Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Polizeivirus Österreich vom 2.8.12

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.08.2012, 11:02   #1
kasta63
 
Polizeivirus Österreich vom 2.8.12 - Beitrag

Polizeivirus Österreich vom 2.8.12



Hallo liebes Trojaner Board Team,

Ich habe mir gestern den Polizeivirus eingefangen.
Nachdem ich einige andere Erfahrungsberichte mit diesem Trojaner in eurem Forum gelesen habe, habe ich gestern Abend noch einen Quickscan mit Malwarebytes und heute Morgen einen vollständigen Scan mit OTL durchgeführt. Die Ergebnisse befinden sich im Anhang.

Vielen Dank für eure Hilfe
Alex

Alt 03.08.2012, 15:15   #2
t'john
/// Helfer-Team
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12





1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt
Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 03.08.2012, 19:27   #3
kasta63
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



hi t'john,

danke erstmal für die schnelle antwort.
anbei die berichte der scans von Malwarebytes und otl. da ich Malwarebytes nicht aktualisieren konnte habe ich die mbam-rules.exe datei von dieser homepage verwendet. otl habe ich wie in deinem post angegeben durchgeführt aber nur ein logfile erhalten. die nicht im post angegebenen einstellungen von otl habe ich nicht verändert.

alex
__________________

Alt 04.08.2012, 16:44   #4
t'john
/// Helfer-Team
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



Dein Rechner hat eine sehr Spezielle Infektion!
Ein Kollege wird sich hier dazu melden


Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
ATTFilter
:OTL
SRV:64bit: - (McAfee SiteAdvisor Service) -- C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe /McCoreSvc File not found 
SRV:64bit: - (LanmanWorkstation) -- C:\Windows\SysNative\aptweznc9.dll (Works Ltd.) 
SRV - (Update-Service) -- C:\Windows\SysWOW64\UpdSvc.dll (Joosoft.com GmbH) 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=98946257-e6c7-11e0-a568-4487fca65022&q={searchTerms} 
IE - HKLM\..\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}: "URL" = http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25455 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25455 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.gigabase.ru/search?q={searchTerms}&clid=1 
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}: "URL" = http://findgala.com/?&uid=279&q={searchTerms} 
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes\{EB12F0E4-2A10-4E96-93FF-0FE28C636131}: "URL" = http://startsear.ch/?aff=1&q={searchTerms} 
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - prefs.js..browser.search.defaultengine: "Web Search" 
FF - prefs.js..browser.search.defaultenginename: "Search the web" 
FF - prefs.js..browser.search.defaulturl: "http://www.gigabase.ru/search?clid=1&q=" 
FF - prefs.js..browser.search.order.1: "Search the web" 
FF - prefs.js..browser.search.selectedEngine: "Search the web" 
FF - prefs.js..browser.search.useDBForOrder: true 
FF - prefs.js..browser.startup.homepage: "www.derstandard.at" 
FF - prefs.js..keyword.URL: "http://www.gigabase.ru/search?clid=1&q=" 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_270.dll File not found 
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
CHR - Extension: Modul zur Link-Untersuchung = C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\ 
CHR - Extension: SweetIM for Facebook = C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of 
CHR - Extension: SweetIM for Facebook = C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\ 
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. 
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe () 
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 2 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found 
O8:64bit: - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found 
O8:64bit: - Extra context menu item: Web-Suche - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found 
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found 
O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found 
O8 - Extra context menu item: Web-Suche - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found 
O10 - NameSpace_Catalog5\Catalog_Entries\000000000010 [] - C:\Windows\system32\d3dyvtieg.dll File not found 
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2002.10.16 14:56:50 | 000,000,036 | RH-- | M] () - K:\autorun.inf -- [ NTFS ] 
O33 - MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\Shell - "" = AutoRun 
O33 - MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\Shell\AutoRun\command - "" = L:\LaunchU3.exe -a 
O33 - MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\Shell - "" = AutoRun 
O33 - MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\Shell\AutoRun\command - "" = N:\LaunchU3.exe -a 

[2012.08.03 19:03:56 | 000,000,310 | -HS- | M] () -- C:\Windows\tasks\Zyhvtaeh.job 
[2012.08.03 19:03:56 | 000,000,296 | ---- | M] () -- C:\Windows\tasks\BearShareNAG.job 


[2012.08.03 18:37:07 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job 
[2012.08.03 18:19:22 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000UA.job 
[2012.08.02 21:19:00 | 000,001,064 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000Core.job 
[2012.07.22 22:07:38 | 000,000,446 | -H-- | M] () -- C:\Windows\tasks\Norton Security Scan for Alex.job 
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________
Mfg, t'john
Das TB unterstützen

Alt 04.08.2012, 19:50   #5
AHT
/// Helfer-Team
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



t'john hat mich informiert, weil er bei dir eine Mediyes Infektion erkannt hat. Du hast den Trojaner mit ziemlicher Sicherheit schon recht lange auf dem Rechner. Es kann sein, dass du sehr plötzlich nicht mehr ins Internet kommst - ist das der Fall, probiere den 64Bit Internetexplorer - der geht dann noch.

Hast du das Script von t'john ausgeführt, hier melden.


Alt 09.08.2012, 00:18   #6
kasta63
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



hallo
erst einmal vielen dank dass du mir hilfst.
sorry dass ich mich erst heute melde aber es war etwas schwierig einen anderen pc zu organisieren und aus diesem grund konnte ich erst heute ins internet und den scan dann zu hause durchführen.
ich bin mit dem infizierten pc noch nicht ins internet gegangen.

anbei noch das logfile.

lg alex

Code:
ATTFilter
��All processes killed

========== OTL ==========

Service McAfee SiteAdvisor Service stopped successfully!

Service McAfee SiteAdvisor Service deleted successfully!

File  C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe /McCoreSvc File not found not found.

Error: Unable to stop service LanmanWorkstation!

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation deleted successfully.

C:\Windows\SysNative\aptweznc9.dll moved successfully.

Service Update-Service stopped successfully!

Service Update-Service deleted successfully!

C:\Windows\SysWOW64\UpdSvc.dll moved successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}\ not found.

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!

HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}\ not found.

Registry key HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EB12F0E4-2A10-4E96-93FF-0FE28C636131}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB12F0E4-2A10-4E96-93FF-0FE28C636131}\ not found.

HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!

Prefs.js: "Web Search" removed from browser.search.defaultengine

Prefs.js: "Search the web" removed from browser.search.defaultenginename

Prefs.js: "hxxp://www.gigabase.ru/search?clid=1&q=" removed from browser.search.defaulturl

Prefs.js: "Search the web" removed from browser.search.order.1

Prefs.js: "Search the web" removed from browser.search.selectedEngine

Prefs.js: true removed from browser.search.useDBForOrder

Prefs.js: "www.derstandard.at" removed from browser.startup.homepage

Prefs.js: "hxxp://www.gigabase.ru/search?clid=1&q=" removed from keyword.URL

64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\zh-Hant folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\zh folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\vi folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\tr folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\sv folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\sr-Latn folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\sr-Cyrl folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\sr folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ru folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ro folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\pt-BR folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\pt folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\pl folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\nl folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\nb folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\lv folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\lt folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ko folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\kk folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ja folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\it folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\id folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\hu folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\fr folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\fi folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\fa folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\et folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\es-MX folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\es folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\en folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\el folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\de folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\da folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\cs folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\bg folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ar folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\plugin folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\images folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\content_scripts folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\background folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0 folder moved successfully.

File C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of not found.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0 folder moved successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.

Registry value HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DivXUpdate deleted successfully.

C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe moved successfully.

Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.

Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.

64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\E&xport to Microsoft Excel\ deleted successfully.

64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Se&nd to OneNote\ deleted successfully.

64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Web-Suche\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\E&xport to Microsoft Excel\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Se&nd to OneNote\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Web-Suche\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000010\ deleted successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

File K:\autorun.inf not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45863d1f-7124-11e1-b75b-4487fca65022}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45863d1f-7124-11e1-b75b-4487fca65022}\ not found.

File L:\LaunchU3.exe -a not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\ not found.

File N:\LaunchU3.exe -a not found.

C:\Windows\Tasks\Zyhvtaeh.job moved successfully.

C:\Windows\Tasks\BearShareNAG.job moved successfully.

C:\Windows\Tasks\Adobe Flash Player Updater.job moved successfully.

C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000UA.job moved successfully.

C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000Core.job moved successfully.

C:\Windows\Tasks\Norton Security Scan for Alex.job moved successfully.

========== FILES ==========

< ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Aufl sungscache wurde geleert.

C:\Users\Alex\Desktop\cmd.bat deleted successfully.

C:\Users\Alex\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Alex

->Temp folder emptied: 169451876 bytes

->Temporary Internet Files folder emptied: 6720374 bytes

->Java cache emptied: 443564 bytes

->FireFox cache emptied: 61723095 bytes

->Google Chrome cache emptied: 453449527 bytes

->Flash cache emptied: 19597 bytes

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 183179264 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes

RecycleBin emptied: 39094834528 bytes

 

Total Files Cleaned = 38.118,00 mb

 

 

[EMPTYFLASH]

 

User: Alex

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default

 

User: Default User

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

 

OTL by OldTimer - Version 3.2.55.0 log created on 08092012_002227



Files\Folders moved on Reboot...

C:\Users\Alex\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.



PendingFileRenameOperations files...

File C:\Users\Alex\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!



Registry entries deleted on Reboot...
         

Geändert von kasta63 (09.08.2012 um 00:31 Uhr)

Alt 09.08.2012, 07:34   #7
AHT
/// Helfer-Team
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



Das tun:
  • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen rechtsklick auf diesen Ordner, mit winrar packen und anhängen.

Danach hier möglichst online bleiben - bin ab 16:00 Uhr wieder hier.
Wir müssen dann etwas flott machen - es ist unter Umständen auf dem Rechner noch was aktiv und das kann jederzeit dazu führen, das du nicht mehr ins Internet kommst.
__________________
______________________

MfG

AHT

Alt 09.08.2012, 11:30   #8
kasta63
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



so habe den ppf scan ausgeführt. ich bleibe den gesamten tag online und werde ab 16.00 uhr bereit sein.

Alt 09.08.2012, 13:49   #9
AHT
/// Helfer-Team
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
ATTFilter
CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPF_Scan2\NameSpace_Catalog5.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers>C:\PPF_Scan2\Telephony.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.txt

KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->opera.exe
KILL_PROCESS->svchost.exe


REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NumProviders
->4

REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt6ygrx.tsp>C:\PPFS_Sicherung\xpt6ygrx.tsp
REBOOT->
         
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Klappt alles, startet sich der Rechner neu.
  • Einmal melden, ob der Rchner sich neu gestartet hat.
  • Es befinden sich dann im Ordner C:\PPF_Scan2 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit winrar packen und anhängen.

Das Script verschiebt die Komponente des Trojaners, die bei dir noch läuft, in den Ordner PPFS_Sicherung.
Wir sind danach noch nicht fertig!
Wie es im Augenblick für mich aussieht hast du Probleme mit Mediyes bereits seit Dezeber 2011.
__________________
______________________

MfG

AHT

Geändert von AHT (09.08.2012 um 14:05 Uhr)

Alt 09.08.2012, 16:02   #10
kasta63
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



hey
ich habe das script mehrmals ausprobiert aber es ging nicht und ich habe folgende meldung erhalten:

Code:
ATTFilter
#################################
CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPF_Scan2\NameSpace_Catalog5.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers>C:\PPF_Scan2\Telephony.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.txt

KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->opera.exe
KILL_PROCESS->svchost.exe


REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NumProviders
->4

REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt6ygrx.tsp>C:\PPFS_Sicherung\xpt6ygrx.tsp
REBOOT->
#################################
Zeile 5: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation  existiert nicht!
         

Alt 09.08.2012, 16:05   #11
AHT
/// Helfer-Team
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



Das Script ausführen - genau die selbe Art:
Code:
ATTFilter
CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPF_Scan2\NameSpace_Catalog5.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers>C:\PPF_Scan2\Telephony.txt

KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->opera.exe
KILL_PROCESS->svchost.exe


REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NumProviders
->4

REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt6ygrx.tsp>C:\PPFS_Sicherung\xpt6ygrx.tsp
REBOOT->
         
__________________
______________________

MfG

AHT

Alt 09.08.2012, 16:13   #12
kasta63
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



es hat diesmal funktioniert.

Alt 09.08.2012, 16:16   #13
AHT
/// Helfer-Team
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



Das Script im PPFScanner ausführen - melden, wenn du das getan hast:
Code:
ATTFilter
SEND_MESSAGE->89.166.237.105
->84
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->89.166.237.105
->84
->C:\PPFS_Sicherung
         
__________________
______________________

MfG

AHT

Alt 09.08.2012, 16:21   #14
kasta63
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



ausgeführt. eine frage dazu: hätte ich die internetverbindung vor dem ausführen des scripts bereits wieder herstellen sollen?

Alt 09.08.2012, 16:23   #15
AHT
/// Helfer-Team
 
Polizeivirus Österreich vom 2.8.12 - Standard

Polizeivirus Österreich vom 2.8.12



Ja - Internetverbindung herstellen, Script dann noch mal ausführen - danach melden.
Das Script sendet mir die infizierte Datei zu.
__________________
______________________

MfG

AHT

Antwort

Themen zu Polizeivirus Österreich vom 2.8.12
abend, andere, befinden, board, erfahrungsberichte, ergebnisse, eurem, forum, gestern, heute, hilfe gesucht, malwarebytes, morgen, polizei 5.2 virus österreich, polizeivirus, troja, trojaner, trojaner board, vollständige, Österreich



Ähnliche Themen: Polizeivirus Österreich vom 2.8.12


  1. Polizeivirus Österreich
    Plagegeister aller Art und deren Bekämpfung - 10.06.2013 (13)
  2. Polizeivirus Österreich
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (17)
  3. Polizeivirus Österreich
    Alles rund um Windows - 30.03.2013 (1)
  4. Polizeivirus Österreich
    Log-Analyse und Auswertung - 07.02.2013 (9)
  5. Polizeivirus Österreich
    Plagegeister aller Art und deren Bekämpfung - 13.12.2012 (3)
  6. polizeivirus! österreich
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (10)
  7. Polizeivirus (Österreich)
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (2)
  8. Polizeivirus Österreich, 20.08.12
    Log-Analyse und Auswertung - 05.10.2012 (4)
  9. Polizeivirus Österreich
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (23)
  10. Polizeivirus Österreich
    Plagegeister aller Art und deren Bekämpfung - 14.09.2012 (11)
  11. Polizeivirus österreich
    Plagegeister aller Art und deren Bekämpfung - 09.09.2012 (2)
  12. Polizeivirus Österreich
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (4)
  13. Polizeivirus Österreich...
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (14)
  14. Polizeivirus Österreich
    Log-Analyse und Auswertung - 02.09.2012 (13)
  15. Polizeivirus Österreich, 20.08.12
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (2)
  16. Polizeivirus Österreich
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (12)
  17. Polizeivirus Österreich
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (13)

Zum Thema Polizeivirus Österreich vom 2.8.12 - Hallo liebes Trojaner Board Team, Ich habe mir gestern den Polizeivirus eingefangen. Nachdem ich einige andere Erfahrungsberichte mit diesem Trojaner in eurem Forum gelesen habe, habe ich gestern Abend noch - Polizeivirus Österreich vom 2.8.12...
Archiv
Du betrachtest: Polizeivirus Österreich vom 2.8.12 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.