Trojaner-Board - Bundespolizei Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei Virus (https://www.trojaner-board.de/102242-bundespolizei-virus.html)

Bundespolizei Virus

Hallo
Leider habe auch ich Bekanntschaft mit dem Bundespolizei Virus, der momentan scheinbar vielen Probleme bereitet, gemacht. Durch eine Systemwiederherstellung kann ich meinen Computer wieder benutzen, aber ich bin mir ziemlich sicher, dass dieser immer noch infiziert ist.
Ich hoffe wirklich, dass ich Windows nicht neu aufsetzen muss, da ich ehrlich gesagt keine Ahnung habe, wo sich die nötigen CDs befinden und ich keine externe Festplatte für die Sicherung der Daten besitze.
Ich habe alle Programme ausgeführt, die in dem ''Für alle Hilfesuchenden...'' Thema stehen und hänge die Logfiles an diesen Beitrag an.
Hoffentlich kann jemand helfen und schon mal Danke im Voraus.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Zitat:

c:\Recycle.Bin\b6232f3a91b.exe (Trojan.Spyeyes)

Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem PC unter dieser verseuchten Windows-Installation?

Nein, wenn ich mal was bestelle, dann nur auf Rechnung.

Musst du wissen. SpyEyes kann Passwörter ausspähen, weil er Tastaturanschläge aufzeichnet. Reintheoretisch ist jedes Passwort von dir jetzt bekannt, sofern dieses über die Tastatur eingetippt wurde seitdem der SpyEyes werkelte.

Das einzige wichtige Passwort wäre dann von Amazon. Ich schätze, dass ich alle Passwörter lieber ändern sollte.

Die Änderungen aber alle auf einem garantiert sauberen Rechner oder per Linux-Live-CD wie zB Knoppix ändern!

Mach bitte ein neues OTL-Log.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Zitat:

O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Veoh Web Player Toolbar) - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Program Files\Veoh_Web_Player\prxtbVeoh.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Veoh Web Player Toolbar) - {CD90BF73-20F6-44EF-993D-BB920303BD2E} - C:\Program Files\Veoh_Web_Player\prxtbVeoh.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)

Warum vermüllst du dir das System mit diesen nutzlosen Toolbars? :balla:
Am besten alles entfernen wo Toolbar steht, was in der Systemsteuerung unter Software bzw. Programme und Funktionen zu sehen ist und bei zukünftigen Programminstallation immer die benutzerdefinierte Methode anklicken, damit man bei der Installation mögliche Toolbars abwählen kann.
Deinstalliere bei der Gelegenheit auch alle anderen unnötigen Programme über die Systemsteuerung.

Danke für den Tipp, werde ich machen. Gibt es sonst noch irgendwas oder sieht der PC sauber aus?

Mach danach erstmal einen neuen CustomScan mit OTL.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ig/redirectdomain?brand=MDNB&bmod=MDNB

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2653012

FF - prefs.js..browser.search.defaultenginename: "MyStart Search"

FF - prefs.js..browser.search.defaultthis.engineName: "Veoh Web Player Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms}"

FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar&search="

[2011/06/28 12:54:05 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Users\**\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}

[2011/06/17 11:54:06 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\**\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\engine@conduit.com

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (no name) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CD90BF73-20F6-44EF-993D-BB920303BD2E} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No CLSID value found.

[2011/04/14 17:02:20 | 000,000,136 | ---- | C] () -- C:\ProgramData\~30138120r

[2011/04/14 17:02:20 | 000,000,088 | ---- | C] () -- C:\ProgramData\~30138120

[2011/04/14 17:01:50 | 000,000,336 | ---- | C] () -- C:\ProgramData\30138120

[2011/04/14 16:53:22 | 000,000,120 | -H-- | C] () -- C:\Users\**\AppData\Local\Igejaqoxis.dat

[2011/04/14 16:53:22 | 000,000,000 | -H-- | C] () -- C:\Users\**\AppData\Local\Ggusumuqoboxeb.bin

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ich konnte die Datei irgendwie nicht anhängen, deshalb poste ich es so.

Code:

========== OTL ==========

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchDefaultBranded| /E : value set successfully!

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

Prefs.js: "MyStart Search" removed from browser.search.defaultenginename

Prefs.js: "Veoh Web Player Customized Web Search" removed from browser.search.defaultthis.engineName

Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl

Prefs.js: "hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=" removed from keyword.URL

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\searchplugin folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\modules folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\META-INF folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\defaults folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\components folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\chrome folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\engine@conduit.com\searchplugin folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\engine@conduit.com\META-INF folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\engine@conduit.com\lib folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\engine@conduit.com\DualPackage folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\engine@conduit.com\defaults folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\engine@conduit.com\components folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\engine@conduit.com\chrome folder moved successfully.

C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ez3tfh02.default\extensions\engine@conduit.com folder moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CD90BF73-20F6-44EF-993D-BB920303BD2E} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CD90BF73-20F6-44EF-993D-BB920303BD2E}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0}\ not found.

C:\ProgramData\~30138120r moved successfully.

C:\ProgramData\~30138120 moved successfully.

C:\ProgramData\30138120 moved successfully.

C:\Users\***\AppData\Local\Igejaqoxis.dat moved successfully.

C:\Users\***\AppData\Local\Ggusumuqoboxeb.bin moved successfully.

========== COMMANDS ==========

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.26.1 log created on 08162011_165848

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Wurde scheinbar nichts gefunden.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Fertig.
Text ist zu kurz.

Zitat:

"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2010-12-23 353736]

Müsst ihr als Mailclient unbedingt dieses sch... Programm verwenden? :(
Incredimail ist zwar bunt und nett animiert, aber leider als Spyware einzustufen, da es das Nutzerverhalten analysiert und diese an den Hersteller übermittelt.
Ich kann nur die sofortige Deinstallation und Umstieg auf einen anderen Mailclient wie zB Mozilla Thunderbird empfehlen.

IncrediMail wird eigentlich nur von meinem Vater verwendet und ich glaube nicht, dass er Lust darauf hat das alles zu ändern, etc. Ich werde aber mal mit ihm reden.