Bundestrojaner

spikehansley · 12.06.2013, 07:20

moin moin,

ich habe mir den bundestrojaner eingefangen.

kann ich jetzt einfach im abgesicherten modus starten, nach den kürzlich angelegten exe files suchen, diese löschen wenn unbekannt. dann noch im autostart ctfmon raus und gut ist ?

oder sollte ich tieferschürfende dinge durchführen ?

danke !

t'john · 12.06.2013, 09:07

das alleine reicht nicht.

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

spikehansley · 12.06.2013, 10:18

sorry, ich habe nicht warten können und combofix im abgesicherten modus mit EA laufen lassen. er scheint weg zu sein. soll ich nun mit otl weiter machen ?

t'john · 12.06.2013, 11:43

wo ist das Combofix Log?

spikehansley · 12.06.2013, 13:21

Zitat:

Zitat von t'john

wo ist das Combofix Log?

Code:

ATTFilter

ComboFix 13-06-08.02 - user 12.06.2013  10:22:06.1.4 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1908.1531 [GMT 2:00]
ausgef¸hrt von:: f:\ComboFix.exe
AV: McAfee VirusScan Enterprise *Enabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Lˆschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\user\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\rundll32.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\wtog6z.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\z6gotw.pad
c:\dokumente und einstellungen\Default User\WINDOWS
c:\dokumente und einstellungen\user1\WINDOWS
c:\dokumente und einstellungen\user5\WINDOWS
c:\dokumente und einstellungen\user7\WINDOWS
c:\windows\dasetup.log
c:\windows\EventSystem.log
c:\windows\IsUn0407.exe
c:\windows\regsvr32.exe
c:\windows\system32\PowerToyReadme.htm
c:\windows\unin0407.exe
c:\windows\WindowsUpdate.log
c:\windows\wininit.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-05-12 bis 2013-06-12  ))))))))))))))))))))))))))))))
.
.
2013-06-12 04:46 . 2013-06-12 04:46	3098	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\z6gotw.js
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-15 07:37 . 2012-10-11 07:04	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-05-15 07:37 . 2011-08-29 12:34	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-08 09:26 . 2012-10-08 09:25	998536	------w-	c:\programme\install_flashplayer11x32_mssa_aih.exe
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2010-05-26 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-08-29 39408]
"ISUSPM"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet\Connect\11\ISUSPM.exe" [2009-05-05 222496]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"SmartAudio"="c:\programme\CONEXANT\SAII\SAIICpl.exe" [2009-11-16 307768]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-12-03 1594664]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2010-03-02 513384]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2009-12-21 69568]
"RotateImage"="c:\programme\Integrated Camera Driver\RCIMGDIR.exe" [2008-10-30 31744]
"TpShocks"="TpShocks.exe" [2009-12-11 337256]
"IMSS"="c:\programme\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2009-10-01 111640]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-03-04 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-03-04 174616]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-03-04 145432]
"TPFNF7"="c:\programme\Lenovo\NPDIRECT\TPFNF7SP.exe" [2010-04-21 62312]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2007-02-22 112216]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\UdaterUI.exe" [2006-12-19 136768]
"Check Point Endpoint Tray Application"="c:\programme\Gemeinsame Dateien\Check Point\UIFramework\cptray.exe" [2010-02-11 70024]
"DN4TRAY"="c:\programme\CheckPoint\Tray\DNTray.exe" [2010-02-23 710032]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Pointsec Tray"="c:\programme\Pointsec\Pointsec for PC\P95Tray.exe" [2010-02-22 858672]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"IndexSearch"="c:\programme\Nuance\PaperPort\IndexSearch.exe" [2010-03-08 46368]
"PDFHook"="c:\programme\Nuance\PDF Viewer Plus\pdfpro5hook.exe" [2010-03-05 636192]
"PDF5 Registry Controller"="c:\programme\Nuance\PDF Viewer Plus\RegistryController.exe" [2010-03-05 62752]
"ControlCenter4"="c:\programme\ControlCenter4\BrCcBoot.exe" [2010-10-26 139264]
"BrStsMon00"="c:\programme\Browny02\Brother\BrStMonW.exe" [2010-06-10 2621440]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-12-12 152544]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen¸\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2010-6-10 1725440]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2010-03-01 10:17	32768	----a-w-	c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2009-12-01 11:41	100104	----a-w-	c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DisknetClient]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 05:52	15360	----a-w-	c:\windows\system32\ctfmon.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\Programme\\Altiris\\Carbon Copy SA\\ShellKer.exe"=
"c:\\Programme\\Sybase\\SQL_Anywhere_7\\win32\\dbeng7.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
"c:\\WINDOWS\\system32\\msiexec.exe"=
.
R0 DNPFW;Disknet Pro Device Firewall Driver;c:\windows\system32\drivers\DNPFW.sys [23.02.2010 19:00 36784]
R0 DozeHDD;DozeHDD;c:\windows\system32\drivers\DOZEHDD.SYS [27.05.2010 13:21 24304]
R0 dvrem;Check Point ESME Client EPM  Driver;c:\windows\system32\drivers\dvrem.sys [23.02.2010 18:59 63408]
R0 KAEON;KAEon CD/DVD Writing Filter Driver;c:\windows\system32\drivers\kaeon.sys [23.02.2010 18:59 35376]
R0 prot_2k;prot_2k;c:\windows\system32\drivers\prot_2k.sys [22.02.2010 14:32 224816]
R0 PSG;Check Point Media Encryption PSG;c:\windows\system32\drivers\psg.sys [23.02.2010 18:59 55216]
R0 rmm;Check Point ESME Client RMM Driver;c:\windows\system32\drivers\rmm.sys [23.02.2010 18:59 24496]
R0 stmtpm;STM TPM Service;c:\windows\system32\drivers\stm_tpm.sys [10.06.2010 17:01 21504]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [09.10.2009 12:10 20520]
R1 CCDevice;CCDevice;c:\windows\system32\drivers\CCDevice.sys [30.03.2004 17:58 9216]
R1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\drivers\smiif32.sys [27.05.2010 13:22 13480]
R1 rxAES100;Reflex Magnetics FIPS140-2 Driver;c:\windows\system32\drivers\rxaes100.sys [23.02.2010 18:48 46592]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [28.05.2010 09:49 59520]
R2 DisknetClient;Check Point ESME Client Service;c:\programme\CheckPoint\Pointsec Protector Client\disknet.exe [23.02.2010 18:59 1402248]
R2 DozeSvc;Lenovo Doze Mode Service;c:\programme\ThinkPad\Utilities\DOZESVC.EXE [27.05.2010 13:21 132456]
R2 HWDeviceService.exe;HWDeviceService.exe;c:\dokumente und einstellungen\All Users\Anwendungsdaten\DatacardService\HWDeviceService.exe [14.03.2011 17:27 271712]
R2 LENOVO.CAMMUTE;Lenovo Camera Mute;c:\programme\Lenovo\Communications Utility\CamMute.exe [27.05.2010 13:21 50536]
R2 Lenovo.micmute;Lenovo Microphone Mute;c:\programme\Lenovo\HOTKEY\micmute.exe [27.05.2010 13:22 44984]
R2 PDFProFiltSrvPP;PDFProFiltSrvPP;c:\programme\Nuance\PaperPort\PDFProFiltSrvPP.exe [09.03.2010 00:40 144672]
R2 Pointsec;Pointsec;c:\windows\system32\Prot_srv.exe [22.02.2010 14:33 649776]
R2 Pointsec_start;Pointsec Service Start;c:\windows\system32\pstartSr.exe [22.02.2010 14:33 231984]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [27.05.2010 13:21 53248]
R2 QDLService2kLenovo;Qualcomm Gobi 2000 Download Service (Lenovo);c:\programme\QUALCOMM\QDLService2k\QDLService2kLenovo.exe [18.12.2009 18:03 331512]
R2 rimspci;rimspci;c:\windows\system32\drivers\rimspe86.sys [27.05.2010 13:24 45056]
R2 smihlp;SMI Helper Driver (smihlp);c:\programme\ThinkVantage Fingerprint Software\smihlp.sys [13.03.2009 13:47 12560]
R2 TPHKSVC;Anzeige am Bildschirm;c:\programme\Lenovo\HOTKEY\TPHKSVC.exe [27.05.2010 13:22 63928]
R2 UNS;Intel(R) Management & Security Application User Notification Service;c:\programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [27.05.2010 13:24 2320920]
R3 5U877;USB Video Device;c:\windows\system32\drivers\5U877.sys [27.05.2010 13:23 127232]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [26.05.2010 14:57 53120]
R3 BrYNSvc;BrYNSvc;c:\programme\Browny02\BrYNSvc.exe [23.09.2011 14:01 245760]
R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k5132.sys [27.05.2010 10:19 167080]
R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\drivers\ew_jubusenum.sys [14.02.2012 10:04 73216]
R3 Impcd;Impcd;c:\windows\system32\drivers\Impcd.sys [27.05.2010 13:28 132352]
R3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\drivers\IntcDAud.sys [27.05.2010 13:28 235520]
R3 qcfilterlno2k;Gobi 2000 USB Composite Device Filter Driver(05C6-9205);c:\windows\system32\drivers\qcfilterlno2k.sys [27.05.2010 13:25 5248]
R3 qcusbnetlno2k;Gobi 2000 USB-NDIS miniport(05C6-9205);c:\windows\system32\drivers\qcusbnetlno2k.sys [27.05.2010 13:25 116224]
R3 qcusbserlno2k;Gobi 2000 USB Device for Legacy Serial Communication(05C6-9205);c:\windows\system32\drivers\qcusbserlno2k.sys [27.05.2010 13:25 106368]
S2 Mobile Partner. RunOuc;Mobile Partner. OUC;c:\programme\Mobile Partner\UpdateDog\ouc.exe [14.02.2012 10:03 246112]
S3 BrSerIb;Brother Serial Interface Driver(WDM);c:\windows\system32\drivers\BrSerIb.sys [23.09.2011 14:02 71424]
S3 BrUsbSIb;Brother Serial USB Driver(WDM);c:\windows\system32\drivers\BrUsbSib.sys [23.09.2011 14:02 11520]
S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\drivers\ew_hwusbdev.sys [14.02.2012 10:04 102784]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [14.02.2012 10:04 235392]
S3 FUS2BASE;FRITZ!Card USB;c:\windows\system32\drivers\fus2base.sys [26.05.2010 14:57 578432]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [16.03.2012 12:34 18432]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{059dc570-6e3f-11df-9197-00a0c6000000}]
\Shell\AutoRun\command - g:\programs\nu2menu\nu2menu.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a66a349c-89ea-11e1-a270-00a0c6000000}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf9cc3cd-4d72-11e1-a266-002314a99d54}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf9cc3dc-4d72-11e1-a266-00a0c6000000}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-06-06 05:24	1165776	----a-w-	c:\programme\Google\Chrome\Application\27.0.1453.110\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-06-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-11 07:37]
.
2012-03-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2013-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-29 12:34]
.
2013-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-08-29 12:34]
.
2013-06-12 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2010-05-27 23:20]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = 
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Mit PDF Viewer Plus ˆffnen - c:\programme\Nuance\PDF Viewer Plus\Bin\PlusIEContextMenu.dll/PlusIEContextMenu.htm
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -
.
HKCU-Run-ctfmon32.exe - c:\dokume~1\ALLUSE~1\ANWEND~1\rundll32.exe
SafeBoot-disknet
AddRemove-Adobe Type Manager 4.1 - c:\windows\unin0407.exe
AddRemove-HijackThis - f:\ct\Sonst\HijackThis\HijackThis.exe
AddRemove-SQL Anywhere Studio 7.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-06-12 10:35
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteintr‰ge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1248)
c:\windows\system32\pssogina.dll
c:\windows\system32\LogonAgentAPI.dll
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\windows\system32\MSVCR71.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infql2.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\qlbase.dll
.
- - - - - - - > 'lsass.exe'(1304)
c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infql2.dll
.
- - - - - - - > 'explorer.exe'(5248)
c:\programme\Hardcopy\HcDLL2_30_Win32.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\progra~1\Lenovo\HOTKEY\tpnumlk.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\mcshield.exe
c:\programme\McAfee\VirusScan Enterprise\vstskmgr.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mobile Partner\OnlineUpdate\ouc.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\progra~1\Lenovo\HOTKEY\tpnumlkd.exe
c:\windows\system32\rundll32.exe
c:\programme\Lenovo\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\Zoom\TpScrex.exe
c:\windows\system32\TpShocks.exe
c:\programme\Synaptics\SynTP\SynTPLpr.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\McAfee\Common Framework\McTray.exe
c:\programme\Brother\ControlCenter3\brccMCtl.exe
c:\programme\Brother\Brmfcmon\BrMfcmon.exe
c:\programme\ControlCenter4\BrCtrlCntr.exe
c:\windows\system32\rundll32.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\ControlCenter4\BrCcUxSys.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-06-12  10:40:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-06-12 08:40
.
Vor Suchlauf: 5.423.923.200 Bytes frei
Nach Suchlauf: 6.265.491.456 Bytes frei
.
- - End Of File - - 393E20A9A422CB58B8FD855DEF314BEF
D41D8CD98F00B204E9800998ECF8427E

t'john · 12.06.2013, 15:59

gut.

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

dann:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

spikehansley · 13.06.2013, 07:27

danke für deine hilfe, kannst hier zu machen !

t'john · 14.06.2013, 08:11

wir sind noch nicht fertig und dein Rechner noch nicht abgesichert.

Bitte die Schritte abarbeiten und die Logs posten.

spikehansley · 14.06.2013, 12:34

hi, ich hatte zufällig jemanden da, der mir die logs ausgewertet hat. es passt alles wieder. danke !

t'john · 14.06.2013, 19:42

Deine Entscheidung.

12.06.2013, 11:43	#4
t'john /// Helfer-Team	Bundestrojaner wo ist das Combofix Log? __________________ Mfg, t'john Das TB unterstützen

14.06.2013, 08:11	#8
t'john /// Helfer-Team	Bundestrojaner wir sind noch nicht fertig und dein Rechner noch nicht abgesichert. Bitte die Schritte abarbeiten und die Logs posten. __________________ Mfg, t'john Das TB unterstützen

14.06.2013, 19:42	#10
t'john /// Helfer-Team	Bundestrojaner Deine Entscheidung. __________________ Mfg, t'john Das TB unterstützen

Bundestrojaner

Plagegeister aller Art und deren Bekämpfung: Bundestrojaner

Bundestrojaner

Bundestrojaner

Bundestrojaner

Bundestrojaner

Bundestrojaner

Bundestrojaner

Bundestrojaner

Bundestrojaner

Bundestrojaner

Bundestrojaner

Ähnliche Themen: Bundestrojaner

12.06.2013, 07:20	#1
spikehansley	Bundestrojaner moin moin, ich habe mir den bundestrojaner eingefangen. kann ich jetzt einfach im abgesicherten modus starten, nach den kürzlich angelegten exe files suchen, diese löschen wenn unbekannt. dann noch im autostart ctfmon raus und gut ist ? oder sollte ich tieferschürfende dinge durchführen ? danke !

12.06.2013, 10:18	#3
spikehansley	Bundestrojaner sorry, ich habe nicht warten können und combofix im abgesicherten modus mit EA laufen lassen. er scheint weg zu sein. soll ich nun mit otl weiter machen ? __________________

13.06.2013, 07:27	#7
spikehansley	Bundestrojaner danke für deine hilfe, kannst hier zu machen !

14.06.2013, 12:34	#9
spikehansley	Bundestrojaner hi, ich hatte zufällig jemanden da, der mir die logs ausgewertet hat. es passt alles wieder. danke !