Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Polizeit Einheit 5.2 Virus (https://www.trojaner-board.de/120141-polizeit-einheit-5-2-virus.html)

Dave005 22.07.2012 20:07
Polizeit Einheit 5.2 Virus
 
Hi, wie ich hier schon einige male gelesen haben, hatten wohl auch andere User schon mit diesem "Polizei Einheit 5.2" Virus zu tun.

Ich poste hier für meinen Freund der sich diesen auch vor kurzem eingefangen hat. Ich kann nicht genau sagen wie lange er den schon auf dem Computer hat weil er mich erst jetzt darum gebeten hat sich das mal anzusehen.

Wie ich schon ein paar mal gelesen habe, sollte der Virus den PC sperren, laut meinen Erfahrungen mit seinem PC macht er dies anscheinend nur wenn man ihn mit aktiver Internetverbindung startet oder bei laufenden System verbindet.
Man kann daher auf dem System arbeiten solange man nicht eine Internet Verbindung aktiviert.

Zusätzlich sperrt der Virus sowohl Taskmanager als auch Konsole ( beides wird sofort geschlossen bei Öffnungsversuch)

Ich habe bereits einen OTL Scan durchgeführt und poste die Logs hier mit.

Ich hoffe ihr könnt mir bzw. ihm weiterhelfen, das wäre super !

Dave005 22.07.2012 20:10
Hier noch der OTL log hab vergessen ihn vorher mit anzuhängen :)

Dave005 22.07.2012 21:50
Da der Taskmanager nicht ging, hab ich mir mal Security Taskmanager runtergelassen um mal alle laufenden Prozesse mal genauer anzusehen und hab eine sehr verdächtige Datei unter Userprofile\Lokale Einstellungen\Temp (Win Xp) gefunden xctngvykqjlrtuv.exe. Gab sich als "Combat Pro" aus Beschreibung : Conteneur Activex

Is auch von Security Task Manager als äußert verdächtig gekennzeichnet worden.

Nach dem verbannen des Prozesses scheint alles wieder zu funktionieren, jedoch befürchte ich das das wohl nicht alles gewesen sein wird.

t'john 22.07.2012 21:56
:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
PRC - [2012.07.07 11:29:43 | 000,056,320 | ---- | M] (Canon) -- C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\xctngvykqjlrltuv.exe
PRC - [2012.07.03 13:46:42 | 000,973,488 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
PRC - [2012.04.09 17:43:42 | 001,557,160 | ---- | M] (Ask) -- C:\Programme\Ask.com\Updater\Updater.exe
SRV - [2012.07.06 20:21:43 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | Disabled | Stop_Pending] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYAT&apn_uid=7B0723AA-A96D-49E7-952E-C2189AFDA185&apn_sauid=30877568-F2B9-4D8E-88AC-FFAE6F5FF2AF
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\SearchScopes\Bad: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\SearchScopes\exe: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "http://www.google.com/"
FF - prefs.js..extensions.enabledItems: plugin@yontoo.com:1.20.00
FF - prefs.js..keyword.URL: "http://www.google.com/search?ie=UTF-8&oe=utf-8&q="
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKU\S-1-5-21-1715567821-1580818891-839522115-1003..\Run: [] C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\xctngvykqjlrltuv.exe (Canon)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{1efe8b46-7220-11e1-817b-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{1efe8b46-7220-11e1-817b-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1efe8b46-7220-11e1-817b-806d6172696f}\Shell\AutoRun\command - "" = G:\autorun.exe -- [2009.09.04 08:10:22 | 000,214,408 | R--- | M] (Konami Digital Entertainment Co., Ltd.)
O33 - MountPoints2\{6e43bfcb-720a-11e1-830c-1c6f65c54c3e}\Shell - "" = AutoRun
O33 - MountPoints2\{6e43bfcb-720a-11e1-830c-1c6f65c54c3e}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6e43bfcb-720a-11e1-830c-1c6f65c54c3e}\Shell\AutoRun\command - "" = D:\LaunchU3.exe -a

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[2012.06.25 09:13:30 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2012.05.03 07:46:21 | 000,002,408 | ---- | M] () -- C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\09hed0vy.default\searchplugins\askcom.xml

[2012.07.22 20:37:00 | 000,000,224 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012.07.22 20:26:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
 
:Files

C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\xctngvykqjlrltuv.exe

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

t'john 05.08.2012 02:04
Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131