Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Plagegeister aller Art und deren Bekämpfung: Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 21.08.2012, 14:20   #1
Soulmate
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


LIebes Trojaner-Board,

Seit Gestern habe ich mal wieder Malware auf dem Rechner. Es ist eines dieser Fenster, die beim Systemstart geöffnet werden und keine Möglichkeit offen lassen auf den PC zuzugreifen. Verzweifelt wie ich war, habe ich es geschafft bei einem Neustart schnell genug in den Task-Manager zu kommen und (m.o.w. Wahllos) genug unbekannte Prozesse zu beenden um das Fenster fürs erste verschwinden zu lassen. Allerdings konnte ich dabei den Explorer nicht nutzen und die Windowsleiste unten war auch nicht zu sehen. Allerdings konnte ich über den TM Firefox starten und mich in eurem Forum ein wenig umsehen. Nun, Schande auf mein Haupt , ich habe dann einen Fix für OTL aus einem anderen Thread kopiert und laufen lassen. Neustart, Malware Fenster erscheint nicht mehr und jetzt bin ich die Schritte zur Eröffnung eines neuen Threads durchgegangen. Das alte LOG von dem individuellen Fix von OTL hab ich noch. Allerdings finde ich auch nach mehrmaligem durchlaufen des Quickscans von OTL keine Datei die Extras.txt heißt. Da bräuchte ich einen Hinweis. So.

OTL LOG:
Zitat:
OTL logfile created on: 21.08.2012 14:34:40 - Run 3
OTL by OldTimer - Version 3.2.58.1 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,50 Gb Total Physical Memory | 1,15 Gb Available Physical Memory | 76,45% Memory free
3,35 Gb Paging File | 3,04 Gb Available in Paging File | 90,83% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 135,22 Gb Total Space | 100,86 Gb Free Space | 74,59% Space Free | Partition Type: NTFS
Drive D: | 97,65 Gb Total Space | 13,77 Gb Free Space | 14,10% Space Free | Partition Type: NTFS
Drive E: | 591,25 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

Computer Name: HOME-PC | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.08.21 13:55:31 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
PRC - [2012.08.11 15:24:52 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.07.05 18:41:46 | 003,048,136 | ---- | M] (Skype Technologies S.A.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe
PRC - [2012.05.08 18:16:11 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.08 18:16:10 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.08 18:16:10 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.09.22 10:42:24 | 000,090,112 | R--- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\soundman.exe


========== Modules (No Company Name) ==========

MOD - [2012.05.08 18:16:11 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2007.12.04 19:41:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll
MOD - [2005.10.19 12:56:28 | 000,125,952 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2005.09.24 11:10:56 | 001,212,416 | ---- | M] () -- C:\Programme\Adobe\Acrobat 7.0\Distillr\AdistRes.DEU


========== Win32 Services (SafeList) ==========

SRV - [2012.07.29 22:27:24 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.07.13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.07.05 18:41:46 | 003,048,136 | ---- | M] (Skype Technologies S.A.) [Auto | Running] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service)
SRV - [2012.05.08 18:16:11 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.08 18:16:10 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2011.12.22 15:39:39 | 000,069,632 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2011.03.16 11:42:06 | 000,407,336 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2006.06.01 21:06:00 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005.08.24 03:29:52 | 000,118,272 | ---- | M] (TuneUp Software GmbH) [On_Demand | Stopped] -- C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe -- (TUWinStylerThemeSvc)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - [2012.05.08 18:16:11 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.08 18:16:11 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.12.09 13:40:20 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.14 01:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2006.05.01 21:28:31 | 000,019,200 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AnyDVD.sys -- (AnyDVD)
DRV - [2005.12.21 11:16:34 | 000,470,048 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2005.09.22 10:34:18 | 003,727,680 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\alcxwdm.sys -- (ALCXWDM)
DRV - [2005.07.29 11:11:04 | 000,012,928 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2005.07.29 11:11:02 | 000,034,048 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2005.04.12 10:41:20 | 000,004,608 | ---- | M] (Elaborate Bytes AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ElbyDelay.sys -- (ElbyDelay)
DRV - [2005.03.09 16:53:00 | 000,043,008 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope =

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =
IE - HKCU\..\SearchScopes,DefaultScope =
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - user.js - File not found

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_271.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.29 22:27:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins

[2012.04.25 21:42:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2012.08.07 11:31:14 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.08.07 11:31:14 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012.07.29 22:27:24 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.06.20 01:20:51 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.06.20 01:20:51 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.06.20 01:20:51 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.20 01:20:51 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.20 01:20:51 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.20 01:20:51 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2006.06.01 21:06:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\haha.bat ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{BF9F2FAA-5D5E-4BFE-852F-1E082A29A4B4}: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2001.08.18 14:00:00 | 000,000,112 | R--- | M] () - E:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2012.08.21 14:22:40 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2012.08.21 14:15:04 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.08.21 02:26:01 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2012.08.20 15:33:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Adobe
[2012.08.11 15:27:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2012.08.07 21:11:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\JTextpert
[2012.07.31 13:17:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Application Data

========== Files - Modified Within 30 Days ==========

[2012.08.21 14:23:10 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2012.08.21 14:22:22 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
[2012.08.21 14:16:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.08.21 14:06:19 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.08.21 13:55:31 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2012.08.21 13:07:37 | 004,503,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2012.08.21 01:34:11 | 000,001,610 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk
[2012.07.30 01:42:34 | 058,271,736 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\World Tricking Championship. [VIDEO].flv

========== Files Created - No Company Name ==========

[2012.08.21 14:23:10 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2012.08.21 14:22:58 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
[2012.08.21 01:34:11 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2012.08.21 01:34:11 | 000,001,610 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk
[2012.07.30 01:42:33 | 058,271,736 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\World Tricking Championship. [VIDEO].flv
[2012.03.15 20:38:35 | 000,000,504 | ---- | C] () -- C:\WINDOWS\SDI.INI
[2012.03.15 20:38:02 | 000,245,504 | ---- | C] () -- C:\WINDOWS\PI.EXE
[2012.03.15 19:40:00 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.03.09 00:54:59 | 000,000,952 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2012.01.22 19:29:56 | 357,962,641 | ---- | C] () -- C:\Programme\Machinarium.rar
[2012.01.19 01:51:08 | 000,000,075 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\default.pls
[2012.01.19 01:48:45 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2012.01.19 01:48:26 | 000,017,920 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.12.22 16:12:19 | 000,040,960 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2011.12.22 16:11:55 | 000,157,184 | R--- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2011.12.22 16:11:43 | 000,000,164 | R--- | C] () -- C:\WINDOWS\avrack.ini
[2011.12.22 15:48:04 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011.12.22 14:48:50 | 000,003,590 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2011.12.22 14:48:48 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2011.12.22 14:30:33 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.12.22 14:21:31 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011.12.22 14:16:56 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.12.22 14:15:50 | 000,190,592 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

========== LOP Check ==========

[2012.08.07 22:21:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.minecraft
[2012.05.09 21:27:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DAEMON Tools Lite
[2012.08.20 13:19:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\foobar2000
[2012.01.25 15:55:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\kompozer.net
[2012.05.10 13:20:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Might & Magic Heroes VI - Public Closed Beta
[2012.06.19 11:31:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Oracle
[2011.12.29 18:08:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Teeworlds
[2011.12.22 14:34:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
[2012.01.10 17:01:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2012.01.16 23:40:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2012.03.12 19:39:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2012.08.20 13:23:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TmForever
[2011.12.22 14:34:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2012.07.13 17:26:15 | 000,000,408 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job

========== Purity Check ==========



========== Alternate Data Streams ==========

@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:AEBFFE08

< End of report >
uund der GMER LOG:

Zitat:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-08-21 15:08:31
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_SP2514N rev.VF100-50
Running: u9vgpq9n.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT BA7CDB6C ZwClose
SSDT BA7CDB26 ZwCreateKey
SSDT BA7CDB76 ZwCreateSection
SSDT BA7CDB1C ZwCreateThread
SSDT BA7CDB2B ZwDeleteKey
SSDT BA7CDB35 ZwDeleteValueKey
SSDT BA7CDB67 ZwDuplicateObject
SSDT BA7CDB3A ZwLoadKey
SSDT BA7CDB08 ZwOpenProcess
SSDT BA7CDB0D ZwOpenThread
SSDT BA7CDB8F ZwQueryValueKey
SSDT BA7CDB44 ZwReplaceKey
SSDT BA7CDB80 ZwRequestWaitReplyPort
SSDT BA7CDB3F ZwRestoreKey
SSDT BA7CDB7B ZwSetContextThread
SSDT BA7CDB85 ZwSetSecurityObject
SSDT BA7CDB30 ZwSetValueKey
SSDT BA7CDB8A ZwSystemDebugControl
SSDT BA7CDB17 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9678380, 0x346307, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Ich bedanke mich schon Mal im Vorraus und versuche mein Bestes zu geben hilfreich zu sein. Lieben Gruß - Christian

Alt 21.08.2012, 16:12   #2
t'john
/// Helfer-Team
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart




Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
ATTFilter
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) 
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) 
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) 
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) 
DRV - File not found [Kernel | System | Stopped] -- -- (Changer) 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - user.js - File not found 
O4 - HKLM..\Run: [] File not found 
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\haha.bat () 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2001.08.18 14:00:00 | 000,000,112 | R--- | M] () - E:\AUTORUN.INF -- [ CDFS ] 
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:AEBFFE08 

[2012.08.21 13:07:37 | 004,503,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad 
[2012.08.21 01:34:11 | 000,001,610 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk 
[2012.07.13 17:26:15 | 000,000,408 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job 
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________

__________________
Alt 21.08.2012, 18:05   #3
Soulmate
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Hey, danke für die schnelle Antwort.

Code:
ATTFilter
All processes killed
========== OTL ==========
Service WDICA stopped successfully!
Service WDICA deleted successfully!
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
Service Changer stopped successfully!
Service Changer deleted successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\haha.bat moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File move failed. E:\AUTORUN.INF scheduled to be moved on reboot.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:AEBFFE08 deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad moved successfully.
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk moved successfully.
C:\WINDOWS\Tasks\1-Klick-Wartung.job moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Administrator\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 118583971 bytes
->Flash cache emptied: 866 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 113,00 mb
 
 
OTL by OldTimer - Version 3.2.58.1 log created on 08212012_190331

Files\Folders moved on Reboot...
File move failed. E:\AUTORUN.INF scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Lieben Gruß - Christian
__________________
Alt 22.08.2012, 00:45   #4
t'john
/// Helfer-Team
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Sehr gut!

Wie laeuft der Rechner?

1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
Mfg, t'john
Das TB unterstützen

Alt 22.08.2012, 17:12   #5
Soulmate
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


OK

Log von MBam:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.22.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Administrator :: HOME-PC [Administrator]

22.08.2012 14:22:43
mbam-log-2012-08-22 (14-22-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 273925
Laufzeit: 1 Stunde(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dosgames\Magic Duels\30160911Sfrd\NFOviewer.exe (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
und der vom AdW:

Code:
ATTFilter
# AdwCleaner v1.801 - Logfile created 08/22/2012 at 18:13:11
# Updated 14/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Administrator - HOME-PC
# Boot Mode : Normal
# Running from : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [584 octets] - [22/08/2012 18:13:11]

########## EOF - C:\AdwCleaner[R1].txt - [711 octets] ##########
liebe Grüße - Christian


Alt 22.08.2012, 17:30   #6
t'john
/// Helfer-Team
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Sehr gut!


  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.




danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
--> Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart

Alt 24.08.2012, 12:53   #7
Soulmate
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Hey, hat ein wenig gedauert, weil ich den detail scan gemacht hab und dachte ich finde den Bericht hinterher irgendwo, was ich nicht geschafft habe, sodass ich noch Mal ne Lücke von 3 Stunden finden musste. Hier aber die Resultate:

AdW:
Code:
ATTFilter
# AdwCleaner v1.801 - Logfile created 08/22/2012 at 20:09:16
# Updated 14/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Administrator - HOME-PC
# Boot Mode : Normal
# Running from : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [711 octets] - [22/08/2012 18:13:11]
AdwCleaner[S1].txt - [643 octets] - [22/08/2012 20:09:16]

########## EOF - C:\AdwCleaner[S1].txt - [770 octets] ##########
und Emsisoft:

Code:
ATTFilter
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 23.08.2012 13:29:03

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	24.08.2012 11:11:47

C:\System Volume Information\_restore{3AEEBBA4-9842-4225-BEF3-F0A8555E0A6A}\RP157\A0023480.lnk 	gefunden: Trojan.LNK.Reveton!E2
D:\Dosgames\mi5\Tales.of.Monkey.Island.Episode.104.The.Trial.and.Execution.of.Guybrush.Threepwood.v1.0.0.19-TE\Tales.of.Monkey.Island.Episode.104.The.Trial.and.Execution.of.Guybrush.Threepwood.v1.0.0.19-TE\Crack\MonkeyIsland104.exe 	gefunden: Virus.Win32.Heur!E2
D:\Dosgames\mi5\Tales.of.Monkey.Island.Episode.103.Lair.of.the.Leviathan.v1.0.0.19-TE\Crack\MonkeyIsland103.exe 	gefunden: Virus.Win32.Heur!E2
D:\Dosgames\mi5\Crack\MonkeyIsland105.exe 	gefunden: Virus.Win32.Heur!E2

Gescannt	558520
Gefunden	4

Scan Ende:	24.08.2012 13:54:20
Scan Zeit:	2:42:33
Liebe Grüße - Christian

Alt 24.08.2012, 15:04   #8
t'john
/// Helfer-Team
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Sehr gut!


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
__________________
Mfg, t'john
Das TB unterstützen

Alt 28.08.2012, 12:14   #9
Soulmate
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Halloo.
Entschuldige die Verspätung, aber ich war das Wochenende nicht im Haus. Hier also die Logfile von Eset:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=047b54e4e5ff2e47b02e750228a542f5
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-21 01:40:03
# local_time=2012-02-21 02:40:03 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777179 100 0 5275737 5275737 0 0
# compatibility_mode=8192 67108863 100 0 3755 3755 0 0
# scanned=11242
# found=0
# cleaned=0
# scan_time=697
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=047b54e4e5ff2e47b02e750228a542f5
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-21 02:13:29
# local_time=2012-02-21 03:13:29 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777179 100 0 5276536 5276536 0 0
# compatibility_mode=8192 67108863 100 0 4554 4554 0 0
# scanned=68056
# found=0
# cleaned=0
# scan_time=1903
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=047b54e4e5ff2e47b02e750228a542f5
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-03 09:44:33
# local_time=2012-04-03 11:44:33 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777179 100 0 8889423 8889423 0 0
# compatibility_mode=8192 67108863 100 0 3617441 3617441 0 0
# scanned=71307
# found=0
# cleaned=0
# scan_time=1680
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=047b54e4e5ff2e47b02e750228a542f5
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-28 10:56:57
# local_time=2012-08-28 12:56:57 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777179 100 0 21591642 21591642 0 0
# compatibility_mode=8192 67108863 100 0 16319660 16319660 0 0
# scanned=93204
# found=0
# cleaned=0
# scan_time=4605
Liebe Grüße - Christian

Alt 28.08.2012, 19:47   #10
t'john
/// Helfer-Team
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 6 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Alt 28.08.2012, 23:51   #11
Soulmate
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Hallo,

1.) Ich krieg seid einigen Neustarts von AntiVir ständig die Info das eine Datei, die nach dem Schema AAA002842.exe geblockt wurde... Ich vermute, dass sie sich in irgendeinem restore point festgesetzt hat, falls das irgendeinen Sinn ergibt.

2.) Beim befolgen der Anweisungen wie ich Java einstellen soll steht ich solle im Reiter Erweitert auf wöchentlich stellen. Dazu gibt es aber keine Einstellung. Ich nehme an, dass das nicht allzu wichtig ist.

Hier der PluginCheck:

Code:
ATTFilter
PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

    Firefox 14.0.1 ist aktuell

    Flash 11,3,300,271 ist veraltet!
    Aktualisieren Sie bitte auf die neueste Version!

    Java (1,7,0,6) ist aktuell.

    Adobe Reader 7,0,5,172 ist veraltet!
    Aktualisieren Sie bitte auf die neueste Version: 10,1,3
Liebe Grüße - Christian

Alt 29.08.2012, 01:53   #12
t'john
/// Helfer-Team
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Zitat:
1.) Ich krieg seid einigen Neustarts von AntiVir ständig die Info das eine Datei, die nach dem Schema AAA002842.exe geblockt wurde... Ich vermute, dass sie sich in irgendeinem restore point festgesetzt hat, falls das irgendeinen Sinn ergibt.
Gibts ein Log?
__________________
Mfg, t'john
Das TB unterstützen

Alt 29.08.2012, 09:25   #13
Soulmate
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Hallo,
Ich glaube nicht dass das ein Log ist, ich poste es trotzdem Mal

Code:
ATTFilter
Exportierte Ereignisse:

28.08.2012 22:06 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{3AEEBBA4-9842-4225-BEF3-F0A8555E0A6A}\RP156\A0023446.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern
Ich hab die Datei nie gelöscht, sondern immer den Zugriff verweigert, weil ich dachte, dass die Art/ das Programm des Löschvorgangs ziemlich entscheidend ist. Soll ich das so beibehalten, also nicht löschen?

Lieben Gruß - Christian

Alt 29.08.2012, 19:53   #14
t'john
/// Helfer-Team
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Das ist harmlos, da in der Systemwiederherstellung.

Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

  • Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
  • temporäre Dateien löschen.




Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 30.08.2012, 17:33   #15
Soulmate
 
Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - Standard

Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


Lieber t'John,

Ich bedanke mich sehr herzlich für deine Hilfe.
Ich habe die Punkte abgearbeitet und hoffe, dass ich in naher Zukunft nicht mehr auf die Hilfe des Trojaner-Boards angewiesen bin.
Beim bereinigen der Registry durch CCleaner blieb ein Eintrag auch nach 10-maligem reinigen bestehen. Ist das relevant?
Weiterhin wäre ich dankbar für einen Hinweis bezüglich AntiVir. Ist es noch clever das zu benutzen, gibt es kostenlose, bessere Alternativen?
Nun, alles liebe und Danke noch Mal - Christian

Antwort
Seite 1 von 2 1 2

Themen zu Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart
administrator, adobe, antivir, autorun, avg, avira, bho, einstellungen, explorer, firefox, format, hilfreich, homepage, log, logfile, malware, mozilla, neustart, nvidia, opera, plug-in, prozesse, realtek, registry, software, starten, task-manager, trojaner-board


« Meldung: Computer gesperrt...Bundespolizei...OTL schon installiert | MyStart Incredibar - wie gehe ich weiter vor? »


Ähnliche Themen: Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart


  1. Fullscreen Werbung blockiert Browser
    Log-Analyse und Auswertung - 08.12.2014 (13)
  2. Ukash Bundespolizei
    Log-Analyse und Auswertung - 10.09.2012 (5)
  3. Bundespolizei-Trojaner (ukash)
    Plagegeister aller Art und deren Bekämpfung - 31.07.2012 (19)
  4. Bundespolizei Ukash
    Log-Analyse und Auswertung - 26.07.2012 (17)
  5. GVU/ angebliche Bundespolizei/ Trojaner
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (34)
  6. UKash Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (1)
  7. Ukash-Bundespolizei Trojaner
    Log-Analyse und Auswertung - 03.07.2012 (15)
  8. Bundespolizei Ukash Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (29)
  9. Bundespolizei Ukash
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (2)
  10. Bundespolizei Ukash
    Plagegeister aller Art und deren Bekämpfung - 25.11.2011 (7)
  11. Bundespolizei Ukash PC befallen
    Log-Analyse und Auswertung - 13.11.2011 (30)
  12. Bundespolizei-Ukash
    Log-Analyse und Auswertung - 24.10.2011 (31)
  13. AW: Bundespolizei-Ukash
    Log-Analyse und Auswertung - 20.09.2011 (9)
  14. Bundespolizei-Ukash
    Log-Analyse und Auswertung - 09.09.2011 (41)
  15. Bundespolizei und ukash
    Plagegeister aller Art und deren Bekämpfung - 30.07.2011 (1)
  16. Bundespolizei / UKASH
    Log-Analyse und Auswertung - 19.07.2011 (4)
  17. Bundespolizei / UKASH
    Log-Analyse und Auswertung - 05.06.2011 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart - LIebes Trojaner-Board, Seit Gestern habe ich mal wieder Malware auf dem Rechner. Es ist eines dieser Fenster, die beim Systemstart geöffnet werden und keine Möglichkeit offen lassen auf den PC - Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart...
Archiv
Du betrachtest: Angebliche Straftat - Bundespolizei - 100€ Ukash - Fullscreen bei Systemstart auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54