|
Log-Analyse und Auswertung: Entfernung des Bundespolizei/UKASH-TrojanersWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.08.2011, 17:44 | #1 |
| Entfernung des Bundespolizei/UKASH-Trojaners Sehr geehrtes Trojaner-Board-Team, leider zaehle ich seit vorgestern auch zu den Opfern des Bundespolizei/UKASH- Trojaners. Hab' ihn mir beim Surfen mit Firefox-Portable eingefangen. Auf dem Rechner ist Windows XP Professional und das SP3 installiert. Nach einer Internetrecherche auf einem nicht infizierten Zweitrechner schien mir die im April vom BSI empfohlene Kaspersky Rescue CD sinnvoll zu sein. (hxxp://www.n-tv.de/technik/BKA-Trojaner-richtig-entfernen-article3147536.html) Dieser Versuch blieb leider erfolglos und der Computer ist nach wie vor blockiert. Offenbar habe ich mir eine neuere Variante eingehandelt. Anschliessend bin ich auf Ihr Board gestossen. Nach der Lektuere einiger Threads zu besagtem Uebeltaeter habe ich die OTLPE-CD gebrannt und einen Scan durchgefuehrt. Dabei wurde folgende OTL.txt erzeugt: OTL Logfile: Code:
ATTFilter OTL logfile created on: 8/7/2011 6:11:58 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 86.00% Memory free 2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free Paging file location(s): C:\pagefile.sys 3072 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 100.00 Gb Total Space | 3.10 Gb Free Space | 3.10% Space Free | Partition Type: NTFS Drive D: | 615.00 Gb Total Space | 1.48 Gb Free Space | 0.24% Space Free | Partition Type: NTFS Drive E: | 16.52 Gb Total Space | 0.84 Gb Free Space | 5.11% Space Free | Partition Type: NTFS Drive F: | 100.00 Gb Total Space | 1.05 Gb Free Space | 1.05% Space Free | Partition Type: NTFS Drive G: | 100.00 Gb Total Space | 0.86 Gb Free Space | 0.86% Space Free | Partition Type: NTFS Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet001 ========== Win32 Services (SafeList) ========== ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | On_Demand] -- -- (MSICDSetup) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2011/04/11 08:30:47 | 000,068,960 | ---- | M] (VSO Software) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Pcatip.sys -- (Pcatip) DRV - [2010/11/30 08:27:52 | 000,149,632 | ---- | M] (ODSoft multimedia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\kncbda32.sys -- (kncbda) DRV - [2010/07/06 06:26:54 | 006,088,296 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2010/07/05 23:13:10 | 000,234,392 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2010/05/24 08:09:28 | 004,003,008 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService) DRV - [2010/02/10 10:22:04 | 004,614,144 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2009/12/21 21:26:36 | 000,030,392 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbfilter.sys -- (usbfilter) DRV - [2009/11/17 19:17:00 | 001,395,800 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2009/11/17 19:16:00 | 001,691,480 | R--- | M] (Creative) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2008/04/13 19:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE) DRV - [2007/04/16 11:46:34 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM) DRV - [2007/02/17 19:15:34 | 000,232,816 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\VMM.sys -- (vmm) DRV - [2007/01/29 01:20:34 | 000,059,280 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\VMNetSrv.sys -- (VPCNetS2) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\Thomas_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Dokumente/HTML/startseite/index.html IE - HKU\Thomas_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) [2011/08/06 18:24:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\mozilla\Extensions O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - File not found O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\Thomas_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\Thomas_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe (Norwalk Johann Nazism Bloomfield Oregon Hendricks) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2011/03/16 18:51:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011/08/07 06:16:09 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0 [2011/08/06 19:04:20 | 000,151,552 | ---- | C] (Norwalk Johann Nazism Bloomfield Oregon Hendricks) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe [2011/08/06 18:24:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla [2011/07/30 13:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\GlobeTV 2011 [2011/07/30 11:07:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\GlobeTV 2011 [2011/07/30 10:14:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Kopie (4) von GlobeTV 2011 [2011/07/30 08:50:09 | 000,000,000 | ---D | C] -- C:\Programme\Resource Kit [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011/08/07 07:58:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011/08/07 05:48:27 | 000,392,296 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011/08/07 05:48:26 | 000,405,118 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011/08/07 05:48:26 | 000,070,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011/08/07 05:48:26 | 000,058,596 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011/08/06 19:04:20 | 000,151,552 | ---- | M] (Norwalk Johann Nazism Bloomfield Oregon Hendricks) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe [2011/08/06 03:50:58 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011/07/30 13:20:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\GlobeTV 2011 [2011/07/30 13:12:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Video [2011/07/30 10:03:37 | 000,002,870 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\ODSTR.xml [2011/07/26 12:29:24 | 000,000,095 | ---- | M] () -- C:\WINDOWS\winamp.ini [2011/07/13 12:05:00 | 000,000,214 | ---- | M] () -- C:\WINDOWS\tasks\shutdown.job [2011/07/11 10:07:22 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011/04/01 07:32:19 | 000,005,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011/04/01 07:32:18 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2011/03/19 07:09:54 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll [2011/03/18 15:01:20 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini [2011/03/17 06:29:57 | 000,080,416 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll [2011/03/17 06:25:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin [2011/03/17 06:24:56 | 000,887,724 | R--- | C] () -- C:\WINDOWS\System32\ativva6x.dat [2011/03/17 06:24:56 | 000,200,828 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2011/03/17 06:24:56 | 000,000,003 | R--- | C] () -- C:\WINDOWS\System32\ativva5x.dat [2011/03/17 06:24:54 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe [2011/03/17 06:24:52 | 000,294,912 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe [2011/03/17 01:34:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2011/03/17 01:33:38 | 000,640,328 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011/03/16 18:52:53 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2011/03/16 18:48:38 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2004/08/04 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004/08/04 08:00:00 | 000,405,118 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004/08/04 08:00:00 | 000,392,296 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004/08/04 08:00:00 | 000,070,580 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004/08/04 08:00:00 | 000,058,596 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004/08/04 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat ========== LOP Check ========== [2011/03/19 21:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\GraphManager [2011/04/24 12:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\JonDo [2011/04/29 06:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ProtectDisc [2011/08/03 12:33:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\StarOffice8 [2011/07/30 11:49:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Vso [2011/04/18 07:48:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp [2011/07/13 12:05:00 | 000,000,214 | ---- | M] () -- C:\WINDOWS\Tasks\shutdown.job ========== Purity Check ========== < End of report > Ich bitte Sie mir bei der Beseitigung meines Problems zu helfen. Viele Gruesse und Danke im Voraus Thomas Geändert von tnor (08.08.2011 um 18:39 Uhr) |
09.08.2011, 21:07 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Entfernung des Bundespolizei/UKASH-Trojaners Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe (Norwalk Johann Nazism Bloomfield Oregon Hendricks) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2011/03/16 18:51:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] [2011/08/06 19:04:20 | 000,151,552 | ---- | C] (Norwalk Johann Nazism Bloomfield Oregon Hendricks) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe [2011/07/13 12:05:00 | 000,000,214 | ---- | M] () -- C:\WINDOWS\Tasks\shutdown.job :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen! 2.) Ordner movedfiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ |
10.08.2011, 21:01 | #3 |
| Entfernung des Bundespolizei/UKASH-Trojaners Hurra der Rechner startet wieder
__________________Hallo Arne, vielen Dank für die tolle Hilfe! Nach dem FIX fährt der Rechner wieder normal hoch. Von der 'Bundespolizei' ist nichts mehr zu sehen. Der FIX-Vorgang hat folgendes Logfile ergeben: Code:
ATTFilter ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe deleted successfully. C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe moved successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. File C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe not found. C:\WINDOWS\Tasks\shutdown.job moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTLPE by OldTimer - Version 3.1.48.0 log created on 08102011_221544 Viele Grüße und vielen Dank Thomas |
11.08.2011, 08:28 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Entfernung des Bundespolizei/UKASH-Trojaners Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL-Custom: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
12.08.2011, 07:56 | #5 |
| Entfernung des Bundespolizei/UKASH-Trojaners Hallo Arne, weil ich gestern den ganzen Tag unterwegs war und konnte ich die Scans erst heute durchführen. Sie haben folgendes ergeben: Malwarebytes' Anti-Malware LOG: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7440 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 12.08.2011 07:36:34 mbam-log-2011-08-12 (07-36-29).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|T:\|Y:\|) Durchsuchte Objekte: 254876 Laufzeit: 17 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\_OTL\movedfiles\08102011_221544\c_dokumente und einstellungen\Thomas\anwendungsdaten\jashla.exe (Backdoor.Bot) -> No action taken. OTL.txt: Code:
ATTFilter OTL logfile created on: 12.08.2011 07:40:16 - Run 1 OTL by OldTimer - Version 3.2.26.1 Folder = D:\Software\OTL Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,87 Gb Total Physical Memory | 1,23 Gb Available Physical Memory | 65,63% Memory free 4,73 Gb Paging File | 4,21 Gb Available in Paging File | 89,18% Paging File free Paging file location(s): C:\pagefile.sys 3072 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 100,00 Gb Total Space | 1,22 Gb Free Space | 1,22% Space Free | Partition Type: NTFS Drive D: | 100,00 Gb Total Space | 1,03 Gb Free Space | 1,03% Space Free | Partition Type: NTFS Drive E: | 100,00 Gb Total Space | 0,86 Gb Free Space | 0,86% Space Free | Partition Type: NTFS Drive T: | 16,52 Gb Total Space | 0,84 Gb Free Space | 5,11% Space Free | Partition Type: NTFS Drive Y: | 615,00 Gb Total Space | 1,48 Gb Free Space | 0,24% Space Free | Partition Type: NTFS Computer Name: MAJESTIX | User Name: Thomas | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.08.12 07:38:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- D:\Software\OTL\OTL.exe PRC - [2008.04.14 08:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (SafeList) ========== MOD - [2011.08.12 07:38:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- D:\Software\OTL\OTL.exe MOD - [2008.04.14 08:50:12 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll ========== Win32 Services (SafeList) ========== ========== Driver Services (SafeList) ========== DRV - [2011.04.11 14:30:47 | 000,068,960 | ---- | M] (VSO Software) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Pcatip.sys -- (Pcatip) DRV - [2010.11.30 14:27:52 | 000,149,632 | ---- | M] (ODSoft multimedia) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\kncbda32.sys -- (kncbda) DRV - [2010.07.06 12:26:54 | 006,088,296 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2010.07.06 05:13:10 | 000,234,392 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2010.05.24 14:09:28 | 004,003,008 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService) DRV - [2010.02.10 16:22:04 | 004,614,144 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2009.12.22 03:26:36 | 000,030,392 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\usbfilter.sys -- (usbfilter) DRV - [2009.11.18 01:17:00 | 001,395,800 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt) DRV - [2009.11.18 01:16:00 | 001,691,480 | R--- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt) DRV - [2008.04.14 01:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE) DRV - [2007.04.16 17:46:34 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM) DRV - [2007.02.18 01:15:34 | 000,232,816 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\VMM.sys -- (vmm) DRV - [2007.01.29 07:20:34 | 000,059,280 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VMNetSrv.sys -- (VPCNetS2) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Dokumente/HTML/startseite/index.html IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) [2011.08.07 00:24:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla\Extensions O1 HOSTS File: ([2011.08.11 04:15:48 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Office\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] D:\Utilities\ Malwarebytes Anti-Malware \mbamgui.exe (Malwarebytes Corporation) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: E:\Bilder\Wallpaper\default_resized_to_1440x900_satur_reduce15_sharpened.bmp O24 - Desktop BackupWallPaper: E:\Bilder\Wallpaper\default_resized_to_1440x900_satur_reduce15_sharpened.bmp O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vds - Service SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: VIDC.WMV3 - C:\WINDOWS\System32\wmv9vcm.dll (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2011.08.12 07:12:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Malwarebytes [2011.08.12 07:12:02 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.08.12 07:12:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.08.12 07:11:59 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.08.11 04:15:44 | 000,000,000 | ---D | C] -- C:\_OTL [2011.08.07 12:16:09 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0 [2011.08.07 00:24:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla [2011.07.30 19:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\GlobeTV 2011 [2011.07.30 17:07:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\GlobeTV 2011 [2011.07.30 16:14:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Kopie (4) von GlobeTV 2011 [2011.07.30 14:50:09 | 000,000,000 | ---D | C] -- C:\Programme\Resource Kit [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.08.12 07:13:01 | 000,407,124 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.08.12 07:13:01 | 000,393,106 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.08.12 07:13:01 | 000,071,500 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.08.12 07:13:01 | 000,059,406 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.08.12 07:08:42 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.08.12 07:08:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.08.12 07:08:39 | 2012,401,664 | -HS- | M] () -- C:\hiberfil.sys [2011.08.10 23:42:58 | 000,143,491 | ---- | M] () -- C:\_OTL.zip [2011.07.30 16:03:37 | 000,002,870 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\ODSTR.xml [2011.07.26 18:29:24 | 000,000,095 | ---- | M] () -- C:\WINDOWS\winamp.ini [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.08.10 23:42:58 | 000,143,491 | ---- | C] () -- C:\_OTL.zip [2011.08.10 23:41:43 | 2012,401,664 | -HS- | C] () -- C:\hiberfil.sys [2011.04.01 13:32:19 | 000,005,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.04.01 13:32:18 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2011.03.19 13:09:54 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll [2011.03.18 21:01:20 | 000,000,095 | ---- | C] () -- C:\WINDOWS\winamp.ini [2011.03.17 12:29:57 | 000,080,416 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll [2011.03.17 12:25:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin [2011.03.17 12:24:56 | 000,887,724 | R--- | C] () -- C:\WINDOWS\System32\ativva6x.dat [2011.03.17 12:24:56 | 000,200,828 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2011.03.17 12:24:56 | 000,000,003 | R--- | C] () -- C:\WINDOWS\System32\ativva5x.dat [2011.03.17 12:24:54 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe [2011.03.17 12:24:52 | 000,294,912 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe [2011.03.17 07:34:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2011.03.17 07:33:38 | 000,640,328 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.03.17 00:52:53 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2011.03.17 00:48:38 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2004.08.04 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004.08.04 14:00:00 | 000,407,124 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004.08.04 14:00:00 | 000,393,106 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004.08.04 14:00:00 | 000,071,500 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004.08.04 14:00:00 | 000,059,406 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004.08.04 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2004.08.04 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat ========== LOP Check ========== [2011.04.18 13:48:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp [2011.03.20 03:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\GraphManager [2011.04.24 18:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\JonDo [2011.04.29 12:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ProtectDisc [2011.08.03 18:33:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\StarOffice8 [2011.07.30 17:49:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Vso ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2011.03.18 12:53:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Adobe [2011.03.18 12:53:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\AdobeUM [2011.03.17 12:27:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ATI [2011.03.30 15:02:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Corel [2011.03.24 11:14:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Google [2011.03.20 03:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\GraphManager [2011.03.30 14:16:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Help [2011.03.17 00:54:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Identities [2011.03.17 12:30:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\InstallShield [2011.04.24 18:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\JonDo [2011.03.17 13:45:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Macromedia [2011.08.12 07:12:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Malwarebytes [2011.03.23 03:38:44 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft [2011.08.12 07:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Mozilla [2011.04.29 12:32:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ProtectDisc [2011.08.03 18:33:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\StarOffice8 [2011.03.19 11:47:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun [2011.03.24 17:01:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\UltraVNC [2011.07.30 17:49:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Vso [2011.03.19 11:29:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\WinRAR < %APPDATA%\*.exe /s > [2011.03.17 12:24:47 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Installer\{7A1107CD-A2EF-B18D-65E6-D8496CC99BB7}\ARPPRODUCTICON.exe < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.14 01:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.14 01:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 09:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 08:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 08:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll [2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 08:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 08:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll [2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 08:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 08:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll [2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: USER32.DLL > [2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll [2008.04.14 08:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll [2008.04.14 08:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 08:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 08:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 08:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 08:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2011.03.17 08:32:45 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav [2011.03.17 08:32:45 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav [2011.03.17 08:32:45 | 000,446,464 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < End of report > Viele Grüße Thomas |
12.08.2011, 10:33 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Entfernung des Bundespolizei/UKASH-Trojaners Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Entfernung des Bundespolizei/UKASH-Trojaners |
12.08.2011, 18:54 | #7 |
| Entfernung des Bundespolizei/UKASH-Trojaners Hallo Arne, ComboFix hab' ich mit folgendem Resultat ausgeführt: Code:
ATTFilter ComboFix 11-08-12.01 - Thomas 12.08.2011 19:40:37.1.3 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1919.1448 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\ComboFix.exe . . ((((((((((((((((((((((( Dateien erstellt von 2011-07-12 bis 2011-08-12 )))))))))))))))))))))))))))))) . . 2011-07-30 12:50 . 2011-07-30 12:50 -------- d-----w- c:\programme\Resource Kit . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-08-10 21:42 . 2011-08-10 21:42 143491 ----a-w- C:\_OTL.zip 2011-07-26 16:17 . 2011-03-23 01:38 165232 ---ha-w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll 2011-06-20 15:32 . 2011-06-20 15:32 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2010-07-06 19556968] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 98304] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Utilities\\UltraVNC\\vncviewer.exe"= "d:\\Video\\VLCPortable 0.99\\App\\vlc\\vlc.exe"= "d:\\Utilities\\uTorrentPortable\\App\\utorrent\\utorrent.exe"= . R3 kncbda;KNC BDA DVB-S;c:\windows\system32\drivers\kncbda32.sys [19.03.2011 13:09 149632] R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\drivers\usbfilter.sys [17.03.2011 12:25 30392] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.03.2011 12:21 1691480] S3 MSICDSetup;MSICDSetup;\??\x:\cdriver.sys --> x:\CDriver.sys [?] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = file:///E:/Dokumente/HTML/startseite/index.html TCP: Interfaces\{A389C639-AD42-472D-8828-8FB8E6BEAFA2}: NameServer = 192.168.0.1 . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-08-12 19:42 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(972) c:\windows\system32\Ati2evxx.dll c:\windows\system32\atiadlxx.dll . Zeit der Fertigstellung: 2011-08-12 19:42:59 ComboFix-quarantined-files.txt 2011-08-12 17:42 . Vor Suchlauf: 1.218.543.616 Bytes frei Nach Suchlauf: 1.355.083.776 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer . - - End Of File - - 82917770A94C987D5DC3ADA4084422EB Thomas |
12.08.2011, 19:44 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Entfernung des Bundespolizei/UKASH-Trojaners Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
13.08.2011, 17:59 | #9 |
| Entfernung des Bundespolizei/UKASH-Trojaners Hallo Arne, anbei das Ergebnis des ComboFix-Durchlaufs mit CFScript.txt: Code:
ATTFilter ComboFix 11-08-13.02 - Thomas 13.08.2011 18:47:05.2.3 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1919.1412 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Thomas\Desktop\CFScript.txt . . ((((((((((((((((((((((( Dateien erstellt von 2011-07-13 bis 2011-08-13 )))))))))))))))))))))))))))))) . . 2011-08-12 05:12 . 2011-08-12 05:12 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes 2011-08-12 05:12 . 2011-08-12 05:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2011-08-12 05:12 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-08-12 05:11 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-08-11 02:15 . 2011-08-11 02:15 -------- d-----w- C:\_OTL 2011-08-07 10:16 . 2011-08-07 11:40 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0 2011-07-30 12:50 . 2011-07-30 12:50 -------- d-----w- c:\programme\Resource Kit . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-08-10 21:42 . 2011-08-10 21:42 143491 ----a-w- C:\_OTL.zip 2011-07-26 16:17 . 2011-03-23 01:38 165232 ---ha-w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll 2011-06-20 15:32 . 2011-06-20 15:32 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl . . ((((((((((((((((((((((((((((( SnapShot@2011-08-12_17.42.31 ))))))))))))))))))))))))))))))))))))))))) . - 2004-08-04 12:00 . 2011-08-12 17:35 59406 c:\windows\system32\perfc009.dat + 2004-08-04 12:00 . 2011-08-13 16:46 59406 c:\windows\system32\perfc009.dat - 2004-08-04 12:00 . 2011-08-12 17:35 71500 c:\windows\system32\perfc007.dat + 2004-08-04 12:00 . 2011-08-13 16:46 71500 c:\windows\system32\perfc007.dat + 2004-08-04 12:00 . 2011-08-13 16:46 393106 c:\windows\system32\perfh009.dat - 2004-08-04 12:00 . 2011-08-12 17:35 393106 c:\windows\system32\perfh009.dat + 2004-08-04 12:00 . 2011-08-13 16:46 407124 c:\windows\system32\perfh007.dat - 2004-08-04 12:00 . 2011-08-12 17:35 407124 c:\windows\system32\perfh007.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2010-07-06 19556968] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 98304] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Utilities\\UltraVNC\\vncviewer.exe"= "d:\\Video\\VLCPortable 0.99\\App\\vlc\\vlc.exe"= "d:\\Utilities\\uTorrentPortable\\App\\utorrent\\utorrent.exe"= . R3 kncbda;KNC BDA DVB-S;c:\windows\system32\drivers\kncbda32.sys [19.03.2011 13:09 149632] R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\drivers\usbfilter.sys [17.03.2011 12:25 30392] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.03.2011 12:21 1691480] S3 MSICDSetup;MSICDSetup;\??\x:\cdriver.sys --> x:\CDriver.sys [?] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = file:///E:/Dokumente/HTML/startseite/index.html TCP: Interfaces\{A389C639-AD42-472D-8828-8FB8E6BEAFA2}: NameServer = 192.168.0.1 . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-08-13 18:48 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(972) c:\windows\system32\Ati2evxx.dll c:\windows\system32\atiadlxx.dll . Zeit der Fertigstellung: 2011-08-13 18:49:05 ComboFix-quarantined-files.txt 2011-08-13 16:49 . Vor Suchlauf: 1.352.032.256 Bytes frei Nach Suchlauf: 1.340.387.328 Bytes frei . - - End Of File - - 82270970FDEB0A883D529C379AD2D4BB Thomas |
15.08.2011, 11:00 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Entfernung des Bundespolizei/UKASH-Trojaners Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ Logfiles bitte immer in CODE-Tags posten |
17.08.2011, 11:10 | #11 |
| Entfernung des Bundespolizei/UKASH-Trojaners Hallo Arne, die Scans wurden gestern durchgeführt. Hab's aber leider nicht mehr geschafft die Resultate zu posten. Hoffentlich habe ich es richtig gemacht bei OSAM den Online-Scan zu überspringen und bei aswMBR.exe die 'QuickScan'-Auswahl beizubehalten. Hier nun die Ergebnisse: GMER Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-08-16 10:11:40 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HDS721010CLA332 rev.JP4OA3MA Running: 3id7nqnr.exe; Driver: C:\DOKUME~1\Thomas\LOKALE~1\Temp\kwldypow.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB58EF000, 0x2326C7, 0xE8000020] ---- EOF - GMER 1.0.15 ---- OSAM Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 10:19:12 on 16.08.2011 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "catchme" (catchme) - ? - C:\DOKUME~1\Thomas\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "KNC BDA DVB-S" (kncbda) - "ODSoft multimedia" - C:\WINDOWS\System32\DRIVERS\kncbda32.sys "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "Low level access layer for CD devices" (Pcouffin) - "VSO Software" - C:\WINDOWS\System32\Drivers\Pcouffin.sys "MSICDSetup" (MSICDSetup) - ? - X:\CDriver.sys (File not found) "Pcatip" (Pcatip) - "VSO Software" - C:\WINDOWS\System32\DRIVERS\Pcatip.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Virtual Machine Monitor" (vmm) - "Microsoft Corporation" - C:\WINDOWS\system32\Drivers\vmm.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - D:\Office\Acrobat 7.0\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {872A9397-E0D6-4e28-B64D-52B8D0A7EA35} "DisplayCplExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll {8932AEFE-9DB6-4f43-AFB2-5682F55E773A} "VPCHostCopyHook" - "Microsoft Corporation" - D:\Utilities\Virtual PC 2007\VPCShExH.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - D:\Utilities\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab {33564D57-0000-0010-8000-00AA00389B71} "{33564D57-0000-0010-8000-00AA00389B71}" - ? - (File not found | COM-object registry key not found) / hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - D:\Office\Acrobat 7.0\ActiveX\AcroIEHelper.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe "StartCCC" - "Advanced Micro Devices, Inc." - "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru aswMBR Code:
ATTFilter aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software Run date: 2011-08-16 10:22:35 ----------------------------- 10:22:35.734 OS Version: Windows 5.1.2600 Service Pack 3 10:22:35.734 Number of processors: 3 586 0x503 10:22:35.734 ComputerName: MAJESTIX UserName: Thomas 10:22:36.125 Initialize success 10:26:05.359 AVAST engine defs: 11081501 10:27:42.468 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 10:27:42.468 Disk 0 Vendor: Hitachi_HDS721010CLA332 JP4OA3MA Size: 953869MB BusType: 3 10:27:44.468 Disk 0 MBR read successfully 10:27:44.468 Disk 0 MBR scan 10:27:44.468 Disk 0 Windows XP default MBR code 10:27:44.468 Disk 0 scanning sectors +1953520065 10:27:44.515 Disk 0 scanning C:\WINDOWS\system32\drivers 10:27:49.531 Service scanning 10:27:49.640 Service MSICDSetup X:\CDriver.sys **LOCKED** 21 10:27:50.187 Modules scanning 10:27:52.328 Disk 0 trace - called modules: 10:27:52.328 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 10:27:52.328 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89cf9ab8] 10:27:52.343 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000066[0x89d43288] 10:27:52.343 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89c90d98] 10:27:52.734 AVAST engine scan C:\WINDOWS 10:27:56.062 AVAST engine scan C:\WINDOWS\system32 10:28:45.390 AVAST engine scan C:\WINDOWS\system32\drivers 10:28:52.671 AVAST engine scan C:\Dokumente und Einstellungen\Thomas 10:29:17.250 AVAST engine scan C:\Dokumente und Einstellungen\All Users 10:29:22.859 Scan finished successfully 10:31:47.015 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Thomas\Desktop\MBR.dat" 10:31:47.015 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Thomas\Desktop\aswMBR.txt" Viele Grüße Thomas |
17.08.2011, 11:28 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Entfernung des Bundespolizei/UKASH-Trojaners Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
25.08.2011, 18:35 | #13 |
| Entfernung des Bundespolizei/UKASH-Trojaners Hallo Arne, leider hatte ich die letzten Tage total viel um die Ohren, so dass ich mich erst gestern und heute wieder um den 'Patienten' kümmern konnte. Die Scans haben folgende Log-Dateien ergeben: Malwarebytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7552 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 24.08.2011 15:50:49 mbam-log-2011-08-24 (15-50-44).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|T:\|V:\|W:\|Y:\|) Durchsuchte Objekte: 253436 Laufzeit: 18 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\_OTL\movedfiles\08102011_221544\c_dokumente und einstellungen\Thomas\anwendungsdaten\jashla.exe (Backdoor.Bot) -> No action taken. SUPERAntiSpyware Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 08/25/2011 at 08:27 AM Application Version : 5.0.1118 Core Rules Database Version : 7600 Trace Rules Database Version: 5412 Scan type : Complete Scan Total Scan Time : 00:37:06 Operating System Information Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600) Administrator Memory items scanned : 512 Memory threats detected : 0 Registry items scanned : 35435 Registry threats detected : 0 File items scanned : 145618 File threats detected : 34 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@2o7[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad.zanox[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad2.adfarm1.adition[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad3.adfarm1.adition[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ad4.adfarm1.adition[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@adfarm1.adition[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ads.quartermedia[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@adsrv1.admediate[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@adtech[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@adviva[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@apmebf[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@atdmt[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@bs.serving-sys[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@doubleclick[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@eas.apm.emediate[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ehg-linksys.hitbox[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@hitbox[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@invitemedia[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@mediaplex[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@msnportal.112.2o7[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@revsci[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@serving-sys[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@smartadserver[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@specificclick[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@tracking.quisma[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@tradedoubler[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@traffictrack[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@webmasterplan[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@xiti[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@zanox[2].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@tmobile[1].txt C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@cgi-bin[2].txt atdmt.com [ Y:\MIRACULIX_BAK__E__DATEN\ASTERIX\PARTITION_C\WINDOWS\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\9R7KCVPW ] ESET Online Scanner Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok esets_scanner_update returned -1 esets_gle=53251 # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=cbbb623f97ab7f4f9c67d34f08421f22 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=true # antistealth_checked=true # utc_time=2011-08-25 12:58:41 # local_time=2011-08-25 02:58:41 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=8192 67108863 100 0 7839 7839 0 0 # scanned=108701 # found=6 # cleaned=0 # scan_time=3458 C:\_OTL.zip a variant of Win32/Injector.ITY trojan (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\08102011_221544\C_Dokumente und Einstellungen\Thomas\Anwendungsdaten\jashla.exe a variant of Win32/Injector.ITY trojan (unable to clean) 00000000000000000000000000000000 I D:\Software\HFS - HTTP File Server 2.1d\hfs.exe a variant of Win32/Server-Web.HFS.A application (unable to clean) 00000000000000000000000000000000 I Y:\Miraculix_BAK__E__Daten\Asterix\Partition_C\Eigene Dateien\hfs.new.exe a variant of Win32/Server-Web.HFS.A application (unable to clean) 00000000000000000000000000000000 I Y:\Miraculix_BAK__E__Daten\Asterix\Partition_C\Internet\HFS-HTTP_File_Server\hfs.exe a variant of Win32/Server-Web.HFS.A application (unable to clean) 00000000000000000000000000000000 I Y:\Miraculix_BAK__F__Misc\Software\HFS-HTTP_File_Server.exe a variant of Win32/Server-Web.HFS.A application (unable to clean) 00000000000000000000000000000000 I Thomas |
25.08.2011, 20:04 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Entfernung des Bundespolizei/UKASH-Trojaners Nur Cookies (bei SASW), isolierte Überreste (bei Malwarebytes und ESET, harmlos) sowie offensichtliche Fehlalarme bei ESET => HFS-HTTP_File_Server Rechner soweit wieder im Lot?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Entfernung des Bundespolizei/UKASH-Trojaners |
.dll, 0x00000001, beseitigung, bho, computer, dateien, desktop, einstellungen, error, explorer, format, helper, homepage, infizierte, jashla.exe, kaspersky, kaspersky rescue, logfile, otl.txt, plug-in, problem, realtek, reatogo, registry, rescue cd, scan, software, surfen, thomas, wallpaper, windows, windows xp, winlogon |