| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bundespolizeitrojaner eingefangenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.04.2013, 16:57
| #1 |
| |  Bundespolizeitrojaner eingefangen Hallo Zusammen! Habe mir einen Bundespolizeitrojaner eingefangen. Habe OLT PE CD auf einem sauberen zweiten rechner erstellt und auf dem infizierten gebootet. Hier das txt.Dokument:OTL Logfile: Was muss ich jetzt als zweiten Schritt machen? Wie schlimm ist es um den Rechner bestellt? Code:
ATTFilter OTL logfile created on: 4/6/2013 6:20:43 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,022.00 Mb Total Physical Memory | 826.00 Mb Available Physical Memory | 81.00% Memory free
906.00 Mb Paging File | 850.00 Mb Available in Paging File | 94.00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232.88 Gb Total Space | 217.06 Gb Free Space | 93.21% Space Free | Partition Type: NTFS
Drive D: | 232.89 Gb Total Space | 232.81 Gb Free Space | 99.97% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
========== Win32 Services (SafeList) ==========
SRV - File not found [On_Demand] -- -- (AppMgmt)
SRV - [2013/04/01 13:20:12 | 000,078,336 | ---- | M] () [Auto] -- C:\DOKUME~1\ALLUSE~1\ANWEND~1\6zgzdb.dat -- (winmgmt)
SRV - [2011/07/03 04:30:28 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/05/24 04:33:30 | 001,840,128 | ---- | M] (MAGIX AG) [Auto] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2011/04/30 07:31:40 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/04/26 07:54:12 | 002,702,848 | ---- | M] (MAGIX®) [On_Demand] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2006/10/26 13:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | Auto] -- -- (SSPORT)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2011/07/03 04:30:29 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/03 04:30:29 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/05/11 06:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009/05/11 04:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008/07/30 09:44:46 | 000,619,136 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rt2870.sys -- (rt2870)
DRV - [2007/01/17 05:25:12 | 000,041,984 | ---- | M] (Samsung Electronics Co., Ltd.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\DGIVECP.SYS -- (DgiVecp)
DRV - [2006/05/30 12:40:00 | 000,922,112 | ---- | M] (Pinnacle Systems GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PCTVx010ix.sys -- (PCTVx010ix)
DRV - [2006/02/27 00:46:20 | 000,081,408 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2005/12/09 11:48:40 | 004,123,136 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2005/03/29 12:02:22 | 000,116,594 | ---- | M] (AuthenTec, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ATSwpDrv.sys -- (ATSWPDRV) AuthenTec TruePrint USB Driver (AES2500)
DRV - [2005/01/07 11:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004/08/03 17:10:14 | 000,015,360 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2004/08/03 16:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Andrea_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Malte_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de/
IE - HKU\Malte_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\Malte_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\Andrea_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\Malte_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [ATSwpNav] C:\Programme\Fingerprint Sensor\ATSwpNav.exe (AuthenTec, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [F5D8055v1] C:\Programme\Belkin\F5D8055\v1\Belkinwcui.exe (Belkin)
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [Maple_S2P] File not found
O4 - HKLM..\Run: [NECHotkey] C:\WINDOWS\mHotkey.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\Malte_ON_C..\Run: [ctfmon.exe] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Event Reminder.lnk = C:\Programme\PrintMaster 16\pmremind.exe (Broderbund Properties LLC)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\simplicheck.lnk = C:\Programme\simplitec\simplicheck\simplicheck.exe (simplitec)
O4 - Startup: C:\Dokumente und Einstellungen\Andrea\Startmenü\Programme\Autostart\msconfig.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Malte\Startmenü\Programme\Autostart\msconfig.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Andrea_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Malte_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\Setup.exe
O33 - MountPoints2\E\Shell\install\command - "" = E:\Setup.exe
O33 - MountPoints2\E\Shell\install.net\command - "" = E:\Setup\1033dotnetfx.exe
O33 - MountPoints2\E\Shell\readfile\command - "" = hh.exe readme.htm
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2013/04/01 13:20:12 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2013/04/06 11:12:15 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/04/06 11:12:13 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/04/06 11:12:08 | 1072,222,208 | -HS- | M] () -- C:\hiberfil.sys
[2013/04/04 12:43:10 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bdzgz6.pad
[2013/04/04 12:39:03 | 000,000,226 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2013/04/04 12:06:53 | 000,000,797 | ---- | M] () -- C:\Dokumente und Einstellungen\Andrea\Startmenü\Programme\Autostart\msconfig.lnk
[2013/04/01 13:20:17 | 000,000,797 | ---- | M] () -- C:\Dokumente und Einstellungen\Malte\Startmenü\Programme\Autostart\msconfig.lnk
[2013/04/01 13:20:15 | 000,003,061 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bdzgz6.js
[2013/04/01 13:20:12 | 000,078,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6zgzdb.dat
[2013/04/01 13:20:12 | 000,033,792 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe
[2013/04/01 13:20:11 | 000,078,336 | ---- | M] () -- C:\Dokumente und Einstellungen\Malte\1167318.dll
[2013/03/16 10:02:27 | 000,094,110 | ---- | M] () -- C:\Dokumente und Einstellungen\Malte\Desktop\11-11-23-162125_5030Anfahrsiebe.pdf
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files Created - No Company Name ==========
[2013/04/04 12:06:52 | 000,000,797 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Startmenü\Programme\Autostart\msconfig.lnk
[2013/04/01 13:20:17 | 000,000,797 | ---- | C] () -- C:\Dokumente und Einstellungen\Malte\Startmenü\Programme\Autostart\msconfig.lnk
[2013/04/01 13:20:15 | 000,003,061 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bdzgz6.js
[2013/04/01 13:20:13 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bdzgz6.pad
[2013/04/01 13:20:12 | 000,078,336 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6zgzdb.dat
[2013/04/01 13:20:10 | 000,078,336 | ---- | C] () -- C:\Dokumente und Einstellungen\Malte\1167318.dll
[2013/03/16 10:02:27 | 000,094,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Malte\Desktop\11-11-23-162125_5030Anfahrsiebe.pdf
[2012/10/16 15:22:00 | 000,271,680 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011/01/30 14:27:36 | 000,000,238 | ---- | C] () -- C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\varicad-work.ini
[2010/12/30 10:48:37 | 000,010,410 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\SmarThruOptions.xml
[2010/11/24 12:36:30 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/10/17 06:39:30 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/10/02 13:13:12 | 000,013,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Malte\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/10/02 11:43:46 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\UpdateDriver.exe
[2010/10/02 11:43:46 | 000,005,116 | ---- | C] () -- C:\WINDOWS\System32\ucuiinfo.ini
[2010/10/02 11:43:46 | 000,004,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\RT2870.bin
[2010/10/02 11:41:29 | 000,000,036 | ---- | C] () -- C:\WINDOWS\iltwain.ini
[2010/10/02 11:41:14 | 000,009,391 | ---- | C] () -- C:\WINDOWS\System32\dymourl.ini
[2010/10/02 11:40:48 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\DYMOCFG.DLL
[2010/10/02 11:40:48 | 000,004,096 | ---- | C] () -- C:\WINDOWS\System32\lmmonres.dll
[2010/10/02 11:32:01 | 000,010,455 | ---- | C] () -- C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\SmarThruOptions.xml
[2010/10/02 11:31:43 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\SecSNMP.dll
[2010/10/02 11:31:38 | 000,000,116 | ---- | C] () -- C:\WINDOWS\Readiris.ini
[2010/10/02 11:31:36 | 000,023,040 | ---- | C] () -- C:\WINDOWS\System32\irisco32.dll
[2010/10/02 11:30:48 | 000,479,232 | ---- | C] () -- C:\WINDOWS\ssndii.exe
[2010/10/02 11:26:54 | 000,110,592 | R--- | C] () -- C:\WINDOWS\WiaInst.exe
[2010/10/02 11:26:53 | 000,094,208 | R--- | C] () -- C:\WINDOWS\System32\WIAIPH.dll
[2010/10/02 11:26:53 | 000,086,016 | R--- | C] () -- C:\WINDOWS\System32\WIAEH.dll
[2010/10/02 11:26:53 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\Sswiadrv.dll
[2010/10/02 11:26:53 | 000,057,344 | R--- | C] () -- C:\WINDOWS\System32\WIASTIIO.dll
[2010/10/02 11:26:53 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\Ssuiext.dll
[2010/10/02 11:26:35 | 000,022,723 | ---- | C] () -- C:\WINDOWS\System32\cx21sl3.dll
[2010/10/02 10:55:05 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Malte\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/10/02 10:51:21 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2010/10/02 10:44:40 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2010/10/02 10:44:40 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2010/10/02 10:43:03 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2010/10/02 10:41:58 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\716xCoInstaller.dll
[2010/10/02 10:41:38 | 000,548,864 | ---- | C] () -- C:\WINDOWS\mHotkey.exe
[2010/10/02 10:41:38 | 000,294,912 | ---- | C] () -- C:\WINDOWS\PIC.dll
[2007/11/06 21:30:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007/11/06 21:30:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2007/11/06 21:30:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007/11/06 21:30:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2007/11/06 21:30:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007/11/06 21:30:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007/11/06 21:30:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2007/11/06 21:30:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2007/11/06 21:30:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007/04/27 04:43:58 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2006/04/10 08:18:00 | 000,006,741 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2004/08/11 13:13:19 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004/08/11 13:10:36 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/08/11 13:03:37 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/08/11 12:57:52 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/08/11 12:56:16 | 000,462,024 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004/08/11 12:48:09 | 000,462,332 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/11 12:48:09 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/11 12:48:09 | 000,085,336 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/11 12:48:09 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/11 12:47:49 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004/08/11 12:47:49 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/11 12:47:46 | 000,444,028 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/11 12:47:46 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/11 12:47:46 | 000,071,904 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/11 12:47:46 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/11 12:47:45 | 000,004,613 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/11 12:47:43 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/11 12:47:41 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/08/11 12:47:34 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/11 12:47:34 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/11 12:47:25 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/11 12:47:16 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
========== LOP Check ==========
[2013/03/05 11:40:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\simplitec
[2012/04/09 05:43:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\BSW
[2012/10/16 13:05:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\MAGIX
[2012/10/16 11:51:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\simplitec
[2010/10/02 11:32:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\SmarThru4
[2011/01/30 14:27:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\VariCAD
[2012/02/26 12:57:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2010/10/02 12:14:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Broderbund Software
[2012/10/10 13:10:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2010/10/02 12:19:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Riverdeep Interactive Learning Limited
[2012/10/10 13:00:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\simplitec
[2011/01/30 14:27:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VariCAD
[2010/10/02 10:54:48 | 000,000,258 | ---- | M] () -- C:\WINDOWS\Tasks\Registrierungserinnerung 2.job
[2010/10/02 10:54:48 | 000,000,258 | ---- | M] () -- C:\WINDOWS\Tasks\Registrierungserinnerung 3.job
[2013/04/04 12:39:03 | 000,000,226 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
========== Purity Check ==========
< End of report >
|
|
06.04.2013, 17:29
| #2 |
| /// TB-Ausbilder  | Bundespolizeitrojaner eingefangen!! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.  Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:  Bitte lesen:Regeln für die Bereinigung
Fix mit OTLpe Frage:
__________________ |
|
06.04.2013, 17:44
| #3 |
| | Bundespolizeitrojaner eingefangen ich bin nur mit dem zweiten rechner online
__________________Code:
ATTFilter ========== FILES ==========
C:\DOKUME~1\ALLUSE~1\ANWEND~1\6zgzdb.dat moved successfully.
OTLPE by OldTimer - Version 3.1.48.0 log created on 04062013_204932
das o.g. kommt nach FIX. Also das Ergebnis. Das textdokument sieht auch nicht anders aus. Ich kann wieder im normalen Modus starten. Allerdings sagt er mit das die Datei aus dem Skript fehlt. und jetzt? Habe auch schon Malewarebytes Antimaleware drüber laufen lassen. Hoffe das war richtig. Warte auf weitere Anweisungen. Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.04.06.05 Windows XP Service Pack 2 x86 NTFS Internet Explorer 8.0.6001.18702 Malte :: SN118240850313 [Administrator] Schutz: Aktiviert 06.04.2013 19:32:37 MBAM-log-2013-04-06 (20-23-16).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 304424 Laufzeit: 41 Minute(n), 24 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Dokumente und Einstellungen\Malte\1167318.dll (Trojan.Agent.NR) -> Keine Aktion durchgeführt. C:\_OTL\MovedFiles\04062013_204932\C_DOKUME~1\ALLUSE~1\ANWEND~1\6zgzdb.dat (Trojan.Agent.NR) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe (Trojan.Agent.Gen) -> Keine Aktion durchgeführt. Geändert von Brinkum2013 (06.04.2013 um 18:42 Uhr) |
|
07.04.2013, 12:50
| #4 |
| /// TB-Ausbilder | Bundespolizeitrojaner eingefangen Gut, jetzt bitte: Scan mit Combofix
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
07.04.2013, 13:57
| #5 |
| | Bundespolizeitrojaner eingefangen Hallo! Hier der combofix.txt Code:
ATTFilter ComboFix 13-04-06.02 - Malte 07.04.2013 14:44:16.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Malte\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\bdzgz6.pad
c:\dokumente und einstellungen\All Users\Anwendungsdaten\rundll32.exe
c:\dokumente und einstellungen\Malte\1167318.dll
c:\windows\IsUn0407.exe
c:\windows\system32\OLD315.tmp
c:\windows\system32\OLD318.tmp
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-03-07 bis 2013-04-07 ))))))))))))))))))))))))))))))
.
.
2013-04-07 00:49 . 2013-04-07 00:49 -------- d-----w- C:\_OTL
2013-04-06 17:32 . 2013-04-06 17:32 -------- d-----w- c:\dokumente und einstellungen\Administrator
2013-04-06 17:29 . 2013-04-06 17:29 -------- d-----w- c:\dokumente und einstellungen\Malte\Anwendungsdaten\Malwarebytes
2013-04-06 17:28 . 2013-04-06 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-04-06 17:28 . 2013-04-06 17:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2013-04-06 17:28 . 2012-12-14 14:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-04-06 17:25 . 2013-04-06 17:25 -------- d-sh--w- c:\dokumente und einstellungen\Malte\IECompatCache
2013-04-01 17:20 . 2013-04-01 17:20 3061 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\bdzgz6.js
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2013-01-28 1520776]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATSwpNav"="c:\programme\Fingerprint Sensor\ATSwpNav -run" [X]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"NECHotkey"="mHotkey.exe" [2006-01-11 548864]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 15691264]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-07 8523776]
"nwiz"="nwiz.exe" [2007-11-07 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-07 81920]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-02-13 536576]
"F5D8055v1"="c:\programme\Belkin\F5D8055\v1\Belkinwcui.exe" [2008-09-03 1662976]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-17 281768]
"ApnUpdater"="c:\programme\Ask.com\Updater\Updater.exe" [2013-01-28 1644680]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
c:\dokumente und einstellungen\Andrea\Startmenü\Programme\Autostart\
msconfig.lnk - c:\windows\system32\rundll32.exe [2004-8-11 33792]
.
c:\dokumente und einstellungen\Malte\Startmenü\Programme\Autostart\
msconfig.lnk - c:\windows\system32\rundll32.exe [2004-8-11 33792]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Event Reminder.lnk - c:\programme\PrintMaster 16\pmremind.exe [2006-10-29 339968]
simplicheck.lnk - c:\programme\simplitec\simplicheck\simplicheck.exe [2012-8-20 2936168]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [x]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [x]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [x]
S2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 PCTVx010ix;PCTVx010ix service;c:\windows\system32\DRIVERS\PCTVx010ix.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2010-10-02 c:\windows\Tasks\Registrierungserinnerung 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-11 12:00]
.
2010-10-02 c:\windows\Tasks\Registrierungserinnerung 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-11 12:00]
.
2013-04-07 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2013-01-28 17:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.arcor.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Maple_S2P - c:\programme\Samsung\Samsung CLX-216x Series\SPanel\Scan2pc.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-04-07 14:51
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-04-07 14:53:24
ComboFix-quarantined-files.txt 2013-04-07 12:53
.
Vor Suchlauf: 6 Verzeichnis(se), 232.823.304.192 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 233.005.748.224 Bytes frei
.
- - End Of File - - 44E325D8293D84F448D77D5E6BF88BEC
Ist da was falsch gelaufen?? Malewarebytes Anti.Malware war wohl zum schluss noch aktiviert? Ist das schlimm? Geändert von Brinkum2013 (07.04.2013 um 14:03 Uhr) |
|
07.04.2013, 14:10
| #6 |
| /// TB-Ausbilder | Bundespolizeitrojaner eingefangen Gut!  Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: Quick-Scan mit Malwarebytes Downloade Dir bitteSchritt 2: Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!  Schritt 3: Scan mit SecurityCheck Downloade Dir bitte  SecurityCheck und:
__________________ --> Bundespolizeitrojaner eingefangen |
|
07.04.2013, 17:53
| #7 |
| | Bundespolizeitrojaner eingefangen Ergebnis: Schritt 1 Quick-Scan mit Malwarebytes Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.04.07.04 Windows XP Service Pack 2 x86 NTFS Internet Explorer 8.0.6001.18702 Malte :: SN118240850313 [Administrator] Schutz: Deaktiviert 07.04.2013 16:48:57 mbam-log-2013-04-07 (16-48-57).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 246889 Laufzeit: 6 Minute(n), 26 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=a3a446d8fa4cba42a65c880ed2515c6e
# engine=13567
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-07 03:58:38
# local_time=2013-04-07 05:58:38 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1797 16775165 100 93 3337 101887174 0 0
# scanned=62605
# found=5
# cleaned=0
# scan_time=2630
sh=383424D93295FE6003FA193C8763BEF33151C625 ft=0 fh=0000000000000000 vn="Win32/Reveton.N trojan" ac=I fn="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bdzgz6.js"
sh=CECA78B749E0381D7BC3651734676ED690D47BA5 ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NPT trojan" ac=I fn="C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\3145031b-591ed982"
sh=7BABFD073E4398AC741F9CB683FD912DB4E94364 ft=1 fh=83a600562c8909b8 vn="Win32/Reveton.N trojan" ac=I fn="C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Malte\1167318.dll.vir"
sh=7BABFD073E4398AC741F9CB683FD912DB4E94364 ft=1 fh=83a600562c8909b8 vn="Win32/Reveton.N trojan" ac=I fn="C:\System Volume Information\_restore{66234F2B-C93E-4D94-8BDB-1899CBBA9319}\RP134\A0017133.dll"
sh=7BABFD073E4398AC741F9CB683FD912DB4E94364 ft=1 fh=83a600562c8909b8 vn="Win32/Reveton.N trojan" ac=I fn="C:\_OTL\MovedFiles\04062013_204932\C_DOKUME~1\ALLUSE~1\ANWEND~1\6zgzdb.dat"
Code:
ATTFilter Results of screen317's Security Check version 0.99.61 Windows XP Service Pack 2 x86 Out of date service pack!! Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! Avira AntiVir Personal - Free Antivirus Avira successfully updated! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 Java(TM) 6 Update 31 Java version out of Date! Adobe Flash Player 10 Flash Player out of Date! Adobe Reader 9 Adobe Reader out of Date! ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` Autolt Error Error: Varaible must be of type "Object" Ist das relevant. Der scan ist sonst ohne fehler durchgelaufen Was sind die nächsten schritte? |
|
07.04.2013, 18:17
| #8 | |
| /// TB-Ausbilder | Bundespolizeitrojaner eingefangen Ja das kann schon mal passieren. Also ein wenig Nachsorge müssen wir betreiben: Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Windows XP Service Pack 3 installieren
Schritt 2: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.Schritt 3: Update: Adobe Flash Player
Schritt 4: Update: Adobe Reader
Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Schritt 5: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck und:
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
08.04.2013, 18:00
| #9 |
| | Bundespolizeitrojaner eingefangen Alle Schritte erledigt! Hier das Ergebnis vom Scurity check: Code:
ATTFilter Results of screen317's Security Check version 0.99.61 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Avira Free Antivirus Avira successfully updated! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 Java 7 Update 17 Adobe Reader XI ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbamgui.exe Avira Antivir avgnt.exe Avira Antivir avguard.exe Malwarebytes' Anti-Malware mbamscheduler.exe Malte Desktop SecurityCheck.exe Malte LOKALE~1 Temp RarSFX1\SecurityCheck\Objlist.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` |
|
09.04.2013, 11:02
| #10 |
| /// TB-Ausbilder | Bundespolizeitrojaner eingefangen Prima! Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren Die Reihenfolge ist hier entscheidend.
Schritt 2: ESET deinstallieren (Optional)
Abschließend noch Tipps zu folgenden Themen:
Lesestoff:Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff:Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff:Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
 Lesestoff:Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
11.04.2013, 08:41
| #11 |
| /// TB-Ausbilder | Bundespolizeitrojaner eingefangen Schön, dass wir helfen konnten  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
| Themen zu Bundespolizeitrojaner eingefangen |
| avira, desktop, einstellungen, explorer, fontcache, format, hdaudio.sys, homepage, java/exploit.agent.npt, logfile, nvidia, plug-in, realtek, registry, software, trojan.agent.gen, trojan.agent.nr, wallpaper, win32/reveton.n, windows, windows xp, winlogon |
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
