| |
| |||||||
Log-Analyse und Auswertung: Polizeivirus Österreich vom 2.8.12Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
03.08.2012, 10:02
| #1 |
 |  Polizeivirus Österreich vom 2.8.12 Hallo liebes Trojaner Board Team, Ich habe mir gestern den Polizeivirus eingefangen. Nachdem ich einige andere Erfahrungsberichte mit diesem Trojaner in eurem Forum gelesen habe, habe ich gestern Abend noch einen Quickscan mit Malwarebytes und heute Morgen einen vollständigen Scan mit OTL durchgeführt. Die Ergebnisse befinden sich im Anhang. Vielen Dank für eure Hilfe Alex |
|
03.08.2012, 14:15
| #2 |
| /// Helfer-Team  | Polizeivirus Österreich vom 2.8.12 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten. 2. Schritt Systemscan mit OTL (bebilderte Anleitung)
__________________ |
|
03.08.2012, 18:27
| #3 |
| | Polizeivirus Österreich vom 2.8.12 hi t'john,
__________________danke erstmal für die schnelle antwort. anbei die berichte der scans von Malwarebytes und otl. da ich Malwarebytes nicht aktualisieren konnte habe ich die mbam-rules.exe datei von dieser homepage verwendet. otl habe ich wie in deinem post angegeben durchgeführt aber nur ein logfile erhalten. die nicht im post angegebenen einstellungen von otl habe ich nicht verändert. alex |
|
04.08.2012, 15:44
| #4 |
| /// Helfer-Team | Polizeivirus Österreich vom 2.8.12 Dein Rechner hat eine sehr Spezielle Infektion! Ein Kollege wird sich hier dazu melden  Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL
SRV:64bit: - (McAfee SiteAdvisor Service) -- C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe /McCoreSvc File not found
SRV:64bit: - (LanmanWorkstation) -- C:\Windows\SysNative\aptweznc9.dll (Works Ltd.)
SRV - (Update-Service) -- C:\Windows\SysWOW64\UpdSvc.dll (Joosoft.com GmbH)
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=98946257-e6c7-11e0-a568-4487fca65022&q={searchTerms}
IE - HKLM\..\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}: "URL" = http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25455
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25455
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.gigabase.ru/search?q={searchTerms}&clid=1
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}: "URL" = http://findgala.com/?&uid=279&q={searchTerms}
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes\{EB12F0E4-2A10-4E96-93FF-0FE28C636131}: "URL" = http://startsear.ch/?aff=1&q={searchTerms}
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search the web"
FF - prefs.js..browser.search.defaulturl: "http://www.gigabase.ru/search?clid=1&q="
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..browser.search.selectedEngine: "Search the web"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.derstandard.at"
FF - prefs.js..keyword.URL: "http://www.gigabase.ru/search?clid=1&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_270.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
CHR - Extension: Modul zur Link-Untersuchung = C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 2
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O8:64bit: - Extra context menu item: Web-Suche - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Web-Suche - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000010 [] - C:\Windows\system32\d3dyvtieg.dll File not found
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2002.10.16 14:56:50 | 000,000,036 | RH-- | M] () - K:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\Shell - "" = AutoRun
O33 - MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\Shell\AutoRun\command - "" = L:\LaunchU3.exe -a
O33 - MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\Shell - "" = AutoRun
O33 - MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\Shell\AutoRun\command - "" = N:\LaunchU3.exe -a
[2012.08.03 19:03:56 | 000,000,310 | -HS- | M] () -- C:\Windows\tasks\Zyhvtaeh.job
[2012.08.03 19:03:56 | 000,000,296 | ---- | M] () -- C:\Windows\tasks\BearShareNAG.job
[2012.08.03 18:37:07 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.08.03 18:19:22 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000UA.job
[2012.08.02 21:19:00 | 000,001,064 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000Core.job
[2012.07.22 22:07:38 | 000,000,446 | -H-- | M] () -- C:\Windows\tasks\Norton Security Scan for Alex.job
:Files
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! |
|
04.08.2012, 18:50
| #5 |
| /// Helfer-Team  | Polizeivirus Österreich vom 2.8.12 t'john hat mich informiert, weil er bei dir eine Mediyes Infektion erkannt hat. Du hast den Trojaner mit ziemlicher Sicherheit schon recht lange auf dem Rechner. Es kann sein, dass du sehr plötzlich nicht mehr ins Internet kommst - ist das der Fall, probiere den 64Bit Internetexplorer - der geht dann noch. Hast du das Script von t'john ausgeführt, hier melden. |
Linear-Darstellung
