Bundespolizei-Trojaner

Rettan_1981 · 14.08.2011, 20:23

Hallo Trojaner-Board-Team,

auch mich hat der Bundespolizei Trojaner erwischt, kurz zur bisherigen Vorgehensweise:

1) Trojaner eingefangen (keine Ahnung wie und wo) keine Kontrolle mehr über den Rechner, lediglich die Aufforderung per Ukash EUR 100 zu überweisen

2)Neu-Start des Rechners, aufrufen des Task-Managers und stoppen des Prozess "jashla.exe"; danach kann der Rechner wieder kontrolliert werden

3) avira durchlaufen lassen, gefunden wurde: TR/Crypt.XPACK.Gen (diese wurde in Quarantäne verschoben)

4) nach Neustart des Rechners besteht das Problem weiterhin (d.h. ohne beenden des besagten Prozesses, öffnet sich wieder das Fenster mit der Zahlungsaufforderung)

5) defogger, OTL und GMER entsprechend durchgeführt

im Anhang die Logs

DANKE

Hab gerade Malware durchlaufen lassen (Quick Scan), dazu folgendes:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7467

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

14.08.2011 22:24:00
mbam-log-2011-08-14 (22-24-00).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 172651
Laufzeit: 3 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avupdate (Backdoor.Bot) -> Value: avupdate -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\program files\free registry cleaner for vista (Rogue.FreeRegistryCleanerForVista) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\Admin\AppData\Roaming\jashla.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\program files\free registry cleaner for vista\backuphkcu.reg (Rogue.FreeRegistryCleanerForVista) -> Quarantined and deleted successfully.

Viele Grüße und DANKE

cosinus · 16.08.2011, 12:32

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Rettan_1981 · 16.08.2011, 18:43

Danke für deine Antwort, anbei das log vom Voll-Scan

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7480

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

16.08.2011 19:38:03
mbam-log-2011-08-16 (19-38-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|H:\|)
Durchsuchte Objekte: 339611
Laufzeit: 53 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Schaut ja erstmal ganz gut aus. Rechner startet auch normal. Beenden der jashla.exe nicht mehr erforderlich. Trau dem ganzen aber noch nicht so richtig. Meine Besuche im Internet beschränken sich auch auf den Besuch eurer Seite. Besteht ein Risiko im Hinblick auf die Passwort Eingabe z.B. bei meinem E-Mail-Account?

Weitere Logs gibt es bisher nicht.

Vielen Dank...

cosinus · 17.08.2011, 10:02

Führe auch bitte ESET aus, danach sehen wir weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Rettan_1981 · 17.08.2011, 14:17

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=d33d4cc89be0724eb4cd93712230fb93
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-17 01:14:10
# local_time=2011-08-17 03:14:10 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 100 233914 88475167 54894 0
# compatibility_mode=5892 16776573 100 100 58641 151107731 0 0
# compatibility_mode=8192 67108863 100 0 200 200 0 0
# scanned=192545
# found=0
# cleaned=0
# scan_time=11847

Scheint ja soweit auch alles i.O. zu sein. Was kommt als nächstes? Vielen Dank für deine Hilfe :-)

Mit besten Grüßen

cosinus · 17.08.2011, 14:59

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Rettan_1981 · 17.08.2011, 16:19

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-08-17.02 - Admin 17.08.2011  16:54:12.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2046.1111 [GMT 2:00]
ausgeführt von:: c:\users\Admin\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\SPL20AB.tmp
c:\programdata\SPL9AFE.tmp
c:\programdata\SPLD9B6.tmp
c:\users\Admin\Desktop\Setup.exe
c:\windows\IsUn0407.exe
c:\windows\iun6002.exe
c:\windows\pi.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\regobj.dll
c:\windows\system32\scvideo.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
-------\Service_NPF
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-17 bis 2011-08-17  ))))))))))))))))))))))))))))))
.
.
2011-08-17 15:02 . 2011-08-17 15:06	--------	d-----w-	c:\users\Admin\AppData\Local\temp
2011-08-17 10:04 . 2011-08-12 02:44	7152464	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0FE41BF4-A7F0-459B-A5FF-673B05D4E766}\mpengine.dll
2011-08-17 09:53 . 2011-08-17 09:53	--------	d-----w-	c:\program files\ESET
2011-08-14 20:10 . 2011-08-14 20:10	--------	d-----w-	c:\users\Admin\AppData\Roaming\Malwarebytes
2011-08-14 20:09 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-14 20:09 . 2011-08-14 20:09	--------	d-----w-	c:\programdata\Malwarebytes
2011-08-14 20:09 . 2011-08-14 20:09	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-08-14 20:09 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-14 18:09 . 2011-08-14 18:09	--------	d-----w-	c:\program files\7-Zip
2011-08-13 17:32 . 2011-02-23 14:52	16184	----a-w-	c:\windows\system32\drivers\SmartDefragDriver.sys
2011-08-13 17:32 . 2011-02-23 14:52	29520	----a-w-	c:\windows\system32\SmartDefragBootTime.exe
2011-08-13 17:32 . 2011-08-13 17:32	--------	d-----w-	c:\programdata\IObit
2011-08-13 17:31 . 2011-08-13 17:32	--------	d-----w-	c:\users\Admin\AppData\Roaming\IObit
2011-08-13 17:31 . 2011-08-13 17:32	--------	d-----w-	c:\program files\IObit
2011-08-13 00:39 . 2011-08-13 00:39	--------	d-----w-	c:\users\Bernd\AppData\Roaming\TuneUp Software
2011-08-11 13:15 . 2011-08-11 13:15	1138440	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2011-08-11 10:58 . 2011-07-22 03:00	141104	----a-w-	c:\program files\Internet Explorer\sqmapi.dll
2011-08-11 10:58 . 2011-07-22 02:44	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2011-08-11 10:58 . 2011-07-22 02:54	1797632	----a-w-	c:\windows\system32\jscript9.dll
2011-08-11 10:58 . 2011-07-22 02:46	194048	----a-w-	c:\program files\Internet Explorer\IEShims.dll
2011-08-11 10:57 . 2011-07-22 02:48	1126912	----a-w-	c:\windows\system32\wininet.dll
2011-08-10 21:38 . 2011-06-17 16:03	375808	----a-w-	c:\windows\system32\winsrv.dll
2011-08-10 21:38 . 2011-07-06 15:31	214016	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2011-08-10 21:38 . 2011-06-06 10:59	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2011-08-10 21:37 . 2011-06-20 08:54	3602832	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-08-10 21:37 . 2011-06-20 08:54	3550096	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-08-10 21:37 . 2011-06-17 20:13	905104	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-08-08 12:28 . 2011-08-08 12:28	--------	d-sh--w-	c:\programdata\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
2011-08-06 14:15 . 2011-08-06 14:15	--------	d-----w-	c:\program files\iPod
2011-08-06 14:14 . 2011-08-06 14:15	--------	d-----w-	c:\program files\iTunes
2011-08-06 14:12 . 2011-08-06 14:12	--------	d-----w-	c:\program files\Bonjour
2011-07-29 17:38 . 2011-07-29 17:38	--------	d-----w-	c:\program files\Apple Software Update
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-03 14:15 . 2011-05-19 04:51	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-12 09:20 . 2011-07-12 09:20	83816	----a-w-	c:\windows\system32\dns-sd.exe
2011-07-12 09:20 . 2011-07-12 09:20	73064	----a-w-	c:\windows\system32\dnssd.dll
2011-07-12 09:20 . 2011-07-12 09:20	50536	----a-w-	c:\windows\system32\jdns_sd.dll
2011-07-12 09:20 . 2011-07-12 09:20	178536	----a-w-	c:\windows\system32\dnssdX.dll
2011-07-05 16:37 . 2011-07-05 16:37	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2011-07-05 16:37 . 2011-07-05 16:37	69632	----a-w-	c:\windows\system32\QuickTime.qts
2011-06-28 12:15 . 2009-04-20 14:55	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-06-28 12:15 . 2009-04-20 14:55	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-06-02 13:34 . 2011-07-14 06:20	2043392	----a-w-	c:\windows\system32\win32k.sys
2011-05-26 05:07 . 2011-05-26 05:07	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2011-05-26 05:07 . 2011-05-26 05:07	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2011-05-26 05:07 . 2011-05-26 05:07	48640	----a-w-	c:\windows\system32\mshtmler.dll
2011-05-26 05:07 . 2011-05-26 05:07	161792	----a-w-	c:\windows\system32\msls31.dll
2011-05-26 05:07 . 2011-05-26 05:07	86528	----a-w-	c:\windows\system32\iesysprep.dll
2011-05-26 05:07 . 2011-05-26 05:07	63488	----a-w-	c:\windows\system32\tdc.ocx
2011-05-26 05:07 . 2011-05-26 05:07	367104	----a-w-	c:\windows\system32\html.iec
2011-05-26 05:07 . 2011-05-26 05:07	74752	----a-w-	c:\windows\system32\iesetup.dll
2011-05-26 05:07 . 2011-05-26 05:07	420864	----a-w-	c:\windows\system32\vbscript.dll
2011-05-26 05:07 . 2011-05-26 05:07	23552	----a-w-	c:\windows\system32\licmgr10.dll
2011-05-26 05:07 . 2011-05-26 05:07	152064	----a-w-	c:\windows\system32\wextract.exe
2011-05-26 05:07 . 2011-05-26 05:07	150528	----a-w-	c:\windows\system32\iexpress.exe
2011-05-26 05:07 . 2011-05-26 05:07	1427456	----a-w-	c:\windows\system32\inetcpl.cpl
2011-05-26 05:07 . 2011-05-26 05:07	35840	----a-w-	c:\windows\system32\imgutil.dll
2011-05-26 05:07 . 2011-05-26 05:07	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2011-05-26 05:07 . 2011-05-26 05:07	11776	----a-w-	c:\windows\system32\mshta.exe
2011-05-26 05:07 . 2011-05-26 05:07	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2011-05-26 05:07 . 2011-05-26 05:07	101888	----a-w-	c:\windows\system32\admparse.dll
2011-05-24 17:14 . 2009-10-03 08:15	222080	------w-	c:\windows\system32\MpSigStub.exe
2006-05-19 21:27 . 2007-04-04 15:52	1228416	----a-w-	c:\program files\oleco.exe
2007-03-09 07:12	27648	--sha-w-	c:\windows\System32\AVSredirect.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfree.dll" [2009-03-10 2079256]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-03-17 2355224]
"{fdd5e9bd-b7fd-4426-840e-5c7f5ee259dc}"= "c:\program files\Softonic_Deutschland\tbSoft.dll" [2009-11-09 2331672]
.
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{fdd5e9bd-b7fd-4426-840e-5c7f5ee259dc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2010-03-17 13:45	2355224	----a-w-	c:\program files\softonic-de3\tbsoft.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2009-03-10 09:47	2079256	----a-w-	c:\program files\free-downloads.net\tbfree.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fdd5e9bd-b7fd-4426-840e-5c7f5ee259dc}]
2009-11-09 16:38	2331672	----a-w-	c:\program files\Softonic_Deutschland\tbSoft.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfree.dll" [2009-03-10 2079256]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-03-17 2355224]
"{fdd5e9bd-b7fd-4426-840e-5c7f5ee259dc}"= "c:\program files\Softonic_Deutschland\tbSoft.dll" [2009-11-09 2331672]
.
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{fdd5e9bd-b7fd-4426-840e-5c7f5ee259dc}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-23 68856]
"Advanced SystemCare 4"="c:\program files\IObit\Advanced SystemCare 4\ASCTray.exe" [2011-05-28 412560]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2006-12-01 4186112]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8530464]
"MedionVFD"="c:\program files\Medion Info Display\MdionLCMLH.exe" [2006-12-29 208896]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-27 281768]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-07-06 1047656]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WinZip Quick Pick.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2008-09-02 04:52	205256	----a-w-	c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
2006-06-23 09:24	343552	----a-w-	c:\program files\avmwlanstick\FRITZWLanMini.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-07-19 16:29	421736	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2009-06-02 06:59	5451536	----a-w-	c:\program files\Logitech\Logitech Vid\Vid.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-05-08 08:35	2780432	----a-w-	c:\program files\Logitech\Logitech WebCam Software\LWS.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileConnect]
2008-07-04 10:52	2072576	----a-w-	c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-11-06 19:00	81920	----a-w-	c:\windows\System32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2011-07-05 16:36	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2009-04-11 06:28	1233920	----a-w-	c:\program files\Windows Sidebar\sidebar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44	248552	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TerraTec Remote Control]
2007-07-02 14:37	1073152	----a-w-	c:\program files\Common Files\TerraTec\Remote\TTTvRc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-05-14 22:22	35328	----a-w-	c:\program files\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-19 07:38	1008184	----a-w-	c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
"LDM"=c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
"ehTray.exe"=c:\windows\ehome\ehTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe"  -osboot
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"TerraTec Remote Control"="c:\program files\Common Files\TerraTec\Remote\TTTVRC.exe"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-04 135664]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-04 135664]
R3 Hiptop;Hiptop;c:\windows\system32\Drivers\Hiptop.sys [2007-09-25 109600]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2011-05-10 18432]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-07-11 721904]
S0 SmartDefragDriver;SmartDefragDriver;c:\windows\System32\Drivers\SmartDefragDriver.sys [2011-02-23 16184]
S2 accsvc;AccSys WiFi Component;c:\program files\Common Files\AccSys\accsvc.exe [2006-01-11 147456]
S2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [2007-05-14 108768]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 185472]
S2 AdvancedSystemCareService;Advanced SystemCare Service;c:\program files\IObit\Advanced SystemCare 4\ASCService.exe [2011-05-28 353168]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
S2 IMFservice;IMF Service;c:\program files\IObit\IObit Malware Fighter\IMFsrv.exe [2011-06-01 821080]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 VMCService;Vodafone Mobile Connect Service;c:\program files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-07-04 14336]
S2 vpnagent;Cisco AnyConnect VPN Agent;c:\program files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [2010-08-16 592120]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-06 22712]
S3 MODRC;Cinergy HT USB XE IR Service;c:\windows\system32\DRIVERS\modrc.sys [2006-11-14 13056]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-06-17 10:11	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-17 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-04-04 15:53]
.
2011-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-04 19:02]
.
2011-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-04 19:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.spiegel-online.de/
mStart Page = hxxp://de.yahoo.com
uInternet Settings,ProxyOverride = *.local;<local>
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
TCP: DhcpNameServer = 192.168.2.1
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\dh63i6la.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2292731&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://spiegel.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2292731&q=
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - user.js: yahoo.homepage.dontask - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-AlSrvN - c:\users\Admin\Desktop\Alcohol 120% 1.9.8.7612 Retail\PatCh 5.0.0 ML by ChVL\Plugins\Helper\AlSrvN.exe
MSConfigStartUp-TrayServer - c:\program files\MAGIX\Video_deluxe_16_Plus_Download-Version\TrayServer.exe
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE
AddRemove-JuS Lern-CD Zivilrecht I - c:\windows\system32\isuninst -cc:\windows\system32\bcuninst.dll
AddRemove-Replay_Converter_1 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-4130407719-1838308965-2216475232-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:8a,3c,59,2f,4d,59,c8,46,05,6c,5e,81,fd,3f,ca,9f,eb,70,f8,ae,7f,1a,1e,
   7b,af,af,78,75,f9,cb,be,69,61,a7,30,46,5e,fa,25,2d,c7,e1,ad,d3,a1,2a,03,86,\
"??"=hex:7c,b3,c8,48,c0,e1,8f,3f,33,bd,a2,53,4e,a8,6e,90
.
[HKEY_USERS\S-1-5-21-4130407719-1838308965-2216475232-1000\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)
"datasecu"=hex:e8,dc,de,b1,f8,f1,b9,e7,86,b4,97,e6,94,04,b9,8a,dc,12,26,7a,f7,
   55,e6,9d,f3,b9,f1,87,03,23,8f,03,3b,8e,38,16,6a,85,29,00,4e,04,bc,4c,80,55,\
"rkeysecu"=hex:4e,d2,9e,5b,34,2b,ad,25,34,4d,20,7d,56,af,e5,af
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\avmwlanstick\WlanNetService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\IObit\Advanced SystemCare 4\PMonitor.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\windows\ehome\ehsched.exe
c:\windows\ehome\ehRecvr.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-08-17  17:13:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-08-17 15:13
.
Vor Suchlauf: 19 Verzeichnis(se), 289.996.632.064 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 289.535.606.784 Bytes frei
.
- - End Of File - - 8566E85D7DD5180E012276DEAFFB2343

--- --- ---

Danke und Viele Grüße

cosinus · 17.08.2011, 21:09

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

16.08.2011, 12:32	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bundespolizei-Trojaner Hallo und Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! __________________ __________________

Bundespolizei-Trojaner

Plagegeister aller Art und deren Bekämpfung: Bundespolizei-Trojaner