Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   WinXP verseucht: "...ihr Computer wurde gesperrt... Bundespolizei..." (https://www.trojaner-board.de/121197-winxp-verseucht-computer-wurde-gesperrt-bundespolizei.html)

Bassey 04.08.2012 01:25
WinXP verseucht: "...ihr Computer wurde gesperrt... Bundespolizei..."
 
Sodenn. Hallo erst einmal.

Wie immer nach der Spätschicht gehe ich an den Rechner, und es kam, wie schon ein paar mal in den letzten Monaten (öfter beim Betrachen von Flashvideos) zu einem netten Bluescreen. Also System neustarten und wieder ein paar Tage Ruhe.

Pustekuchen.

Der Rechner startet und siehe da "ihr Computer wurde gesperrt - Bundespolizei"
"Zahlen sie 100 Euro per Paysafecard um die Strafe zu begleichen"

Toll... Die Kiste hat die Pest und ich muss Doktor spielen...

Erstmal mit STRG ALT ENTF versucht den Taskmanager zu öffnen, was auch für ganze 0,5 Sekunden gelang und weg war er.

Abgesicherten Modus angeworfen und nach eurer Anleitung erstmal durchchecken. Alleine in den ersten 30 Sekunden schon 12 Seuchen gefunden.

Ich will nun nur mein System durchsichern und danach mal Windoof neu aufsetzen, ist eh wieder zu langsam.

Aber meine Frage dazu: Was habe ich mir da eingefangen und wie kann ich sowas in Zukunft vermeiden?

Ich benutzte die ganze Zeit Avira Antivir, aber das scheint ja offen wie der Schoß einer alten Dorfdirne zu sein.

Die Firewall meines Speedport VDSL Routers lässt sich von Haus aus nicht deaktivieren, sollte ich trotzdem noch die Windows Firewall eingeschaltet lassen?

Welche Programme soll/muss ich zu meinem Schutz haben?

Hier nun die Logdatei:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.03.11

Windows XP Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 6.0.2900.2180
Administrator :: VANCANTO [limitiert]

Schutz: Deaktiviert

04.08.2012 02:11:02
mbam-log-2012-08-04 (02-23-06).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 292195
Laufzeit: 11 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\CLSID\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkrd.AIEbho.1 (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkrd.AIEbho (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mnrhutzssnivxar (Trojan.Phex.THAGen7) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mnrhutzs.exe -> Keine Aktion durchgeführt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mnrhutzssnivxar (Trojan.Phex.THAGen7) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mnrhutzs.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Keine Aktion durchgeführt.

Infizierte Dateien: 8
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mnrhutzs.exe (Trojan.Phex.THAGen7) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\AcroIEHelpe180.dll (Trojan.Banker) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qgmpqvii.exe (Trojan.Phex.THAGen7) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sxeqxlze.exe (Trojan.Phex.THAGen7) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\usxuztnb.exe (Trojan.Phex.THAGen7) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\config\systemprofile\0.7580333075059469.exe (Trojan.Phex.THAGen7) -> Keine Aktion durchgeführt.
C:\WINDOWS\Temp\{91519539-3176-0640-4286-175195397317}.exe (Trojan.Cridex) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Keine Aktion durchgeführt.

(Ende)

cosinus 05.08.2012 19:59
Code:
C:\WINDOWS\system32\AcroIEHelpe180.dll (Trojan.Banker) -> Keine Aktion durchgeführt.
Bankingtrojaner! Macht ihr OnlineBanking mit dieser Kiste?!


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131