Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bundespolizei - Computer wurde gesperrt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.08.2012, 08:25   #31
AHT
/// Helfer-Team
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



Das jetzt noch einmal tun:
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Packe alle 14 Dateien von dort in eine ZIP und lade die ZIP bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink hier. Bei Fileupload erhälst du auch einen Löschlink.
  • Optional kannst du auch die ZIP als Anhang deines Forenthreads hier posten - auch das müsste später wieder von dir löschbar sein.

Wichtig: Der Scanner darf nicht in der Sandbox von Avast laufen!

Eine Frage: Hattest du den Arbeitsstationsdienst (Lanmanworkstation) evtl. deaktiviert?
Wenn ja, warum?

Alt 03.08.2012, 10:32   #32
nick25
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



hier der log:

hxxp://www.file-upload.net/download-4629774/PPF_Scan1.rar.html

Zitat:
Eine Frage: Hattest du den Arbeitsstationsdienst (Lanmanworkstation) evtl. deaktiviert?
Wenn ja, warum?
habe nichts gemacht. ich weiß nichmal was die Lanmanworkstation ist.

kann ich den ordner PPFS_Sicherung löschen?
__________________


Geändert von nick25 (03.08.2012 um 10:43 Uhr)

Alt 03.08.2012, 10:42   #33
AHT
/// Helfer-Team
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



Sieht schon besser aus.
Das nun tun:
  • Rechner neu starten.
  • Von hier Lanmancheck.exe herunterladen und ausführen.
  • Achte darauf, das der Test nicht in der Sandbox läuft.
  • Ergebnis des Scans markieren, mit Rechtsklick kopieren und hier einfügen.

Zum Schluss den Ordner löschen, jetzt noch nicht.
__________________

Alt 03.08.2012, 11:03   #34
nick25
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



log:

erledigt[/CODE]

Geändert von nick25 (03.08.2012 um 11:49 Uhr)

Alt 03.08.2012, 11:12   #35
AHT
/// Helfer-Team
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



Öffne mal die Oberfläche deines Avast Virenscanners. Schau da mal in die Quarantäne und die LOG-Dateien der Scans ob du folgende Datei dort findest: xptytqqw.tsp

Ich möchte Wissen, wann die erkannt bzw. gelöscht wurde.
Desweiteren schau einmal nach, ob du eine Datei mit d3d vorne im Dateinamen in der Quarantäne findest. Die hat die Dateiendung .DLL.
Einmal melden, ob du die findest.

Hattest du den Rechner bereits einmal vorher wegen Virenbefalls bereinigen lassen (zwischen März und Juni)? Wenn ja, wann war das in etwa?


Alt 03.08.2012, 11:29   #36
nick25
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



es steht nichts von der datei drin.

screen: hxxp://www.file-upload.net/download-4629923/virus.jpg.html

durchsucht hatte ich den rechner am 30 und 31.07.12 jewals schnelle überprüfung

Alt 03.08.2012, 11:35   #37
AHT
/// Helfer-Team
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



Edit -> Blödsinn - falsches Datum gesehen... (bin ein Trottel).

Geändert von AHT (03.08.2012 um 11:59 Uhr)

Alt 03.08.2012, 11:39   #38
nick25
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



nee, ich habe nich weiter mit den trojaner beschäftig. habe erlich gesagt nichts gemerkt nur das er vieleicht langsamer ist und das habe ich auf meinem vermüllten rechner geschoben. ich war erst hier als der scheiß trojaner mein rechner gesperrt hat.

Alt 03.08.2012, 11:57   #39
AHT
/// Helfer-Team
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



Den Trojaner Mediyes schleppst du wie es aussieht schon sehr lange mit dir rum - unter Umständen bereits seit November 2011.
Es wurde wohl versucht, dir das hier unter zu schieben: Encyclopedia entry: Trojan:Win32/Mediyes.D - Learn more about malware - Microsoft Malware Protection Center
Ob das komplett erfolgreich in der ganzen Zeit geglückt ist, kann ich nicht sagen. Gehe aber erst mal sicherheitshalber davon aus, dass dir über mehre Monate Daten gestohlen wurden.
Deine Systemwiederherstellung ist komplett verseucht. Deaktiviere die Sytemwiederherstellung und aktiviere sie dann wieder:
Windows XP - Die Systemwiederherstellung komplett abschalten
Das hat den Sinn, alle alten Systemwiederherstellungspunkte zu löschen.

Lasse Avast dein komlettes System scannen - poste das LOG.
Lade dir dann von hier den Avira DE-Cleaner herunter. Mache einen kompletten Systemscan und poste wiederum das LOG. Den DE-Cleaner kannst du nach dem Scan deinstallieren.

Alt 03.08.2012, 12:08   #40
nick25
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



ok, das dauert jetzt ein parr stunden. ich melde mich.

Alt 03.08.2012, 12:46   #41
AHT
/// Helfer-Team
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



Zitat:
habe nichts gemacht. ich weiß nichmal was die Lanmanworkstation ist.
Deine Antwort passt mir gar nicht in den Kram.
Irgendjemand hat den kompletten Schlüssel dieses Dienstes entfernt (oder unsichtbar gemacht) und kurz vor meinem Fixen wieder hinzugefügt.
Wenn du das nicht warst, war es die DLL, die ich entfernt habe (Verstecken des Dienstes vor dem OTL-Scan) - oder es läuft noch ein RootKit auf dem Rechner. Anders kann ich mir das im Augenblick nicht erklären.

...oder aber Avast hat den Schlüssel gelöscht und die DLL hat ihn wieder hergestellt...
Ich stelle mal eine Anfrage im Forum von Avast...

Alt 04.08.2012, 07:01   #42
nick25
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



die alten sicherheitswiederherstellungen sind gelöscht.

avast hat nix besonderes angezeigt ausser in dateien wo 100%tig kein virus drin sein kann.

und hier der log von avira: hxxp://www.file-upload.net/download-4632716/avira-log.txt.html

Alt 04.08.2012, 09:25   #43
AHT
/// Helfer-Team
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



Ich bin mir ziemlich sicher, das wir Mediyes jetzt komplett getötet haben.
Unter anderem während unserer Arbeibt hier hat Mediyes versucht, sich nachzuladen. Deswegen ist auch der Lanmancheck-Test angesprungen.
Ich habe bei dir daraufhin eine DLL und einen Registryschlüssel gelöscht. Diese DLL und der Schlüssel befinden sich im Augenblick im Ordner C:\PPFS_Sicherung - den Ordner jetzt löschen, nichts im Ordner anklicken.
Wegen dieser DLL bin ich eigentlich nur auf dich aufmerksam geworden.
Ich habe bislang noch keinen Rechner gesehen, bei dem diese DLL installiert war und der nicht mit Mediyes infiziert war.
Diese DLL wird zur Zeit nicht von Virenscannern als Malware erkannt und wird auch in näherer Zukunft nicht erkannt werden.

Ich möhte dich jetzt um deine Mithilfe bitten - und das auch in deinem eigenen Interesse. Komme bitte einmal pro Woche wieder hierhin zurück und mache das:
  • Von hier Lanmancheck.exe herunterladen und ausführen.
  • Achte darauf, das der Test nicht in der Sandbox läuft.
  • Ergebnis des Scans markieren, mit Rechtsklick kopieren und hier einfügen.
Der Scan verrät nichts über deinen Rechner - lasse die LOGs hier stehen. Zeigt der Scan irgendetwas anderes in der Messagebox an als "Nicht infiziert", schreib mir zusätzlich eine PM.
Tue das bis Anfang Oktober. Fange heute damit an.
Ich möchte sicher gehen, das wir das erwischt haben, was die Mediyes DLL im Lanmanworkstation Schlüssel nachlädt.

Geändert von AHT (04.08.2012 um 09:35 Uhr)

Alt 04.08.2012, 12:05   #44
nick25
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



ok, mache ich. ist das eine neue version von Mediyes? schön wenn ich helfen kann. ich poste jede woche die logs.

vielen dank für deine hilfe.

Code:
ATTFilter
DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\WINDOWS\System32\wkssvc.dll
Signatur der DLL: Microsoft Windows Component Publisher
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 1869B14B06B44B44AF70548E1EA3303F

DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll
Geladene DLL: C:\WINDOWS\System32\dnsrslvr.dll
Signatur der DLL: Microsoft Windows Component Publisher
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 407F3227AC618FD1CA54B335B083DE07

Alles OK, der Rechner ist nicht vom Lanmanworkstation Trojaner befallen!
         

Alt 04.08.2012, 14:22   #45
AHT
/// Helfer-Team
 
Bundespolizei - Computer wurde gesperrt - Standard

Bundespolizei - Computer wurde gesperrt



Ist eine neue Version von Mediyes - nicht die mit dem von Conpavi signierten Installer.

Antwort

Themen zu Bundespolizei - Computer wurde gesperrt
.com, 32 bit, 7-zip, antivirus, avira, bho, bonjour, c:\windows\system32\cmd.exe, computer, downloader, driver genius, entfernen, error, firefox, flash player, focus, free download, gruppe, helper, hijack, hijackthis, hotspot, hotspot shield, install.exe, launch, logfile, msiinstaller, object, plug-in, problem, realtek, scan, security, software, starmoney, teamspeak, viren, visual studio, windows, windows internet, windows xp



Ähnliche Themen: Bundespolizei - Computer wurde gesperrt


  1. Ihr Computer wurde automatisch gesperrt Bundespolizei
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (2)
  2. Ihr Computer wurde gesperrt - Bundespolizei - UKASH
    Plagegeister aller Art und deren Bekämpfung - 09.11.2012 (22)
  3. Bundespolizei Virus:Ihr Computer wurde gesperrt
    Plagegeister aller Art und deren Bekämpfung - 23.10.2012 (13)
  4. Bundespolizei - Computer wurde gesperrt
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (6)
  5. Ihr Computer wurde gesperrt - Bundespolizei
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (2)
  6. Bundespolizei- Ihr Computer wurde gesperrt
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (6)
  7. Computer wurde gesperrt von der Bundespolizei
    Plagegeister aller Art und deren Bekämpfung - 09.09.2012 (2)
  8. Bundespolizei- Ihr Computer wurde gesperrt
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (7)
  9. BUNDESPOLIZEI - Ihr Computer wurde gesperrt
    Log-Analyse und Auswertung - 22.08.2012 (12)
  10. Ihr Computer wurde gesperrt - Bundespolizei Trojaner
    Log-Analyse und Auswertung - 21.08.2012 (10)
  11. BUNDESPOLIZEI / Ihr Computer wurde gesperrt
    Plagegeister aller Art und deren Bekämpfung - 03.08.2012 (31)
  12. Bundespolizei (Österreich) - Ihr Computer wurde gesperrt
    Log-Analyse und Auswertung - 20.07.2012 (9)
  13. Ihr Computer wurde gesperrt Bundespolizei
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  14. Bundespolizei - Computer wurde gesperrt
    Log-Analyse und Auswertung - 09.07.2012 (1)
  15. Bundespolizei - Ihr Computer wurde gesperrt, Ukash
    Log-Analyse und Auswertung - 06.07.2012 (32)
  16. Ihr computer wurde gesperrt - bundespolizei - ukash
    Plagegeister aller Art und deren Bekämpfung - 02.07.2012 (3)
  17. BUNDESPOLIZEI - Ihr Computer wurde gesperrt
    Anleitungen, FAQs & Links - 29.05.2012 (0)

Zum Thema Bundespolizei - Computer wurde gesperrt - Das jetzt noch einmal tun: PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm , es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen - Bundespolizei - Computer wurde gesperrt...
Archiv
Du betrachtest: Bundespolizei - Computer wurde gesperrt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.