?)

Combofix:

Code:

ATTFilter

ComboFix 12-07-18.01 - Hauser 18.07.2012  15:33:14.1.3 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3326.2523 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Hauser\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-18 bis 2012-07-18  ))))))))))))))))))))))))))))))
.
.
2012-07-17 14:16 . 2012-07-17 14:16	--------	d-----w-	c:\programme\ESET
2012-07-17 12:59 . 2012-07-17 12:59	--------	d-----w-	c:\dokumente und einstellungen\Hauser\Anwendungsdaten\Malwarebytes
2012-07-17 12:59 . 2012-07-17 12:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-07-17 12:59 . 2012-07-17 12:59	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-07-17 12:59 . 2012-07-03 11:46	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-17 11:27 . 2012-07-17 11:27	--------	d-----w-	c:\windows\Sun
2012-07-05 14:08 . 2012-07-05 14:08	--------	d-----w-	c:\programme\ConvertHelper
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-22 07:31 . 2012-04-05 09:31	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-22 07:31 . 2011-10-17 10:25	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-18 10:31 . 2012-06-18 10:32	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-06-18 10:31 . 2012-06-18 10:32	476936	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-06-18 10:31 . 2011-10-17 10:26	472840	----a-w-	c:\windows\system32\deployJava1.dll
2012-06-13 13:55 . 2008-04-14 12:00	1866240	----a-w-	c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2008-04-14 12:00	1372672	----a-w-	c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2008-04-14 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2008-04-14 12:00	152576	----a-w-	c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2011-10-17 07:55	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2011-10-17 07:55	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2011-10-17 07:55	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 17:24	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2011-10-17 07:55	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2011-10-17 07:55	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-08-06 17:24	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 17:24	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-04-14 12:00	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 17:24	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2011-10-17 07:55	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2011-10-17 07:55	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-05-31 13:22 . 2008-04-14 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2008-04-14 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-11 14:40 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec
2012-05-05 03:14 . 2008-04-14 12:00	2150912	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2008-04-14 07:30	2029056	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2011-10-17 07:53	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-21 15:36 . 2012-06-14 15:24	85472	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-11-18 33697792]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-09-18 98304]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Gtwatch"="c:\windows\gtwatch.exe" [2001-08-24 45056]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-11-05 741376]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-10-30 77824]
"PSDiagnosticM"="c:\programme\Linksys Wireless-G Print Server\PSDiagnosticM.exe" [2008-04-24 327680]
"EvtMgr6"="c:\programme\Logitech\SetPointP\SetPoint.exe" [2011-10-07 1387288]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Hauser\Startmenü\Programme\Autostart\
ctfmon.lnk - c:\windows\system32\rundll32.exe [2008-4-14 33792]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Watch.lnk - c:\windows\twain_32\L3U16\WATCH.exe [2011-11-4 364544]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2011-09-27 19:03	66328	----a-w-	c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programme\\Linksys Wireless-G Print Server\\PSDiagnosticM.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:Brother Network Scanner
.
R2 LBeepKE;Logitech Beep Suppression Driver;c:\windows\system32\drivers\LBeepKE.sys [06.03.2012 14:15 12184]
R2 TeamViewer6;TeamViewer 6;c:\programme\TeamViewer\Version6\TeamViewer_Service.exe [03.11.2011 20:25 2358656]
R3 GT681x;%GrandTechICNameNT%;c:\windows\system32\drivers\gt681x.sys [04.11.2011 19:15 18120]
R3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;c:\windows\system32\drivers\LEqdUsb.sys [02.09.2011 08:31 42648]
R3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;c:\windows\system32\drivers\LHidEqd.sys [02.09.2011 08:31 12184]
R3 lknuhst;Linksys Network USB Host Controller;c:\windows\system32\drivers\lknuhst.sys [07.11.2011 17:18 12032]
R3 LKNUHUB;Linksys Network USB Root Hub;c:\windows\system32\drivers\lknuhub.sys [07.11.2011 17:18 39424]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [17.10.2011 10:44 1425280]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [04.06.2012 16:28 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [04.06.2012 16:28 136176]
S3 LKNUCMP;Linksys Network USB Composite Device;c:\windows\system32\drivers\lknucmp.sys [07.11.2011 17:18 14848]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [14.06.2012 17:24 113120]
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-06-04 14:28]
.
2012-07-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-06-04 14:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.at/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{AE0561C8-544A-4A1D-9326-A77E7867CF94}: NameServer = 10.0.1.254
FF - ProfilePath - c:\dokumente und einstellungen\Hauser\Anwendungsdaten\Mozilla\Firefox\Profiles\kxekx8zf.default\
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-LightScribe Control Panel - c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-18 15:34
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
.
- - - - - - - > 'explorer.exe'(3900)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-07-18  15:35:44
ComboFix-quarantined-files.txt  2012-07-18 13:35
.
Vor Suchlauf: 6 Verzeichnis(se), 202.865.885.184 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 203.218.948.096 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - DA2B971C731EC8514E6BDBB3A0DA9268

Hoffe es passt so!

Beim Neustart ist dieses Problem aufgetaucht - kann man das auch irgendwie beheben?
Meldung:
Fehler beim Laden von C:\DOKUM~1\Hauser\LOKALE~1\Temp\wpbt0.dll
Das angegebene Modul wurde nicht gefunden.

Weiß nicht/noch nicht ob das umbedingt benötigt wird...
Hoffe Du (passt das mit dem du?) kannst mir da auch weiterhelfen, denn ich bin auf dem
Gebiet nicht wirklich versiert.

Polizei-Trojaner Österreich mit Webcam, wie für immer entfernen?

Log-Analyse und Auswertung: Polizei-Trojaner Österreich mit Webcam, wie für immer entfernen?

Polizei-Trojaner Österreich mit Webcam, wie für immer entfernen?

Ähnliche Themen: Polizei-Trojaner Österreich mit Webcam, wie für immer entfernen?