Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.08.2012, 16:19   #1
Nattok
 
AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe - Standard

AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe



Hallo,
habe mir auch den österr.Polizeitrojaner/Virus mit der Aufforderung 100 € zu zahlen eingefangen.

Zur Lösung habe ich mich primär am Thread
http://www.trojaner-board.de/120414-...sterreich.html
orientiert.

Bisher erfolgte Schritte am befallenen Rechner:
- Win7/64 im abgesicherter Modus mit Netzwertreibern hochgefahren (ansonsten ist kurz nach dem Hochfahren der Rechner komplett durch diesen Trojaner blockiert).

- Malwarebytes Anti-Malware installiert, aktualisiert, Komplettscan durchgeführt (ca. 10 Min Laufzeit)
Infizierte Objekte 10
Entfernung durchgeführt

- Rechnerneustart (von Malwarebytes dazu aufgefordert) wieder im abgesicherten Modus mit Netzwerktreibern

- Erneut Malwarebytes Anti-Malware Komplettscan durchgeführt
Infizierte Objekte 0

- OTL.EXE als Administrator ausgeführt.

Protokolle sollten diesem Posting beigefügt sein.

Da es sich bei dem befallenen Rechner um mein "Arbeitsgerät" handelt, wäre ich euch unendlich dankbar, wenn ich dieses Problem hier lösen könnte.

Danke & LG
Nat
Angehängte Grafiken
Dateityp: png Screenshot parameters OTL.PNG (42,0 KB, 226x aufgerufen)
Angehängte Dateien
Dateityp: txt mbam-log-2012-08-13 (16-18-27).txt (5,1 KB, 139x aufgerufen)
Dateityp: txt mbam-log-2012-08-13 (16-34-28).txt (2,2 KB, 145x aufgerufen)
Dateityp: txt OTL.Txt (75,9 KB, 214x aufgerufen)
Dateityp: txt Extras.Txt (78,8 KB, 160x aufgerufen)

Alt 14.08.2012, 04:47   #2
t'john
/// Helfer-Team
 
AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe - Standard

AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe





Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!
Code:
ATTFilter
:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-517055683-1476011322-233443055-1000\..\SearchScopes,DefaultScope = {2D55714A-5BAF-40FC-8C96-00A2CEAC0F49} 
IE - HKU\S-1-5-21-517055683-1476011322-233443055-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKU\S-1-5-21-517055683-1476011322-233443055-1000\..\SearchScopes\{2D55714A-5BAF-40FC-8C96-00A2CEAC0F49}: "URL" = http://www.google.at/search?q={searchTerms}&rlz=1I7ADFA_deAT459 
IE - HKU\S-1-5-21-517055683-1476011322-233443055-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - prefs.js..browser.startup.homepage: "https://www.google.at/" 
FF - prefs.js..network.proxy.autoconfig_url: "http://pac-file.corpnet.at:8081/accelerated_pac_base.pac" 
FF - prefs.js..network.proxy.type: 2 
FF - user.js - File not found 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_268.dll File not found 
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
O3 - HKU\S-1-5-21-517055683-1476011322-233443055-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. 
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [VMware hqtray] "D:\VMware\VMwareplayer\hqtray.exe" File not found 
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O4 - Startup: C:\Users\xxxxxxxxd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Explorer.lnk = File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - DD:\VMware\VMwareplayer\x64\vsocklib.dll File not found 
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000012 - DD:\VMware\VMwareplayer\x64\vsocklib.dll File not found 
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found 
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found 
O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} https://partner.redbull.com/CACHE/stc/2/binaries/vpnweb.cab (Cisco AnyConnect VPN Client Web Control) 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {F8FC1530-0608-11DF-2008-0800200C9A66} https://partner.redbull.com/CACHE/sdesktop/install/binaries/instweb.cab (CSD ActiveX Installer) 
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{fb1aeca1-4f5d-11e1-961f-028037ec0200}\Shell - "" = AutoRun 
O33 - MountPoints2\{fb1aeca1-4f5d-11e1-961f-028037ec0200}\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true 
[2012.08.13 13:27:40 | 000,000,000 | ---D | C] -- C:\ProgramData\947DB7D92815A2 
[2012.08.13 13:25:55 | 000,000,000 | ---D | C] -- C:\ProgramData\947DB7D9267D4A 
[2012.08.13 13:25:09 | 000,000,000 | ---D | C] -- C:\ProgramData\947DB7D925C9F3 
[2012.08.13 13:25:09 | 000,000,000 | ---D | C] -- C:\ProgramData\947DB7D925C87D 

[5 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ] 
 

[2012.08.13 13:00:40 | 000,002,066 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk 
[2012.08.13 15:56:47 | 000,000,000 | R--D | C] -- C:\Users\xxxxxxxxd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD 8 
[2012.08.13 15:56:09 | 000,001,112 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job 
[2012.08.13 15:58:24 | 000,021,904 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 
[2012.08.13 15:58:24 | 000,021,904 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 
[2012.08.13 14:14:00 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job 
[2011.07.26 17:26:48 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe 
[2011.07.17 20:46:52 | 000,000,236 | ---- | C] () -- C:\Program Files (x86)\Common Files\dx.reg 
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________

__________________

Alt 14.08.2012, 12:25   #3
Nattok
 
AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe - Standard

AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe



T'john ist mein Held!

Korrekturdaten wurden über OTL.EXE eingespielt.
2x da ich beim 1. mal nicht als "Administrator" ausgeführt hatte.
Protokolle habe ich noch beigefügt.

Mein Rechner war ab diesem Zeitpunkt zumindest nicht mehr blockiert.

Allerdings hatte ich Probleme mit jeglichen Internetverbindungen (LAN, WLAN) und IExplorer ging auch nicht mehr. Für Win7 musste ich auch den Produktkey erneut eingeben (dies habe ich auch getan).

Letztendlich habe ich aber noch eine Systemwiederherstellung zu einem Zeitpunkt durchgeführt, zu dem ich diesen Virus/Trojaner mit höchster Wahrscheinlichkeit noch nicht hatte und jetzt pfeift das System wieder so wie es soll!

Den Virus/Trojaner dürfte ich mir gestern, beim Versuch online eine Film anzusehen, eingefangen haben...da ich dies sehr selten mache, konnte ich den Zeitraum ziemlich genau eingrenzen.

Fazit: Problem dürfte behoben sein, Rechner läuft wieder einwandfrei.

Vielen herzlichen Dank und LG
Nat

PS: 25 EUR habe ich für diese Hilfestellung an Euch gespendet .
__________________
Angehängte Dateien
Dateityp: log 08142012_113036.log (25,5 KB, 146x aufgerufen)
Dateityp: log 08142012_114101.log (23,9 KB, 144x aufgerufen)

Geändert von Nattok (14.08.2012 um 12:30 Uhr)

Alt 14.08.2012, 16:06   #4
t'john
/// Helfer-Team
 
AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe - Standard

AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe



Danke, aber wir sind noch nicht fertig.

Sehr gut!

Wie laeuft der Rechner?

1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
Mfg, t'john
Das TB unterstützen

Alt 14.08.2012, 23:32   #5
Nattok
 
AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe - Standard

AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe



Hallo nochmals,

der Thread kann als beendet betrachtet werden.

Habe heute mit unserem Admin (persönlicher Freund) auf kosten von ein paar Bier das System komplett neu aufgesetzt, da uns das Risiko von irgendwelchen Überbleibseln zu groß war und das betroffene Notebook doch professionell im Einsatz ist.

Aufgrund der Hilfe von Euch war ich aber noch in der Lage wichtige Daten und Einstellungen wegzusichern und am neu eingerichteten System zu importieren.

Nochmals vielen Dank für die kompetente Hilfe.

LG
Nat


Antwort

Themen zu AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe
abgesicherten, abgesicherter, administrator, akm polizeivirus nattok, anti-malware, aufforderung, blockiert, durchgeführt, erneut, hochfahren, hochgefahren, installiert, komplett, laufzeit, lösung, malwarebytes, min, modus, netzwerk, posting, problem, rechner, scan, thread, win, zahlen



Ähnliche Themen: AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe


  1. Polizeitrojaner
    Plagegeister aller Art und deren Bekämpfung - 13.07.2013 (5)
  2. Polizeitrojaner
    Log-Analyse und Auswertung - 07.06.2013 (9)
  3. Polizeitrojaner
    Log-Analyse und Auswertung - 13.02.2013 (22)
  4. Bereinigung "Polizeitrojaner" Hilfe gebraucht
    Log-Analyse und Auswertung - 23.12.2012 (14)
  5. Polizeitrojaner
    Log-Analyse und Auswertung - 16.11.2012 (20)
  6. Polizeitrojaner
    Plagegeister aller Art und deren Bekämpfung - 11.11.2012 (29)
  7. Polizeitrojaner auch bei mir
    Log-Analyse und Auswertung - 07.11.2012 (14)
  8. Polizeitrojaner 5.2
    Plagegeister aller Art und deren Bekämpfung - 13.10.2012 (4)
  9. polizeitrojaner 5.2
    Log-Analyse und Auswertung - 13.10.2012 (2)
  10. Polizeitrojaner
    Plagegeister aller Art und deren Bekämpfung - 03.10.2012 (3)
  11. polizeitrojaner CH
    Log-Analyse und Auswertung - 25.09.2012 (5)
  12. Ersuche Hilfe bzg. HiJackThis Log-File
    Mülltonne - 21.07.2008 (0)
  13. Ersuche um Hilfe bei Swizzor.a Entfernung
    Log-Analyse und Auswertung - 08.02.2007 (4)
  14. noch ein letztes mal ersuche ich um kontrolle logfile
    Log-Analyse und Auswertung - 28.11.2006 (4)
  15. Ich ersuche wiedereinmal um Durchsicht meines Logfiles!
    Log-Analyse und Auswertung - 04.01.2006 (3)
  16. Ersuche um Expertise
    Log-Analyse und Auswertung - 23.03.2005 (4)
  17. Auch ich ersuche um Hilfe :-) .....
    Log-Analyse und Auswertung - 12.02.2005 (14)

Zum Thema AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe - Hallo, habe mir auch den österr.Polizeitrojaner/Virus mit der Aufforderung 100 € zu zahlen eingefangen. Zur Lösung habe ich mich primär am Thread http://www.trojaner-board.de/120414-...sterreich.html orientiert. Bisher erfolgte Schritte am befallenen Rechner: - AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe...
Archiv
Du betrachtest: AKM Virus/Polizeitrojaner 100 EUR ... ersuche um Hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.