Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BKA Trojaner eingefangen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.01.2014, 16:48   #1
sklussmann
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen



Hallo ....,

auch ich habe mir (wie auch immer) den BKA Trojaner eingefangen.
Die Tips aus dem Netz wie z.B. via abgesichertem Modus eine
Systemwiederherstellung vorzunehmen funktionieren leider nicht,
da der Rechner sofort wieder runterfährt.

ich habe nun hier im board gesehen das via OTLPE ein Scan vorgenommen
werden kann - das habe ich und würde nun hier den OTL.txt posten,
ob mir wohl anschließend jemand weiter helfen kann?
Vielen Dank schon mal im voraus

Hier also nun die txt. datei

OTL logfile created on: 1/15/2014 4:28:43 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yy

989.00 Mb Total Physical Memory | 782.00 Mb Available Physical Memory | 79.00% Memory free
881.00 Mb Paging File | 822.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1488 2976 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 146.48 Gb Total Space | 119.13 Gb Free Space | 81.33% Space Free | Partition Type: NTFS
Drive D: | 151.60 Gb Total Space | 151.25 Gb Free Space | 99.77% Space Free | Partition Type: NTFS
Drive E: | 15.01 Gb Total Space | 14.63 Gb Free Space | 97.46% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003

========== Win32 Services (SafeList) ==========

SRV - [2013/12/12 03:34:34 | 000,257,416 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013/12/10 12:43:20 | 001,729,336 | ---- | M] (TuneUp Software) [Auto] -- C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
SRV - [2013/12/10 12:43:18 | 000,030,520 | ---- | M] (TuneUp Software) [Auto] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2013/10/01 07:14:40 | 005,087,584 | ---- | M] (TeamViewer GmbH) [Disabled] -- C:\Programme\TeamViewer\Version8\TeamViewer_Service.exe -- (TeamViewer8)
SRV - [2007/04/27 00:40:00 | 000,206,400 | ---- | M] (SafeNet, Inc) [Auto] -- C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe -- (SentinelProtectionServer)
SRV - [2007/04/26 18:00:04 | 000,316,992 | ---- | M] (SafeNet, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe -- (SentinelKeysServer)
SRV - [2006/11/27 08:24:38 | 001,860,704 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Symantec AntiVirus\Rtvscan.exe -- (Symantec AntiVirus)
SRV - [2006/11/27 08:22:04 | 000,120,416 | ---- | M] (symantec) [Auto] -- C:\Programme\Symantec AntiVirus\SavRoam.exe -- (SavRoam)
SRV - [2006/11/27 08:18:28 | 000,031,840 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Symantec AntiVirus\DefWatch.exe -- (DefWatch)
SRV - [2006/10/26 07:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/09/08 07:47:28 | 002,528,960 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Programme\Symantec\LiveUpdate\LuComServer_3_1.EXE -- (LiveUpdate)
SRV - [2006/08/07 09:03:02 | 000,214,720 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe -- (SNDSrvc)
SRV - [2006/07/19 12:26:12 | 000,169,632 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe -- (ccSetMgr)
SRV - [2006/07/19 12:26:06 | 000,192,160 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe -- (ccEvtMgr)
SRV - [2006/04/11 10:13:38 | 001,160,848 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe -- (SPBBCSvc)
SRV - [2000/06/09 12:07:46 | 000,045,056 | ---- | M] () [Disabled] -- C:\WINDOWS\system32\Ofps.exe -- (OmniForm Printer)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2012/11/16 09:51:36 | 000,010,088 | ---- | M] (TuneUp Software) [Kernel | On_Demand] -- C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)
DRV - [2010/07/08 05:56:52 | 001,347,504 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20100629.002\NAVEX15.SYS -- (NAVEX15)
DRV - [2010/07/08 05:56:52 | 000,085,552 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20100629.002\NAVENG.SYS -- (NAVENG)
DRV - [2010/07/08 05:56:51 | 000,371,248 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
DRV - [2010/07/08 05:56:51 | 000,102,448 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)
DRV - [2009/08/03 21:28:18 | 000,011,296 | R--- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\AsIO.sys -- (AsIO)
DRV - [2009/05/22 18:37:50 | 005,082,624 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009/01/22 11:25:26 | 000,120,064 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008/09/22 00:40:46 | 000,109,568 | R--- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) Intel(R)
DRV - [2008/08/05 15:10:12 | 001,684,736 | R--- | M] (Creative) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2007/04/27 00:40:00 | 000,090,688 | ---- | M] (SafeNet, Inc.) [Kernel | Auto] -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS -- (Sentinel)
DRV - [2006/09/18 09:55:28 | 000,109,744 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent)
DRV - [2006/09/06 06:41:20 | 000,337,592 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\Programme\Symantec AntiVirus\savrt.sys -- (SAVRT)
DRV - [2006/09/06 06:41:20 | 000,054,968 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\Programme\Symantec AntiVirus\Savrtpel.sys -- (SAVRTPEL)
DRV - [2006/08/07 09:02:26 | 000,195,776 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\WINDOWS\System32\Drivers\SYMTDI.SYS -- (SYMTDI)
DRV - [2006/08/07 09:02:22 | 000,024,768 | ---- | M] (Symantec Corporation) [Kernel | On_Demand] -- C:\WINDOWS\System32\Drivers\SYMREDRV.SYS -- (SYMREDRV)
DRV - [2006/04/11 10:13:34 | 000,389,776 | ---- | M] (Symantec Corporation) [Kernel | System] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys -- (SPBBCDrv)
DRV - [2006/01/04 10:41:48 | 001,389,056 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2004/08/12 21:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========



IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


IE - HKU\Export_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\Export_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Export_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = localhost:8080




FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_9_900_170.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)



O1 HOSTS File: ([2013/10/14 03:24:02 | 000,450,629 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 15468 more lines...
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O4 - HKLM..\Run: [CANON DR2580C SVC] C:\WINDOWS\System32\DR25SVC.dll (Canon Electronics)
O4 - HKLM..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe (Symantec Corporation)
O4 - HKLM..\Run: [Seagull Drivers] C:\WINDOWS\ssdal_nc.exe ()
O4 - HKLM..\Run: [vptray] C:\Programme\Symantec AntiVirus\VPTray.exe (Symantec Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Export_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\Export_ON_C Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\Export_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Other.res) - C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Other.res ()
O20 - Winlogon\Notify\NavLogon: DllName - C:\WINDOWS\system32\NavLogon.dll - C:\WINDOWS\system32\NavLogon.dll (Symantec Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O27 - HKLM IFEO\omniform.exe: Debugger - "C:\Programme\TuneUp Utilities 2013\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\swizard.exe: Debugger - "C:\Programme\TuneUp Utilities 2013\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\teamviewer.exe: Debugger - "C:\Programme\TuneUp Utilities 2013\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\uninstall.exe: Debugger - "C:\Programme\TuneUp Utilities 2013\TUAutoReactivator32.exe" (TuneUp Software)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/07/08 05:02:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (sdnclean.exe) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2014/01/08 05:25:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Export\Desktop\ACE LS
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2014/01/15 09:57:49 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2014/01/15 09:55:53 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2014/01/15 09:55:17 | 000,000,304 | ---- | M] () -- C:\WINDOWS\tasks\Blstte.job
[2014/01/15 07:34:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2014/01/15 02:18:42 | 000,567,675 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Leistungsverzeichnis_05_2013_deutsch (1).pdf
[2014/01/15 02:09:33 | 000,000,168 | ---- | M] () -- C:\WINDOWS\setscan.ini
[2014/01/14 09:34:08 | 001,314,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Desktop\140011012 TSE.pdf
[2014/01/14 08:20:23 | 001,314,672 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Desktop\140011011 TSE.pdf
[2014/01/14 05:32:14 | 000,177,882 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Desktop\Debit.pdf
[2014/01/14 03:11:55 | 000,002,301 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PaperPort.lnk
[2014/01/14 03:07:52 | 000,567,675 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Leistungsverzeichnis_05_2013_deutsch.pdf
[2014/01/14 02:47:17 | 000,039,793 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Abholschein_Export_V122013.pdf
[2014/01/13 09:40:15 | 000,047,425 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Desktop\Angebot Luftfracht.pdf
[2014/01/13 07:35:45 | 001,310,354 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Desktop\AWB Beijing.pdf
[2014/01/13 04:24:08 | 000,002,529 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Excel.lnk
[2014/01/02 08:04:57 | 000,326,724 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Leistungsangebot-WSB-2013.pdf
[2013/12/30 02:13:42 | 000,002,385 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\OmniForm 5.0.lnk
[2013/12/20 05:15:08 | 000,068,403 | ---- | M] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\8662394042.pdf
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2014/01/15 02:18:40 | 000,567,675 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Leistungsverzeichnis_05_2013_deutsch (1).pdf
[2014/01/14 09:34:07 | 001,314,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Desktop\140011012 TSE.pdf
[2014/01/14 08:20:22 | 001,314,672 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Desktop\140011011 TSE.pdf
[2014/01/14 05:31:49 | 000,177,882 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Desktop\Debit.pdf
[2014/01/14 03:07:50 | 000,567,675 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Leistungsverzeichnis_05_2013_deutsch.pdf
[2014/01/14 02:47:16 | 000,039,793 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Abholschein_Export_V122013.pdf
[2014/01/13 09:40:15 | 000,047,425 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Desktop\Angebot Luftfracht.pdf
[2014/01/13 07:35:43 | 001,310,354 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Desktop\AWB Beijing.pdf
[2014/01/02 08:04:56 | 000,326,724 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Leistungsangebot-WSB-2013.pdf
[2013/12/20 05:15:07 | 000,068,403 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\8662394042.pdf
[2013/10/14 09:16:16 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
[2013/10/10 01:34:23 | 000,011,700 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2013/09/30 06:01:41 | 000,249,856 | RHS- | C] () -- C:\WINDOWS\System32\progman5.dll
[2013/06/12 05:05:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\BRCALIB.INI
[2012/11/26 11:33:03 | 000,015,428 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\RefEdit.exd
[2012/02/23 07:20:16 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/07/15 09:32:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011/06/08 05:07:32 | 000,031,864 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2010/09/22 05:37:41 | 000,000,125 | ---- | C] () -- C:\WINDOWS\pixcache.ini
[2010/09/22 05:25:02 | 000,000,168 | ---- | C] () -- C:\WINDOWS\setscan.ini
[2010/07/08 06:24:31 | 004,163,616 | ---- | C] () -- C:\WINDOWS\System32\db2krun.exe
[2010/07/08 06:24:31 | 000,423,936 | ---- | C] () -- C:\WINDOWS\System32\db2kr_de.dll
[2010/07/08 06:06:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\vpc32.INI
[2010/07/08 05:54:11 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010/07/08 05:53:09 | 000,140,440 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010/07/08 05:49:24 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010/07/08 05:12:15 | 000,982,192 | R--- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2010/07/08 05:12:15 | 000,417,344 | R--- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2010/07/08 05:07:24 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2010/07/08 05:07:16 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\AsIO.dll
[2010/07/08 05:07:16 | 000,011,296 | R--- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys
[2010/07/08 05:06:56 | 000,020,040 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2010/07/08 05:06:55 | 000,010,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2010/07/08 05:03:54 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/07/08 04:59:56 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/01/21 14:39:24 | 000,069,632 | ---- | C] () -- C:\WINDOWS\ssdal_nc.exe
[2004/08/04 07:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 07:00:00 | 000,581,166 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 07:00:00 | 000,553,734 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 07:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 07:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 07:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 07:00:00 | 000,112,352 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 07:00:00 | 000,095,258 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 07:00:00 | 000,080,400 | ---- | C] () -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Other.res
[2004/08/04 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 07:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 07:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 07:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 07:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/04 07:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/04 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2000/06/09 12:07:46 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\Ofps.exe
[1999/02/05 09:29:10 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\Avaspi32.dll
[1997/10/30 18:54:44 | 000,060,928 | ---- | C] () -- C:\WINDOWS\System32\DiIQDBNT.dll
[1997/06/02 10:08:34 | 000,060,712 | ---- | C] () -- C:\WINDOWS\System32\BUICISIS.DLL
[1994/09/30 07:34:54 | 000,011,934 | ---- | C] () -- C:\WINDOWS\System32\PIXPNR.DLL
[1994/09/30 07:34:52 | 000,012,126 | ---- | C] () -- C:\WINDOWS\System32\PIXPCZ.DLL

========== LOP Check ==========

[2011/09/07 07:12:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\.oit
[2013/10/14 04:40:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\elsterformular
[2013/01/23 09:32:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\IATA
[2010/09/22 05:50:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\ISIS Drivers
[2013/10/14 09:11:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Opera Software
[2013/06/20 05:50:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Rovio
[2011/06/08 05:12:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\ScanSoft
[2011/06/03 06:49:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\TeamViewer
[2013/10/22 04:05:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\TuneUp Software
[2013/01/23 09:32:52 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\wyUpdate AU
[2011/12/02 10:51:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\YoudaGames
[2010/07/23 06:16:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Zeon
[2013/10/25 04:06:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software
[2013/10/22 04:04:43 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2013/10/14 04:40:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2010/09/22 05:50:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISIS Drivers
[2010/09/22 05:21:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kofax
[2011/06/08 05:07:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2012/01/12 09:24:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
[2010/07/12 01:41:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanWizard
[2013/10/22 04:06:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010/09/22 05:16:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zeon
[2013/10/23 02:07:00 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2013/10/23 02:07:00 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2014/01/15 09:55:17 | 000,000,304 | ---- | M] () -- C:\WINDOWS\Tasks\Blstte.job

========== Purity Check ==========



========== Files - Unicode (All) ==========
[2013/02/15 04:37:51 | 001,059,681 | ---- | M] ()(C:\Dokumente und Einstellungen\Export\Eigene Dateien\??????????????? ???????? ADVIA 1200.pdf) -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Регистрационное реагенты ADVIA 1200.pdf
[2013/02/15 04:37:50 | 001,059,681 | ---- | C] ()(C:\Dokumente und Einstellungen\Export\Eigene Dateien\??????????????? ???????? ADVIA 1200.pdf) -- C:\Dokumente und Einstellungen\Export\Eigene Dateien\Регистрационное реагенты ADVIA 1200.pdf
< End of report >

Alt 15.01.2014, 17:16   #2
Larusso
/// Selecta Jahrusso
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen





Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  • Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
  • Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.
Note: Sollte ich 48 Stunden nichts von mir hören lassen, schicke mir bitte eine PM. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des PCs.



Kannst du mit dem infizierten Rechner ins Internet ? Also vom OTLPE Desktop aus
__________________

__________________

Geändert von Larusso (15.01.2014 um 17:28 Uhr)

Alt 15.01.2014, 18:57   #3
sklussmann
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen



Hallo Daniel,

erst einmal Danke das Du mir weiterhilfst.

... und zur Beantwortung Deiner Frage - ja - ich kann mit dem PC ins Internet.
Ist allerdings etwas langsam, daher habe ich die Anfrage auf diesem Board
von einem anderen Rechner gemacht.

Ein weiteres Problem ist, da es ein Rechner im Büro ist und ich momentan
(nach 17.00h) zuhause bin - kann also nicht alles sofort umsetzen.

Gruß
Stephan
__________________

Alt 15.01.2014, 19:39   #4
Larusso
/// Selecta Jahrusso
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen



http://www.trojaner-board.de/108423-...-anfragen.html
Zitat:
Grundsätzlich bereinigen wir keine gewerblich genutzen Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.
  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
O20 - HKU\Export_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Other.res) - C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Other.res ()
:Commands
[reboot]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Danach solltest du den Rechner wieder normal nutzen können. Wenn nicht, hier stoppen, bescheid geben.


Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.





ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




Hinweis: Registry Cleaner

Ich sehe, dass du sogenannte Registry Cleaner installiert hast.
In deinem Fall TuneUp.

Wir raten von der Verwendung jeglicher Art von Registry Cleaner ab.

Der Grund ist ganz einfach:
Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Man sollte nicht unnötigerweise an der Registry rumbasteln. Schon ein kleiner Fehler kann gravierende Folgen haben und auch Programme machen manchmal Fehler.
Zerstörst du die Registry, zerstörst du Windows.

Zudem ist der Nutzen zur Performancesteigerung umstritten und meist kaum im wahrnehmbaren Bereich.

Ich würde dir empfehlen, Registry Cleaner nicht weiterhin zu verwenden und über
Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
zu deinstallieren.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 15.01.2014, 19:50   #5
sklussmann
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen



Hallo Daniel,
vielen Dank für die schnelle Antwort.
Das hier niemand an gewerblich genutzte Rechner geht, war mir fast klar.
Der Schönheitsfehler ist der, daß der Rechner von einem Auszubildenden genutzt
wird und dieser einen enormen Ärger bekommt (wenn ich mich nicht unter der Hand
auf diesem Wege darum kümmere) obwohl er sich keinerlei Schuld bewußt ist.
Er sagt er hätte emails löschen wollen und war dabei zu schnell mit der Klickerei
und hat stattdessen ungewollt Anhänge geöffnet.

Ich werde also morgen Deine Hilfe 1 zu 1 umsetzen (... und hoffen das keiner was merkt ...) und dann morgen berichten.
Danke nochmals

Gruß
Stephan


Alt 15.01.2014, 19:57   #6
Larusso
/// Selecta Jahrusso
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen



Zitat:
Der Schönheitsfehler ist der, daß der Rechner von einem Auszubildenden genutzt
wird
Dann würd ich einmal nachdenken, welche Rechte er auf dem Rechner hat
XP unterstützt keine Benutzerkontensteuerung. Entweder Admin, oder eben nicht Admin ^^

Aja, und der Support für Windows XP endet mit April 2014.
__________________
--> BKA Trojaner eingefangen

Alt 16.01.2014, 13:16   #7
sklussmann
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen



Hallo Daniel,

hier ist der OTL Log file

========== OTL ==========
Registry value HKEY_USERS\Export_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Other.res deleted successfully.
C:\Dokumente und Einstellungen\Export\Anwendungsdaten\Other.res moved successfully.
========== COMMANDS ==========

OTLPE by OldTimer - Version 3.1.48.0 log created on 01162014_092552

hier der Malwarebytes Logfile

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free Anti-Malware

Datenbank Version: v2014.01.16.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Export :: ARBEITSPLATZ2 [Administrator]

Schutz: Aktiviert

16.01.14 09:34:25
mbam-log-2014-01-16 (09-34-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 325019
Laufzeit: 45 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\RECYCLER\S-1-5-21-1659004503-1563985344-839522115-1003\Dc853.exe (Malware.Packer.FFS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-1659004503-1563985344-839522115-1003\Dc854.exe (Malware.Packer.FFS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\01162014_092552\C_Dokumente und Einstellungen\Export\Anwendungsdaten\Other.res (Malware.Packer.FFS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

und hier der Eset Logfile

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=bf31f0fe26c1ae4dbb61c1b718056c9c
# engine=16670
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-01-16 10:14:56
# local_time=2014-01-16 11:14:56 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# scanned=98842
# found=2
# cleaned=0
# scan_time=2543
sh=DB75D36CF9C6340E6B5CE577F2576BB59193DA12 ft=0 fh=0000000000000000 vn="Variante von Win32/Kryptik.BCOI Trojaner" ac=I fn="C:\Dokumente und Einstellungen\Export\Eigene Dateien\Downloads\facebook_www_radar.zip"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="möglicherweise Variante von Win32/Ponmocup.AA Trojaner" ac=I fn="${Memory}"



hier zeigt er noch etwas 'trojaner-artiges' an - habe ich aber wie angewiesen, (noch) nicht gelöscht, bzw. automatisch löschen lassen....

Wie geht's weiter - der muß doch auch noch runter, oder?

Ich soll übrigens ein RIESEN-Dankeschön ausrichten ....

Gruß
Stephan

P.S. .... wg XP Support 04/2014 - habe gehört das die IT neue Rechner aufsetzt (win7)
gibt's aber erst Ende März (wie könnte es anders sein, zumindest bei uns ;-))

Alt 16.01.2014, 16:39   #8
Larusso
/// Selecta Jahrusso
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen



Das
Zitat:
C:\Dokumente und Einstellungen\Export\Eigene Dateien\Downloads\facebook_www_radar.zip
ist eine .zip Datei welche irgendwas mit oder für Facebook macht. Eure Azubis dürfen so einiges, nicht
Kann man einfach löschen.

Aktive Malware wurde beseitig. Soll ich mir den Updatezustand des Rechners noch ansehen oder kümmert sich eure IT darum ?
btw, diese BKA Trojaner kommen meist durch Java / Flashplayer Lücken. Das die via Email Anhang kommt wäre mir neu aber solls auch geben.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 16.01.2014, 20:06   #9
sklussmann
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen



... alles klar - lösche ich.
was die Rechte angeht gebe ich Dir völlig recht,
da hat die IT 'etwas' gepennt - allerdings haben
wir hier auch viele Freiheiten die es in anderen
Firmen nicht gibt .... (manchmal wäre es besser es
wäre nicht so ,,,)

bezgl. der updates werde ich mal einen der Kollegen
von der IT darauf ansprechen - man kommt ja jetzt
wieder normal auf den rechner drauf und der Azubi
bekommt nun auch keinen Ärger mehr.

also nochmals DANKE

Alt 17.01.2014, 10:30   #10
Larusso
/// Selecta Jahrusso
 
BKA Trojaner eingefangen - Standard

BKA Trojaner eingefangen



Ich werde hier jetzt keine Anweisungen zur Absicherung des Systems geben.
Das wäre dann mein Konzept und würde nem Admin wohl auffallen, wenn da alles mögliche Installiert ist.
2. sind die meisten Tools in der Freeware-Lizenz nur für Heimrechner.

Aber eines kann ich euch ans Herz legen. Malwarebytes Anti Malware in der Pro Version.
Da gibt es sogar leistbare Firmenlösungen und an dem Tool arbeiten Professionelle Programmierer und Virenanalytiker, sowie freiwillige wie wir hier aus dem Forum, mit.
Goldkombi


Froh das wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu BKA Trojaner eingefangen
administrator, adobe flash player, antivirus, canon, desktop, einstellungen, explorer, flash player, homepage, install.exe, launch, malware.packer.ffs, opera, registry, scan, software, symantec, wallpaper, win32/kryptik.bcoi, win32/ponmocup.aa, windows, windows xp, winlogon



Ähnliche Themen: BKA Trojaner eingefangen


  1. Trojaner eingefangen?
    Log-Analyse und Auswertung - 17.10.2015 (13)
  2. Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2013 (10)
  3. GVU Trojaner eingefangen...
    Plagegeister aller Art und deren Bekämpfung - 17.05.2013 (43)
  4. Viren eingefangen (JAVA/dldr.lamar.TP), auch Trojaner (Polizei.Trojaner) gefunden
    Log-Analyse und Auswertung - 07.05.2013 (15)
  5. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (6)
  6. GVU Trojaner eingefangen!
    Log-Analyse und Auswertung - 17.10.2012 (2)
  7. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (17)
  8. Gvu Trojaner 2.07 Eingefangen
    Log-Analyse und Auswertung - 21.08.2012 (6)
  9. GVU Trojaner eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 07.08.2012 (11)
  10. GVU-Trojaner 2.07 eingefangen
    Log-Analyse und Auswertung - 25.07.2012 (11)
  11. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 22.07.2012 (19)
  12. 50€ Trojaner eingefangen
    Log-Analyse und Auswertung - 13.02.2012 (21)
  13. Trojaner eingefangen
    Log-Analyse und Auswertung - 13.02.2012 (1)
  14. Trojaner eingefangen....
    Log-Analyse und Auswertung - 27.04.2011 (1)
  15. Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (2)
  16. Trojaner eingefangen?
    Log-Analyse und Auswertung - 03.03.2009 (0)
  17. Trojaner VX2 eingefangen
    Log-Analyse und Auswertung - 03.05.2005 (8)

Zum Thema BKA Trojaner eingefangen - Hallo ...., auch ich habe mir (wie auch immer) den BKA Trojaner eingefangen. Die Tips aus dem Netz wie z.B. via abgesichertem Modus eine Systemwiederherstellung vorzunehmen funktionieren leider nicht, da - BKA Trojaner eingefangen...
Archiv
Du betrachtest: BKA Trojaner eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.