|
Log-Analyse und Auswertung: Metropolitian Police VIRUS, OTLPE.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.06.2011, 14:30 | #1 |
| Metropolitian Police VIRUS, OTLPE.exe Hallo Liebe Experten, ich habe das Problem wie viele andere auch: Metropolitian virus, Ich habe OTL.exe runtergeladen, und gebrannt, habe eine OTL.txt datei erstellt, jetzt weiß ich nicht weiter, ich hoffe mir kann jemand helfen. bin schon am verzweifeln MfG |
23.06.2011, 15:02 | #2 |
/// Malware-holic | Metropolitian Police VIRUS, OTLPE.exe auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:
__________________Code:
ATTFilter :OTL O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\0.17110884939710214.exe) - C:\Dokumente und Einstellungen\Administrator\0.17110884939710214.exe (BitDefender) :Files C:\Dokumente und Einstellungen\Administrator\0.17110884939710214.exe :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html
__________________ |
23.06.2011, 16:10 | #3 | |
| Metropolitian Police VIRUS, OTLPE.exeZitat:
Hab ich alles so gemacht, wie du es beschrieben hast. Jetzt steht da unten Custom Scans/Fixes: dann der Text, den ich aus der fix.txt Datei geladen habe, jetzt tut sich da nichts mehr.. man kann weder run fix anklicken sonst noch irgendwas anderes |
23.06.2011, 16:17 | #4 |
/// Malware-holic | Metropolitian Police VIRUS, OTLPE.exe wenn du schon ein volles zitat rein machst, welches nicht nötig ist, weil ich weis was ich geschrieben hab :-) dann lies es noch mal. es steht da, wenn das laden von dem fix nicht klappt, musst du ihn per hand in das eingabefeld schreiben und dann auf run fix klicken
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.06.2011, 16:26 | #5 |
| Metropolitian Police VIRUS, OTLPE.exe Alles super, die Metropolitian Anzeige ist weg! Jetzt habe ich aber nur noch mein Desktop Hintergrund, sonst nichts, keine Startleiste, keine Icons.. Nichts.. |
23.06.2011, 16:33 | #6 |
/// Malware-holic | Metropolitian Police VIRUS, OTLPE.exe öffne mal den taskmanager, neuer task explorer.exe enter dann sollten die symbole da sein, dann erst mal in den upload channel hochladen bitte
__________________ --> Metropolitian Police VIRUS, OTLPE.exe |
23.06.2011, 16:35 | #7 |
| Metropolitian Police VIRUS, OTLPE.exe Symbole sind immernoch nicht da, es öffnet sich ein Fenster(eigene dateien) mehr nicht. bin verzweifelt |
23.06.2011, 16:51 | #8 |
/// Malware-holic | Metropolitian Police VIRUS, OTLPE.exe aber du kannst ja trotzdem navigieren und programme öffnen. downloade mal combofix und führe es aus. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.06.2011, 17:02 | #9 |
| Metropolitian Police VIRUS, OTLPE.exe TOLLL.. jetzt steht hier C:/dokumente und einstellungen/administrator/Eigene Deateien/Downloads/combofix.exe ist keine zulässige win32 anwendung |
23.06.2011, 17:03 | #10 |
/// Malware-holic | Metropolitian Police VIRUS, OTLPE.exe dann machs im abgesicherten modus ohne netzwerk, sollte bei pc start mit f8 zu erreichen sein. falls combofix einen neustart verlangt, dann wieder in den abgesicherten modus. danach ganz normal neustarten und den inhalt von combofix.txt posten. falls die fehlermeldung noch mal auftritt, lösche die datei, bleib gleich im abgesicherten modus, lade combofix vom deinem zweit pc und kopiere es mit nem stick auf den infizierten
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.06.2011, 17:38 | #11 |
| Metropolitian Police VIRUS, OTLPE.exe endlich, jetzt steht in dem combofox Fnster: Suche nach infizierten dateien.... Fertiggestellt stufe 1 2 3 |
23.06.2011, 17:56 | #12 |
| Metropolitian Police VIRUS, OTLPE.exe Da ist die txt. datei.. und jetzt? |
23.06.2011, 17:58 | #13 |
| Metropolitian Police VIRUS, OTLPE.exe combofix.txt ist erstellt. |
23.06.2011, 18:12 | #14 |
| Metropolitian Police VIRUS, OTLPE.exe Combofix Logfile: Code:
ATTFilter ComboFix 11-06-22.05 - Test Control 23.06.2011 22:32:46.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.717 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Test Control\Desktop\ComboFix.exe . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\system32\Nagasoft c:\windows\system32\Nagasoft\Codecs\asyncflt.ax c:\windows\system32\Nagasoft\Codecs\atrc.dll c:\windows\system32\Nagasoft\Codecs\cook.dll c:\windows\system32\Nagasoft\Codecs\drvc.dll c:\windows\system32\Nagasoft\Codecs\raac.dll c:\windows\system32\Nagasoft\Codecs\RealMediaSplitter.ax c:\windows\system32\Nagasoft\Codecs\WMFDemux.dll c:\windows\system32\Nagasoft\GifShower.dll c:\windows\system32\Nagasoft\vjocx.dll c:\windows\system32\STEC3.sys . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Legacy_MSUPDATE -------\Legacy_STEC3 -------\Service_msupdate -------\Service_STEC3 -------\Legacy_vvdsvc -------\Legacy_vvdsvc -------\Service_vvdsvc -------\Service_vvdsvc . . ((((((((((((((((((((((( Dateien erstellt von 2011-05-23 bis 2011-06-23 )))))))))))))))))))))))))))))) . . 2011-06-24 01:16 . 2011-03-06 22:12 2234368 ----a-r- C:\OTLPE.exe 2011-06-24 01:15 . 2011-06-24 01:15 -------- d-----w- C:\_OTL 2011-06-23 23:37 . 2011-06-23 19:58 -------- d-----r- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2011-06-23 19:38 . 2011-06-23 19:40 -------- d-----w- c:\dokumente und einstellungen\Test Control 2011-06-23 11:11 . 2011-06-23 11:11 -------- d-----w- C:\backups 2011-06-23 05:22 . 2011-06-23 05:22 -------- d-----w- C:\VJVod_Cache 2011-06-20 20:14 . 2011-06-20 20:09 98078016 ----a-w- c:\dokumente und einstellungen\OTLPEStd.exe 2011-06-20 19:44 . 2011-06-20 19:44 388608 ----a-w- C:\HiJackThis204.exe 2011-06-17 00:40 . 2011-06-17 10:32 -------- d-----w- c:\windows\SxsCaPendDel 2011-06-16 21:01 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-05-02 15:31 . 2008-08-10 14:38 692736 ----a-w- c:\windows\system32\inetcomm.dll 2011-04-29 16:19 . 2008-08-10 14:37 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2011-04-25 15:44 . 2006-06-01 19:06 832512 ----a-w- c:\windows\system32\wininet.dll 2011-04-25 15:44 . 2006-06-01 19:06 1830912 ------w- c:\windows\system32\inetcpl.cpl 2011-04-25 15:44 . 2008-08-10 14:39 78336 ----a-w- c:\windows\system32\ieencode.dll 2011-04-25 15:44 . 2008-08-10 14:38 17408 ----a-w- c:\windows\system32\corpol.dll 2011-04-25 12:01 . 2008-08-10 14:39 389120 ----a-w- c:\windows\system32\html.iec 2011-04-21 13:37 . 2008-08-10 14:37 105472 ----a-w- c:\windows\system32\drivers\mup.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0] 2008-10-14 19:38 623992 ----a-w- c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2008-06-12 01:38 34672 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater] 2009-02-26 17:48 2356088 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] 2004-12-22 01:10 88358 ----a-w- c:\windows\agrsmmsg.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 2006-04-21 16:03 94208 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate] 2010-06-03 00:50 1144104 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] 2008-10-25 10:44 31072 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd] 2005-07-19 11:06 77824 ----a-w- c:\windows\system32\hkcmd.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers] 2005-07-19 11:10 114688 ----a-w- c:\windows\system32\igfxpers.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray] 2005-07-19 11:09 94208 ----a-w- c:\windows\system32\igfxtray.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam] 2006-06-29 23:54 269104 ----a-w- c:\programme\Microsoft LifeCam\LifeExp.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] 2010-04-16 21:12 3872080 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2006-01-12 15:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2007-10-19 18:16 286720 ----a-w- c:\programme\QuickTime\QTTask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Companion] 2009-12-08 12:51 774144 ----a-w- c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2005-11-10 12:03 36975 ----a-w- c:\programme\Java\jre1.5.0_06\bin\jusched.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2007-12-30 10:01 68856 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX1000] 2006-06-29 23:42 707376 ----a-w- c:\windows\vVX1000.exe . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Gemeinsame Dateien\\DVDVideoSoft\\FreeStudioManager.exe"= "c:\\Programme\\Adobe\\Adobe After Effects CS3\\Support Files\\AfterFX.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 . R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [22.08.2009 12:57 222968] R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [22.12.2007 20:43 808448] S2 gupdate1c9d0b663d62a58;Google Update Service (gupdate1c9d0b663d62a58);c:\programme\Google\Update\GoogleUpdate.exe [09.05.2009 16:56 133104] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [09.05.2009 16:56 133104] S3 McComponentHostService;McAfee Security Scan Component Host Service;"c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe" --> c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [?] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] vvdsvc REG_MULTI_SZ vvdsvc . Inhalt des "geplante Tasks" Ordners . 2011-06-10 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 01:29] . 2011-06-23 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-12-29 14:55] . 2011-06-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-05-09 14:56] . 2011-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-05-09 14:56] . . ------- Zusätzlicher Suchlauf ------- . IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.178.1 DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab FF - ProfilePath - . - - - - Entfernte verwaiste Registrierungseinträge - - - - . MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe MSConfigStartUp-Option Bib Logo Log - c:\dokumente und einstellungen\All Users\Anwendungsdaten\LICENSE ADMIN OPTION BIB\Settings hide.exe AddRemove-LuPO_is1 - g:\lupo\unins000.exe AddRemove-McAfee Security Scan - c:\programme\McAfee Security Scan\uninstall.exe AddRemove-myBet Poker - c:\poker\myBet Poker\_SetupPoker_6349[1].exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-06-23 22:41 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'explorer.exe'(3624) c:\windows\system32\msi.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\WgaTray.exe c:\programme\Google\Update\1.3.21.57\GoogleCrashHandler.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Microsoft LifeCam\MSCamSvc.exe c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\windows\system32\wscntfy.exe c:\windows\system32\msiexec.exe . ************************************************************************** . Zeit der Fertigstellung: 2011-06-23 22:47:49 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2011-06-23 20:47 . Vor Suchlauf: 14 Verzeichnis(se), 12.358.402.048 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 13.019.398.144 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect . - - End Of File - - ADA2DB9FA75B8A48E605BCF067E6E1FE |
23.06.2011, 18:24 | #15 |
/// Malware-holic | Metropolitian Police VIRUS, OTLPE.exe was soll das, du bist hier nicht der einzige, es reicht also dein log einmal zu posten. download malwarebytes: Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer instalieren, öffnen, registerkarte aktualisierung, programm updaten. schalte alle laufenden programme ab, trenne die internetverbindung. registerkarte scanner, komplett scan, funde entfernen, log posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu Metropolitian Police VIRUS, OTLPE.exe |
andere, erstell, erstellt, experte, experten, hoffe, liebe, otl.exe, police, problem, runtergeladen, verzweifel, verzweifeln, virus |