Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ukash Polizei Virus eingefangen.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.08.2012, 17:05   #1
Elena Lauder
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Liebe Trojaner
Ich habe mir einen Polizei Ukash Virus eingefangen.
Mein System war blockiert, trotz mehrmaliges neu starten.
Taskmanager ging nur einmal kurz
Im Abgesicherten Modus habe ich zwei verdächtige .exe Dateien gefunden und gelöscht. Das Icon der Dateien war das Porsche oder Ferrari Logo, bin nicht sicher. Die Dateien habe ich leider nicht mehr, ich habe erst später in Eurem Forum die Freds über BKA Trojaner gefunden.
Nach dem löschen der Datei konnte ich mich wieder anmelden.
Ich bitte Euch mir die Log Dateien zu überprüfen, damit ich nicht noch irgendwelche Rest auf meiner Kiste habe.
Danke vorweg vielmals für Eure Super Arbeit, ich habe andere Freds mit Ukash Virus gelesen, Ihr seit wirklich sehr professionell und sehr nett.

- Fred "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" durchgeführt.
- Deffoger ausgeführt.
- GMER hasn't found any system modification.
- OTL ausgeführt. Log ist im Anhang.
- Malewarebytes nicht gefunden
- Emisoft nichts gefunden

Danke vielmals.
Liebe Grüsse
Elena
Angehängte Dateien
Dateityp: txt OTL.Txt (79,7 KB, 199x aufgerufen)

Alt 10.08.2012, 17:37   #2
t'john
/// Helfer-Team
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.





Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
ATTFilter
:OTL
MOD - D:\[TEMP]\gssxlhp4.exe () 
DRV:64bit: - (mbamchameleon) -- C:\Windows\SysNative\drivers\mbamchameleon.sys () 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_270.dll File not found 
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
O4 - HKU\S-1-5-21-317556061-3663343374-862786278-1000..\Run: [AdobeBridge] File not found 
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O4 - HKU\S-1-5-21-317556061-3663343374-862786278-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
O7 - HKU\S-1-5-21-317556061-3663343374-862786278-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-21-317556061-3663343374-862786278-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O16:64bit: - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (Reg Error: Key error.) 
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27) 
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27) 
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 10.5.1) 
O16 - DPF: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 10.5.1) 
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 0 
O33 - MountPoints2\{b8420078-1f60-11e1-bf04-005056c00008}\Shell - "" = AutoRun 
O33 - MountPoints2\{b8420078-1f60-11e1-bf04-005056c00008}\Shell\AutoRun\command - "" = "H:\WD SmartWare.exe" autoplay=true 

[2 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ] 
[2012.07.13 16:03:32 | 000,001,996 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Corel Painter 12.lnk 

@Alternate Data Stream - 229 bytes -> C:\ProgramData\Temp:DD4DD9B9 
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:04853F41 

:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________

__________________

Alt 11.08.2012, 00:14   #3
Elena Lauder
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Danke t'john vielmals für Deine prompte Antwort.
Sehr lieb von Dir.

Hier die Log:
Code:
ATTFilter
All processes killed
========== OTL ==========
Service mbamchameleon stopped successfully!
Service mbamchameleon deleted successfully!
C:\Windows\SysNative\drivers\mbamchameleon.sys moved successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
Registry value HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Starting removal of ActiveX control {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
C:\Windows\Downloaded Program Files\QTPlugin.inf moved successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1001\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1001\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8420078-1f60-11e1-bf04-005056c00008}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b8420078-1f60-11e1-bf04-005056c00008}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8420078-1f60-11e1-bf04-005056c00008}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b8420078-1f60-11e1-bf04-005056c00008}\ not found.
File "H:\WD SmartWare.exe" autoplay=true not found.
C:\Windows\SysNative\761A.tmp deleted successfully.
C:\Windows\SysNative\D0B8.tmp deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Corel Painter 12.lnk moved successfully.
ADS C:\ProgramData\Temp:DD4DD9B9 deleted successfully.
ADS C:\ProgramData\Temp:04853F41 deleted successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\ICH\Desktop\cmd.bat deleted successfully.
C:\Users\ICH\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: 1kn
->Temp folder emptied: 8223 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes
 
User: Administrator
 
User: All Users
 
User: Default
->Temp folder emptied: 8223 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56478 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ICH
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 8378203 bytes
->Java cache emptied: 53019324 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 178423 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 371997 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
RecycleBin emptied: 1222700474 bytes
 
Total Files Cleaned = 1'225.00 mb
 
 
[EMPTYFLASH]
 
User: 1kn
->Flash cache emptied: 0 bytes
 
User: Administrator
 
User: All Users
 
User: Default
->Flash cache emptied: 0 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: ICH
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
 
Total Flash Files Cleaned = 0.00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 08102012_231906

Files\Folders moved on Reboot...
File\Folder C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{DD738A94-5C2A-45F5-90A4-232C5008DF27}.tmp not found!
File move failed. C:\Windows\temp\vmware-SYSTEM\vmauthd.log scheduled to be moved on reboot.
C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-1884.log moved successfully.
File\Folder C:\Windows\temp\hsperfdata_COMPUTER$\1960 not found!
C:\Windows\temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Windows\temp\FXSTIFFDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\jna6159258678350844225.dll not found!

PendingFileRenameOperations files...
File C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{DD738A94-5C2A-45F5-90A4-232C5008DF27}.tmp not found!
[2012.08.10 23:21:16 | 000,002,013 | ---- | M] () C:\Windows\temp\vmware-SYSTEM\vmauthd.log : Unable to obtain MD5
File C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-1884.log not found!
File C:\Windows\temp\hsperfdata_COMPUTER$\1960 not found!
File C:\Windows\temp\FXSAPIDebugLogFile.txt not found!
File C:\Windows\temp\FXSTIFFDebugLogFile.txt not found!
File C:\Windows\temp\jna6159258678350844225.dll not found!

Registry entries deleted on Reboot...
         
Liebe Grüsse
Elena
__________________

Alt 11.08.2012, 01:02   #4
t'john
/// Helfer-Team
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Sehr gut!


1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.08.2012, 16:00   #5
Elena Lauder
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.11.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
ICH :: COMPUTER [Administrator]

11.08.2012 16:19:28
mbam-log-2012-08-11 (16-19-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 437985
Laufzeit: 35 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code:
ATTFilter
# AdwCleaner v1.800 - Logfile created 08/11/2012 at 16:59:26
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : ICH - COMPUTER
# Running from : D:\[TEMP]\Antivirus\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Found : HKCU\Software\Softonic
[x64] Key Found : HKCU\Software\Softonic

***** [Registre - GUID] *****

[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : 1kn [Profil par défaut]
File : D:\INSTALLATION PROGRAMME\INTERNET\_FIREFOX\Profile\_1kn\prefs.js

Found : user_pref("extensions.toolbar@ask.com.install-event-fired", true);

Profile name : DEV 
File : D:\INSTALLATION PROGRAMME\INTERNET\_FIREFOX\Profile\_DEV\prefs.js

[OK] File is clean.

Profile name : TEMP 
File : D:\INSTALLATION PROGRAMME\INTERNET\_FIREFOX\Profile\_TEMP\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [1282 octets] - [10/08/2012 00:52:22]
AdwCleaner[R2].txt - [1352 octets] - [10/08/2012 14:55:08]
AdwCleaner[R3].txt - [1287 octets] - [11/08/2012 16:59:26]

########## EOF - C:\AdwCleaner[R3].txt - [1415 octets] ##########
         


Alt 11.08.2012, 16:43   #6
t'john
/// Helfer-Team
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Sehr gut!


  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.




danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
--> Ukash Polizei Virus eingefangen.

Alt 11.08.2012, 21:56   #7
Elena Lauder
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Code:
ATTFilter
# AdwCleaner v1.800 - Logfile created 08/11/2012 at 18:24:48
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : ICH - COMPUTER
# Running from : D:\[TEMP]\Antivirus\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Deleted : HKCU\Software\Softonic

***** [Registre - GUID] *****

[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : 1kn [Profil par défaut]
File : D:\INSTALLATION PROGRAMME\INTERNET\_FIREFOX\Profile\_1kn\prefs.js

D:\INSTALLATION PROGRAMME\INTERNET\_FIREFOX\Profile\_1kn\user.js ... Deleted !

Deleted : user_pref("extensions.toolbar@ask.com.install-event-fired", true);

Profile name : DEV 
File : D:\INSTALLATION PROGRAMME\INTERNET\_FIREFOX\Profile\_DEV\prefs.js

D:\INSTALLATION PROGRAMME\INTERNET\_FIREFOX\Profile\_DEV\user.js ... Deleted !

[OK] File is clean.

Profile name : TEMP 
File : D:\INSTALLATION PROGRAMME\INTERNET\_FIREFOX\Profile\_TEMP\prefs.js

D:\INSTALLATION PROGRAMME\INTERNET\_FIREFOX\Profile\_TEMP\user.js ... Deleted !

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [1282 octets] - [10/08/2012 00:52:22]
AdwCleaner[R2].txt - [1352 octets] - [10/08/2012 14:55:08]
AdwCleaner[R3].txt - [1412 octets] - [11/08/2012 16:59:26]
AdwCleaner[R4].txt - [1472 octets] - [11/08/2012 18:24:43]
AdwCleaner[S1].txt - [1616 octets] - [11/08/2012 18:24:48]

########## EOF - C:\AdwCleaner[S1].txt - [1744 octets] ##########
         
Code:
ATTFilter
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 11.08.2012 18:54:49

Scan Einstellungen:

Scan Methode: Eigener Scan
Objekte: Rootkits, Speicher, Traces, C:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	11.08.2012 21:54:47

C:\Program Files (x86)\Winamp\Plugins\Stereo Tool.exe 	gefunden: Trojan.Generic!E2
C:\Program Files (x86)\Bitvise WinSSHD\totermi32.exe 	gefunden: Trojan-Downloader.Win32.Razle!E2

Gescannt	671627
Gefunden	2

Scan Ende:	11.08.2012 22:10:44
Scan Zeit:	0:15:57
         

Alt 12.08.2012, 00:49   #8
t'john
/// Helfer-Team
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Sehr gut!



Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
__________________
Mfg, t'john
Das TB unterstützen

Alt 12.08.2012, 15:47   #9
Elena Lauder
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Code:
ATTFilter
C:\Users\ICH\AppData\Roaming\Utvena\ibeck.exe	a variant of Win32/Kryptik.AJWX trojan
Operating memory	multiple threats
         
Das ist eine Komische Datei.
Ich habe es auf File-Upload hochgeladen.
hxxp://www.file-upload.net/download-4664858/ibeck.zip.html
Im Google habe ich nichts über die Namen herausgefunden.

Geändert von Elena Lauder (12.08.2012 um 15:52 Uhr)

Alt 12.08.2012, 18:44   #10
t'john
/// Helfer-Team
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Nichts gutes.

Wo kam die auf einmal her?
Bist du rumgesurft mit dem Rechner?


CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\*.*
%APPDATA%\*AcroIEH*.*
%APPDATA%\*.exe
%APPDATA%\*.tmp
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread



Code:
ATTFilter
ssdeep
 3072:85ue87zLkwx9rC3uIUFetsA3ucIt0TsfonSfh+yduHeL4QRPHxEy1uDxm:Yt8Rxt8uHF6sAe/tvQSfh+yduHnyxEyn 



TrID
 Win32 Executable Generic (42.3%)
 Win32 Dynamic Link Library (generic) (37.6%)
 Generic Win/DOS Executable (9.9%)
 DOS Executable Generic (9.9%)
 Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
 



ExifTool
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 2011:03:25 06:01:22+01:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 0
LinkerVersion............: 12.0
EntryPoint...............: 0x1f66
InitializedDataSize......: 5120
SubsystemVersion.........: 5.1
ImageVersion.............: 0.0
OSVersion................: 5.1
UninitializedDataSize....: 0
 



Portable Executable structural information
Compilation timedatestamp.....: 2011-03-25 05:01:22
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x00001F66

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
.text                  4096         41451     41472     7.08  a9b83986779fa1b1a7d8ec97c74c0c58
.data                 49152        341028    137728     7.09  adb68cad227f027a49b27d03e7a3fd9f
.rsrc                393216          2000      2048     3.60  dfcce71e478431c18941f078e6d0558d
.idata               397312          1846      2048     6.29  29c8b9ea803c99480d3b1d0a377008c0
.itext               401408           619      1024     3.79  6040269a4b998e830ac5ffeee0fdef75

PE Imports....................:

[[KERNEL32.dll]]
GetProcessHeap

[[USER32.dll]]
IsCharAlphaNumericA, GetDC


PE Exports....................:

_FounderNormal@444GPAUHINSTANCE__@@U_COMMPROP@@_J, _NormalLock@444GPAUHINSTANCE__@@U_COMMPROP@@_J, _NormalPointer@444GPAUHINSTANCE__@@U_COMMPROP@@_J, _NormalSpeed@444GPAUHINSTANCE__@@U_COMMPROP@@_J, _NormalWeight@444GPAUHINSTANCE__@@U_COMMPROP@@_J, _NormalXern@444GPAUHINSTANCE__@@U_COMMPROP@@_J, _NormalityCover@444GPAUHINSTANCE__@@U_COMMPROP@@_J, _NormalityQuan@444GPAUHINSTANCE__@@U_COMMPROP@@_J, _ReactNormal@444GPAUHINSTANCE__@@U_COMMPROP@@_J
         
Code:
ATTFilter
Antivirus

Result

Update




AntiVir

TR/ZAccessHL.A

20120812



Antiy-AVL

-

20120811



Avast

Win32:ZAccess-HL [Trj]

20120812



AVG

PSW.Generic10.HVS

20120812



BitDefender

Gen:Variant.Kazy.86304

20120812



ByteHero

-

20120723



CAT-QuickHeal

(Suspicious) - DNAScan

20120812



ClamAV

-

20120811



Commtouch

W32/Falab.F12.gen!Eldorado

20120811



Comodo

-

20120812



DrWeb

-

20120812



Emsisoft

Trojan.Win32.Yakes!IK

20120812



eSafe

-

20120812



ESET-NOD32

a variant of Win32/Kryptik.AJWX

20120812



F-Prot

W32/Falab.F12.gen!Eldorado

20120810



F-Secure

Gen:Variant.Kazy.86304

20120812



Fortinet

-

20120812



GData

Gen:Variant.Kazy.86304

20120812



Ikarus

Trojan.Win32.Yakes

20120812



Jiangmin

-

20120812



K7AntiVirus

-

20120810



Kaspersky

Trojan.Win32.Jorik.Zbot.ezc

20120812



McAfee

PWS-Zbot.gen.air

20120812



McAfee-GW-Edition

-

20120812



Microsoft

-

20120812



Norman

W32/Kryptik.BRM

20120812



nProtect

-

20120812



Panda

Suspicious file

20120812



PCTools

-

20120812



Rising

-

20120810



Sophos

-

20120812



SUPERAntiSpyware

-

20120811



Symantec

-

20120812



TheHacker

-

20120812



TotalDefense

-

20120812



TrendMicro

-

20120812



TrendMicro-HouseCall

-

20120812



VBA32

-

20120810



VIPRE

-

20120812



ViRobot

-

20120812



VirusBuster

-

20120811
         
__________________
Mfg, t'john
Das TB unterstützen

Alt 12.08.2012, 21:18   #11
Elena Lauder
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Oje, keine Ahnung wie das passierte.

Alt 13.08.2012, 14:57   #12
t'john
/// Helfer-Team
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
ATTFilter
:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1001\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS6ServiceManager] C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKU\S-1-5-21-317556061-3663343374-862786278-1000..\Run: [Quupaqyl] C:\Users\ICH\AppData\Roaming\Utvena\ibeck.exe File not found 
 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2009.06.18 23:12:18 | 000,000,088 | ---- | M] () - H:\autorun.inf -- [ UDF ] 
O33 - MountPoints2\{b8420078-1f60-11e1-bf04-005056c00008}\Shell - "" = AutoRun 
O33 - MountPoints2\{b8420078-1f60-11e1-bf04-005056c00008}\Shell\AutoRun\command - "" = H:\WD SmartWare.exe -- [2009.10.14 23:28:45 | 003,271,968 | ---- | M] (Western Digital) 
Drivers32: VIDC.FFDS - C:\Windows\SysWow64\ff_vfw.dll () 
[2012.08.11 01:49:05 | 000,000,000 | ---D | C] -- C:\ProgramData\vsosdk 

:Files
C:\Users\ICH\AppData\Roaming\Utvena

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________
Mfg, t'john
Das TB unterstützen

Alt 13.08.2012, 23:37   #13
Elena Lauder
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Code:
ATTFilter
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKU\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKU\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-317556061-3663343374-862786278-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Acrobat Assistant 8.0 deleted successfully.
C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Acrobat Speed Launcher deleted successfully.
C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeCS6ServiceManager deleted successfully.
C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-317556061-3663343374-862786278-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Quupaqyl deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File move failed. H:\autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8420078-1f60-11e1-bf04-005056c00008}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b8420078-1f60-11e1-bf04-005056c00008}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8420078-1f60-11e1-bf04-005056c00008}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b8420078-1f60-11e1-bf04-005056c00008}\ not found.
File move failed. H:\WD SmartWare.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\VIDC.FFDS deleted successfully.
C:\Windows\SysWOW64\ff_vfw.dll moved successfully.
C:\ProgramData\vsosdk folder moved successfully.
========== FILES ==========
File\Folder C:\Users\ICH\AppData\Roaming\Utvena not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\ICH\Desktop\cmd.bat deleted successfully.
C:\Users\ICH\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: 1kn
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Administrator
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ICH
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 461848658 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 5409 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 505173 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 755 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 1940173704 bytes
 
Total Files Cleaned = 2'291.00 mb
 
 
[EMPTYFLASH]
 
User: 1kn
->Flash cache emptied: 0 bytes
 
User: Administrator
 
User: All Users
 
User: Default
->Flash cache emptied: 0 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: ICH
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
 
Total Flash Files Cleaned = 0.00 mb
 
 
OTL by OldTimer - Version 3.2.57.0 log created on 08142012_002637

Files\Folders moved on Reboot...
File move failed. H:\autorun.inf scheduled to be moved on reboot.
File move failed. H:\WD SmartWare.exe scheduled to be moved on reboot.
File\Folder C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRF{840D1DAA-3E1E-4FD4-88F6-B04C3CE78804}.tmp not found!
File\Folder C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{46C6E9DF-6F10-493E-8DD7-3394BBC1738B}.tmp not found!
File\Folder C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{63B33691-CE73-4070-A191-6C8AF04C6226}.tmp not found!
File\Folder C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{66FEB3A7-FDCC-4DA8-B312-2DD6A2A31024}.tmp not found!
File\Folder C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{788554A5-B737-49B1-BFB1-C4E9BB123A0E}.tmp not found!
File\Folder C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{A49F0DEC-92FE-40BF-993C-D9029FAC4E75}.tmp not found!
File move failed. C:\Windows\temp\vmware-SYSTEM\vmauthd.log scheduled to be moved on reboot.
C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-492.log moved successfully.
File\Folder C:\Windows\temp\hsperfdata_COMPUTER$\1728 not found!
File\Folder C:\Windows\temp\jna5294264831563543499.dll not found!

PendingFileRenameOperations files...
[2009.06.18 23:12:18 | 000,000,088 | ---- | M] () H:\autorun.inf : MD5=31D5D799A3B78AF52EA7D3E8C9096C78
[2009.10.14 23:28:45 | 003,271,968 | ---- | M] (Western Digital) H:\WD SmartWare.exe : MD5=7CE315DDE56D08DEBA13FA63154E14C4
File C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRF{840D1DAA-3E1E-4FD4-88F6-B04C3CE78804}.tmp not found!
File C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{46C6E9DF-6F10-493E-8DD7-3394BBC1738B}.tmp not found!
File C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{63B33691-CE73-4070-A191-6C8AF04C6226}.tmp not found!
File C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{66FEB3A7-FDCC-4DA8-B312-2DD6A2A31024}.tmp not found!
File C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{788554A5-B737-49B1-BFB1-C4E9BB123A0E}.tmp not found!
File C:\Users\ICH\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{A49F0DEC-92FE-40BF-993C-D9029FAC4E75}.tmp not found!
[2012.08.14 00:29:35 | 000,002,013 | ---- | M] () C:\Windows\temp\vmware-SYSTEM\vmauthd.log : Unable to obtain MD5
File C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-492.log not found!
File C:\Windows\temp\hsperfdata_COMPUTER$\1728 not found!
File C:\Windows\temp\jna5294264831563543499.dll not found!

Registry entries deleted on Reboot...
         

Alt 13.08.2012, 23:58   #14
t'john
/// Helfer-Team
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Sehr gut!

Wie laeuft der Rechner?

1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
Mfg, t'john
Das TB unterstützen

Alt 15.08.2012, 11:04   #15
Elena Lauder
 
Ukash Polizei Virus eingefangen. - Standard

Ukash Polizei Virus eingefangen.



Der Rechner läuft eigentlich gut, ich hatte jetzt während dem ganzen entfernern keine Probleme bemerkt.
Angehängte Dateien
Dateityp: txt Eset.txt (98 Bytes, 135x aufgerufen)
Dateityp: txt mbam-log-2012-08-14 (00-37-54).txt (2,1 KB, 150x aufgerufen)
Dateityp: txt AdwCleaner[R5].txt (1,1 KB, 118x aufgerufen)

Geändert von Elena Lauder (15.08.2012 um 11:11 Uhr)

Antwort

Themen zu Ukash Polizei Virus eingefangen.
abgesicherten, arbeit, beachten, blockiert, dateien, eingefangen, eröffnung, forum, found, gen, gmer, icon, kis, löschen, melde, modus, neu, nicht mehr, nichts, professionell, super, system, trotz, verdächtige, virus, wirklich



Ähnliche Themen: Ukash Polizei Virus eingefangen.


  1. Windows 7, Polizei Virus mit Firefox eingefangen
    Log-Analyse und Auswertung - 14.01.2014 (12)
  2. UKASH-Virus eingefangen -OTL-Scan gemacht, aber nichts ändert sich
    Log-Analyse und Auswertung - 30.09.2013 (11)
  3. Ukash Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 31.07.2013 (19)
  4. Ukash Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (2)
  5. Polizei Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.03.2013 (13)
  6. Ich habe mir den Polizei Virus eingefangen.
    Log-Analyse und Auswertung - 18.01.2013 (21)
  7. Polizei Virus Österreich eingefangen
    Log-Analyse und Auswertung - 15.12.2012 (13)
  8. Polizei-Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (12)
  9. Ukash Virus eingefangen
    Log-Analyse und Auswertung - 27.10.2012 (35)
  10. polizei-virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 15.10.2012 (13)
  11. Polizei Österreich Ukash Virus
    Log-Analyse und Auswertung - 08.10.2012 (1)
  12. Habe mir den Polizei-Virus eingefangen, bitte um Hilfe beim Beseitigen
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (6)
  13. Ukash Österreichische Polizei Virus
    Plagegeister aller Art und deren Bekämpfung - 22.08.2012 (13)
  14. Polizei Ukash 100€ zahlen Virus - Österreich
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (15)
  15. Polizei mit Ukash-Virus in Austria
    Plagegeister aller Art und deren Bekämpfung - 29.07.2012 (14)
  16. Bundes Polizei Virus Ukash
    Log-Analyse und Auswertung - 20.04.2012 (7)
  17. Bundespolizei Virus (mit Ukash) eingefangen
    Plagegeister aller Art und deren Bekämpfung - 09.02.2012 (2)

Zum Thema Ukash Polizei Virus eingefangen. - Liebe Trojaner Ich habe mir einen Polizei Ukash Virus eingefangen. Mein System war blockiert, trotz mehrmaliges neu starten. Taskmanager ging nur einmal kurz Im Abgesicherten Modus habe ich zwei verdächtige - Ukash Polizei Virus eingefangen....
Archiv
Du betrachtest: Ukash Polizei Virus eingefangen. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.