Trojaner-Board - Polizeivirus_österreich - computerkriminalitat des criminal intelligence service Einheit 5.2

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Polizeivirus_österreich - computerkriminalitat des criminal intelligence service Einheit 5.2 (https://www.trojaner-board.de/122678-polizeivirus_oesterreich-computerkriminalitat-criminal-intelligence-service-einheit-5-2-a.html)

Ergänzung

Internet funktioniert nicht. DHCP-Dienst startet nicht, Anzeige in Dienste ' Wird gestartet'

t'peter

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL

:Files

netsh interface ipv4 set address name="LAN-Verbindung" source=dhcp /c

ipconfig /flushdns /c

ipconfig /all /c

netsh winsock reset catalog /c

netsh winsock reset /c

netsh int ipv4 reset reset.log /c

netsh int ipv6 reset reset.log /c

:Commands

[purity]

[emptytemp]

[Reboot]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo!

Log angehängt

t'peter

Entferne alle Netzwerkkarten aus dem Gaerete-Manager und starte den Rechner neu

Hallo!

Habe im Gerätemanager als Admin unter Netzwerkadapter beide Netzwerkkarten und die Bluetooth-Geräte deinstalliert
-im Hinweisfenster "Deinstallation des Gerätes bestätigen jedoch keinen Haken bei "Die Treibersoftware f.d. Gerät löschen" gesetzt, sondern nur bestätigt (OK)
und den PC neu gestartet.

PC hat beim Start alle Netzwerkadapter anscheinend wieder installiert (und dazu einen neuerlichen Neustart verlangt.
Mindestens einen Bluetooth treiber konnte er nicht finden, bzw installieren aufgrund eines Datenbankfehlers, ich installiere nun neu von der Installations-CD.
Dauert leider.

Der Dienst DHCP wird weiterhin als "wird gestartet" angezeigt.

- ------
Seitdem der PC wieder ohne "Polizei-Sperre" startet, habe ich vor und nach dem User-Login relativ lange einen rein schwarzen Bildschirm, wo nur der Maus-Cursor zu sehen ist, statt der früheren Windows-Startsequenz (bewegendes Bild?).

Hallo!

(Ergänzung)

Die Netzwerkkarten sind neu installiert.
Folgende Fehlermeldung erhalten ich in einem Windows-Fenster:
"Fehler bim Installieren der Treibersoftware für das Geräat. Es wurde Treibersoftware für das Gerät gefunden, aber bei der Installation ist ein FEhler aufgetreten.(RFCOMM-Protokoll-TDI)
Beim Datenbankaufruf ist ein nicht behebbarer Fehler aufgetreten.
Wenn Sie den Hersteller des Geräts kennen, können Sie im Supportabschnitt der entsprechenden Website nach Treibersoftware suchen.

Der Dienst DHCP wird weiterhin als "wird gestartet" angezeigt.

OTL-Log anbei.

Vielen Dank

t'peter

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hallo!

Programm-Download durchgeführt

Habe Antiviren- die Firewall und evtl. vorhandenes Skript-Blocking (Norton) und Malwarebytes-Anti-Malware (!) deaktiviert, habe keine sowie Antispy-Programme. Bei jedem Start kommt auch die Fehlermeldung, dass Daemon-Tools nicht starten kann (!)

Combofix.exe mit Rechtsklick => als Administrator gestartet und bestätigt
Backup meiner Registry wurde erstellt
Die Stufen des Programms dürften abgearbeitet worden sein.

DAS PROGRAMM hat dabei einen Neustart durchgeführt, dabei wurde allerdings Malwarebytes gestartet als auch Daemon-Tools (-Fehlermeldung).
Währenddessen blinkte das Combofix-Fenster immer (ganz!)kurz auf.
Nach 2 Deaktivierungsversuchen der Programme und solchen Durchläufen habe ich schließlich Malware deinstalliert und Daemontools, da nicht sauber deinstallierbar gewesen, auch gelöscht.

Danach lief das Programm durch, mit Neustart und danach ruhiger, bis das Fenster wieder verschwand.

Es erschien kein Editor mit einem Log, das ComboFix-Log hat nur 3 Zeilen,
Ich konnte kein C:\Qoobox\Add-Remove Programs.txt finden.
Was ich habe, schicke ich mit.

Der Bildschirmschoner wurde zurück gesetzt, und wird derzeit nicht gestartet

Weiterhin kein Netzwerk, "Der Abhängigkeitsdienst /-gruppe konnte nicht gestartet werden".

Danke für die Hilfe.

t'peter

Deinstalliere alles von Norton
Nochmal versuchen

Hallo!

Habe nun auch die Online-Scan-Programme (von Norton "IS Scan" und Kaspersky deinstalliert,
dürfte nun geklappt haben.

Gewünschte Logs anbei.

t'peter

Downloade dir bitte Farbar's MiniToolBox auf deinen Desktop und starte das Tool

Setze einen Haken bei folgenden Einträgen

Flush DNS
Report IE Proxy Settings
Reset IE Proxy Settings
Report FF Proxy Settings
Reset IE Proxy Settings
List content of Hosts
List IP configuration
List Winsock Entries
List Users, Partitions and Memory size

Klicke Go und poste den Inhalt der Result.txt.

Hallo!

Result.txt anbei.

Danke.

t'peter

Windows Repair Tool (AIO)

Downloade Windows repair tool
Entpacke das Zip und starte Repair_Windows.exe
Klicke auf Start repairs Tab dann: Start

folgende Punkte auswählen

Reset Registry Permissions
Reset File Permissions
Register System Files
Repair WMI
Repair Windows Firewall
Repair Winsock & DNS Cache
Remove Temp Files
Repair Proxy Settings
Repair Windows Updates
Set Windows Services To Default Startup
Repair MSI (Installer)

Auswählen: Restart System When Finished
Dann Start Button klicken.

Hallo!

Nebenbei habe ich bemerkt, dass der Sens-Dienst (Benachrichtigungsdienst) nicht startet.
Ich kann als User nicht einloggen, außer nich benenne die Datei um.

Beim Durchlauf des Windows Repair Tools erscheint sofort ein Windows-Fenster
"Execute process remotely funktioniert nicht mehr", schließt man das Fenster, erscheint es bei jeder weiteren Aufgabe erneut.

Protokoll daher keines.

Ein aktuelles OTL-Protokoll anghängt.

Danke

Zitat:

Ich kann als User nicht einloggen, außer nich benenne die Datei um.

Welche Datei musst du umbennenen?

Deinstalliere mal alle Virenscanner auf deinem System.

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL

IE - HKLM\..\SearchScopes,DefaultScope = 

IE - HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-21-519441693-355583875-3268206231-1000\..\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - No CLSID value found 

IE - HKU\S-1-5-21-519441693-355583875-3268206231-1000\..\SearchScopes,DefaultScope = {4764C154-6ED2-4c50-AD1F-5B996B2B0CB2} 

IE - HKU\S-1-5-21-519441693-355583875-3268206231-1000\..\SearchScopes\{4764C154-6ED2-4c50-AD1F-5B996B2B0CB2}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB 

IE - HKU\S-1-5-21-519441693-355583875-3268206231-1000\..\SearchScopes\{762CD2E1-E0AC-4e01-A5E4-1CA2CC6081C7}: "URL" = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=de&q={searchTerms} 

IE - HKU\S-1-5-21-519441693-355583875-3268206231-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

FF - prefs.js..browser.search.defaultenginename: "" 

FF - prefs.js..browser.search.defaultthis.engineName: "" 

FF - prefs.js..browser.search.defaulturl: "" 

FF - prefs.js..browser.search.order.1: "" 

FF - prefs.js..browser.search.selectedEngine: "" 

FF - prefs.js..browser.startup.homepage: "" 

O2 - BHO: (Burn4Free Toolbar Helper) - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Program Files\Burn4Free Toolbar\v3.3.0.0\Burn4Free_Toolbar.dll File not found 

O3 - HKLM\..\Toolbar: (no name) - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - No CLSID value found. 

O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - No CLSID value found. 

O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. 

O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - No CLSID value found. 

O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. 

O3 - HKU\S-1-5-21-519441693-355583875-3268206231-1000\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. 

O4 - HKU\S-1-5-21-519441693-355583875-3268206231-1000..\Run: [HIDAgent] C:\Programme\WFR\HIDAgent.exe () 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 

O7 - HKU\S-1-5-21-519441693-355583875-3268206231-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab (Reg Error: Key error.) 

O32 - HKLM CDRom: AutoRun - 1 
 

[2012.09.12 02:09:21 | 000,000,805 | ---- | M] () -- C:\Temp23.bat 

[2012.09.09 04:54:45 | 000,000,806 | ---- | M] () -- C:\Temp831.bat 
 

:Files

C:\ProgramData\*.exe

C:\ProgramData\TEMP

C:\Users\Admin\AppData\Local\{*}

C:\Users\Admin\AppData\Local\Temp\*.exe

C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>