Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bundespolizei Trojaner. Öffnet sich beim Start des Systems.

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


Log-Analyse und Auswertung: Bundespolizei Trojaner. Öffnet sich beim Start des Systems.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 3 1 2 3
Alt 14.11.2011, 09:54   #16
subh
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


hi,

der besitzer hat wochende updates installiert....ohne mein wissen....ich hoffe es ist nicht jetzt nicht alles umsonst gewesen..

hier das combofix log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-11-12.02 - Fluppe 12.11.2011  15:08:19.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.49.1031.18.2046.1170 [GMT 1:00]
ausgeführt von:: c:\users\Fluppe\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6000.16386_none_d9f1f819d4c4e737\userinit.exe wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-12 bis 2011-11-12  ))))))))))))))))))))))))))))))
.
.
2011-11-12 14:14 . 2011-11-12 14:19    --------    d-----w-    c:\users\Fluppe\AppData\Local\temp
2011-11-12 14:14 . 2011-11-12 14:14    --------    d-----w-    c:\users\Default\AppData\Local\temp
2011-11-11 22:12 . 2011-11-11 22:12    34304    ----a-w-    c:\windows\system32\atmlib.dll
2011-11-11 22:12 . 2011-11-11 22:12    289792    ----a-w-    c:\windows\system32\atmfd.dll
2011-11-11 22:12 . 2011-11-11 22:12    24064    ----a-w-    c:\windows\system32\lpk.dll
2011-11-11 22:12 . 2011-11-11 22:12    156672    ----a-w-    c:\windows\system32\t2embed.dll
2011-11-11 22:12 . 2011-11-11 22:12    10240    ----a-w-    c:\windows\system32\dciman32.dll
2011-11-11 22:12 . 2011-11-11 22:12    72704    ----a-w-    c:\windows\system32\fontsub.dll
2011-11-11 22:06 . 2011-11-11 22:06    61440    ----a-w-    c:\windows\system32\winipsec.dll
2011-11-11 22:06 . 2011-11-11 22:06    28672    ----a-w-    c:\windows\system32\FwRemoteSvr.dll
2011-11-11 22:06 . 2011-11-11 22:06    361984    ----a-w-    c:\windows\system32\IPSECSVC.DLL
2011-11-11 22:06 . 2011-11-11 22:06    272896    ----a-w-    c:\windows\system32\polstore.dll
2011-11-11 22:04 . 2011-11-11 22:04    84992    ----a-w-    c:\windows\system32\drivers\srvnet.sys
2011-11-11 22:04 . 2011-11-11 22:04    306688    ----a-w-    c:\windows\system32\drivers\srv.sys
2011-11-11 22:03 . 2011-11-11 22:03    9728    ----a-w-    c:\windows\system32\TCPSVCS.EXE
2011-11-11 22:03 . 2011-11-11 22:03    8704    ----a-w-    c:\windows\system32\HOSTNAME.EXE
2011-11-11 22:03 . 2011-11-11 22:03    15360    ----a-w-    c:\windows\system32\netevent.dll
2011-11-11 22:03 . 2011-11-11 22:03    11264    ----a-w-    c:\windows\system32\MRINFO.EXE
2011-11-11 22:03 . 2011-11-11 22:03    103936    ----a-w-    c:\windows\system32\netiohlp.dll
2011-11-11 22:03 . 2011-11-11 22:03    27136    ----a-w-    c:\windows\system32\NETSTAT.EXE
2011-11-11 22:03 . 2011-11-11 22:03    19968    ----a-w-    c:\windows\system32\ARP.EXE
2011-11-11 22:03 . 2011-11-11 22:03    17920    ----a-w-    c:\windows\system32\ROUTE.EXE
2011-11-11 22:03 . 2011-11-11 22:03    10240    ----a-w-    c:\windows\system32\finger.exe
2011-11-11 22:01 . 2011-11-11 22:01    194560    ----a-w-    c:\windows\system32\WebClnt.dll
2011-11-11 22:01 . 2011-11-11 22:01    110080    ----a-w-    c:\windows\system32\drivers\mrxdav.sys
2011-11-11 21:59 . 2011-11-11 21:59    123904    ----a-w-    c:\windows\system32\L2SecHC.dll
2011-11-11 21:59 . 2011-11-11 21:59    67584    ----a-w-    c:\windows\system32\wlanhlp.dll
2011-11-11 21:59 . 2011-11-11 21:59    47104    ----a-w-    c:\windows\system32\wlanapi.dll
2011-11-11 21:59 . 2011-11-11 21:59    502272    ----a-w-    c:\windows\system32\wlansvc.dll
2011-11-11 21:59 . 2011-11-11 21:59    297984    ----a-w-    c:\windows\system32\wlansec.dll
2011-11-11 21:59 . 2011-11-11 21:59    290816    ----a-w-    c:\windows\system32\wlanmsm.dll
2011-11-11 21:58 . 2011-11-11 21:58    2048    ----a-w-    c:\windows\system32\msxml3r.dll
2011-11-11 21:58 . 2011-11-11 21:58    1260032    ----a-w-    c:\windows\system32\msxml3.dll
2011-11-11 21:58 . 2011-11-11 21:58    1406464    ----a-w-    c:\windows\system32\msxml6.dll
2011-11-11 21:58 . 2011-11-11 21:58    2048    ----a-w-    c:\windows\system32\msxml6r.dll
2011-11-11 21:56 . 2011-11-11 21:56    216576    ----a-w-    c:\windows\system32\msv1_0.dll
2011-11-11 21:55 . 2011-11-11 21:55    58368    ----a-w-    c:\windows\system32\drivers\mrxsmb20.sys
2011-11-11 21:55 . 2011-11-11 21:55    211968    ----a-w-    c:\windows\system32\drivers\mrxsmb10.sys
2011-11-11 21:54 . 2011-11-11 21:54    102400    ----a-w-    c:\windows\system32\drivers\mrxsmb.sys
2011-11-11 21:53 . 2011-11-11 21:53    2855424    ----a-w-    c:\windows\system32\mf.dll
2011-11-11 21:53 . 2011-11-11 21:53    98816    ----a-w-    c:\windows\system32\mfps.dll
2011-11-11 21:53 . 2011-11-11 21:53    52736    ----a-w-    c:\windows\system32\rrinstaller.exe
2011-11-11 21:53 . 2011-11-11 21:53    24576    ----a-w-    c:\windows\system32\mfpmp.exe
2011-11-11 21:53 . 2011-11-11 21:53    2048    ----a-w-    c:\windows\system32\mferror.dll
2011-11-11 21:51 . 2011-11-11 21:51    3502480    ----a-w-    c:\windows\system32\ntkrnlpa.exe
2011-11-11 21:51 . 2011-11-11 21:51    3468168    ----a-w-    c:\windows\system32\ntoskrnl.exe
2011-11-11 21:50 . 2011-11-11 21:50    376832    ----a-w-    c:\windows\system32\winhttp.dll
2011-11-11 21:49 . 2011-11-11 21:49    434176    ----a-w-    c:\windows\system32\vbscript.dll
2011-11-11 21:47 . 2011-11-11 21:47    71680    ----a-w-    c:\windows\system32\atl.dll
2011-11-11 21:46 . 2011-11-11 21:46    297472    ----a-w-    c:\windows\system32\gdi32.dll
2011-11-11 21:43 . 2011-11-11 21:43    500736    ----a-w-    c:\windows\system32\msdtcprx.dll
2011-11-11 21:43 . 2011-11-11 21:43    30208    ----a-w-    c:\windows\system32\xolehlp.dll
2011-11-11 21:42 . 2011-11-11 21:42    156160    ----a-w-    c:\windows\system32\wkssvc.dll
2011-11-11 21:40 . 2011-11-11 21:40    36352    ----a-w-    c:\windows\system32\tsgqec.dll
2011-11-11 21:40 . 2011-11-11 21:40    116736    ----a-w-    c:\windows\system32\aaclient.dll
2011-11-11 21:40 . 2011-11-11 21:40    1871872    ----a-w-    c:\windows\system32\mstscax.dll
2011-11-11 21:39 . 2011-11-11 21:39    303616    ----a-w-    c:\windows\system32\wmpeffects.dll
2011-11-11 21:33 . 2011-11-11 21:33    150016    ----a-w-    c:\program files\Movie Maker\MOVIEMK.exe
2011-11-11 21:33 . 2011-11-11 21:33    10922496    ----a-w-    c:\program files\Movie Maker\MOVIEMK.dll
2011-11-11 21:33 . 2011-11-11 21:33    23040    ----a-w-    c:\program files\Movie Maker\WMM2EXT.dll
2011-11-11 21:33 . 2011-11-11 21:33    195072    ----a-w-    c:\program files\Movie Maker\WMM2AE.dll
2011-11-11 21:28 . 2011-11-11 21:28    2048    ----a-w-    c:\windows\system32\tzres.dll
2011-11-11 21:27 . 2011-11-11 21:27    696832    ----a-w-    c:\windows\system32\localspl.dll
2011-11-11 21:25 . 2011-11-11 21:25    2923520    ----a-w-    c:\windows\explorer.exe
2011-11-11 21:22 . 2011-11-11 21:22    171520    ----a-w-    c:\windows\system32\wintrust.dll
2011-11-11 21:21 . 2011-11-11 21:21    494592    ----a-w-    c:\windows\system32\kerberos.dll
2011-11-11 21:21 . 2011-11-11 21:21    175104    ----a-w-    c:\windows\system32\wdigest.dll
2011-11-11 21:21 . 2011-11-11 21:21    7680    ----a-w-    c:\windows\system32\lsass.exe
2011-11-11 21:21 . 2011-11-11 21:21    72704    ----a-w-    c:\windows\system32\secur32.dll
2011-11-11 21:21 . 2011-11-11 21:21    408136    ----a-w-    c:\windows\system32\drivers\ksecdd.sys
2011-11-11 21:21 . 2011-11-11 21:21    1233920    ----a-w-    c:\windows\system32\lsasrv.dll
2011-11-11 21:21 . 2011-11-11 21:21    272384    ----a-w-    c:\windows\system32\schannel.dll
2011-11-11 21:19 . 2011-11-11 21:19    24064    ----a-w-    c:\windows\system32\netcfg.exe
2011-11-11 21:17 . 2011-11-11 21:17    7042560    ----a-w-    c:\windows\system32\NlsLexicons081a.dll
2011-11-11 21:12 . 2011-11-11 21:12    1585664    ----a-w-    c:\windows\system32\setupapi.dll
2011-11-11 21:12 . 2011-11-11 21:12    40960    ----a-w-    c:\windows\system32\srclient.dll
2011-11-11 21:12 . 2011-11-11 21:12    371712    ----a-w-    c:\windows\system32\srcore.dll
2011-11-11 21:12 . 2011-11-11 21:12    313856    ----a-w-    c:\windows\system32\rstrui.exe
2011-11-11 21:12 . 2011-11-11 21:12    16384    ----a-w-    c:\windows\system32\srdelayed.exe
2011-11-11 21:12 . 2011-11-11 21:12    613888    ----a-w-    c:\windows\system32\wpd_ci.dll
2011-11-11 21:08 . 2011-11-11 21:08    549888    ----a-w-    c:\windows\system32\rpcss.dll
2011-11-11 21:08 . 2011-11-11 21:08    654336    ----a-w-    c:\windows\system32\printfilterpipelinesvc.exe
2011-11-11 21:08 . 2011-11-11 21:08    24576    ----a-w-    c:\windows\system32\printfilterpipelineprxy.dll
2011-11-11 21:08 . 2011-11-11 21:08    247296    ----a-w-    c:\windows\system32\wbem\WmiPrvSE.exe
2011-11-11 21:08 . 2011-11-11 21:08    130560    ----a-w-    c:\windows\system32\wbem\WmiDcPrv.dll
2011-11-11 21:08 . 2011-11-11 21:08    614912    ----a-w-    c:\windows\system32\wbem\fastprox.dll
2011-11-11 21:08 . 2011-11-11 21:08    501760    ----a-w-    c:\windows\system32\wbem\WmiPrvSD.dll
2011-11-11 21:08 . 2011-11-11 21:08    53248    ----a-w-    c:\windows\system32\iasads.dll
2011-11-11 21:08 . 2011-11-11 21:08    37888    ----a-w-    c:\windows\system32\iasdatastore.dll
2011-11-11 21:08 . 2011-11-11 21:08    158720    ----a-w-    c:\windows\system32\sdohlp.dll
2011-11-11 21:08 . 2011-11-11 21:08    97280    ----a-w-    c:\windows\system32\iasrecst.dll
2011-11-11 21:06 . 2011-11-11 21:06    62464    ----a-w-    c:\windows\system32\l3codeca.acm
2011-11-11 21:06 . 2011-11-11 21:06    220672    ----a-w-    c:\windows\system32\l3codecp.acm
2011-11-11 21:03 . 2011-11-11 21:03    25088    ----a-w-    c:\windows\system32\drivers\tunnel.sys
2011-11-11 21:03 . 2011-11-11 21:03    179712    ----a-w-    c:\windows\system32\iphlpsvc.dll
2011-11-11 21:03 . 2011-11-11 21:03    15360    ----a-w-    c:\windows\system32\drivers\TUNMP.SYS
2011-11-11 21:03 . 2011-11-11 21:03    22016    ----a-w-    c:\windows\system32\netiougc.exe
2011-11-11 21:03 . 2011-11-11 21:03    213592    ----a-w-    c:\windows\system32\drivers\netio.sys
2011-11-11 21:03 . 2011-11-11 21:03    167424    ----a-w-    c:\windows\system32\tcpipcfg.dll
2011-11-11 21:03 . 2011-11-11 21:03    815104    ----a-w-    c:\windows\system32\drivers\tcpip.sys
2011-11-11 21:02 . 2011-11-11 21:02    454656    ----a-w-    c:\program files\Common Files\System\msadc\msadce.dll
2011-11-11 21:01 . 2011-11-11 21:01    9728    ----a-w-    c:\windows\system32\LAPRXY.DLL
2011-11-11 21:01 . 2011-11-11 21:01    223232    ----a-w-    c:\windows\system32\WMASF.DLL
2011-11-11 21:01 . 2011-11-11 21:01    2048    ----a-w-    c:\windows\system32\asferror.dll
2011-11-11 20:59 . 2011-11-11 20:59    293376    ----a-w-    c:\windows\system32\browserchoice.exe
2011-11-11 20:58 . 2011-11-11 20:58    25600    ----a-w-    c:\windows\system32\amxread.dll
2011-11-11 20:58 . 2011-11-11 20:58    14848    ----a-w-    c:\windows\system32\apilogen.dll
2011-11-11 20:51 . 2011-11-11 20:51    --------    d-----w-    c:\users\Fluppe\AppData\Local\Microsoft Help
2011-11-11 20:45 . 2011-11-11 20:45    97792    ----a-w-    c:\windows\system32\cabview.dll
2011-11-11 20:37 . 2011-11-11 20:37    441856    ----a-w-    c:\windows\system32\win32spl.dll
2011-11-11 20:37 . 2011-11-11 20:37    37376    ----a-w-    c:\windows\system32\printcom.dll
2011-11-11 20:36 . 2011-11-11 20:36    2031104    ----a-w-    c:\windows\system32\win32k.sys
2011-11-11 20:35 . 2011-11-11 20:35    14848    ----a-w-    c:\windows\system32\wshrm.dll
2011-11-11 20:35 . 2011-11-11 20:35    113664    ----a-w-    c:\windows\system32\drivers\rmcast.sys
2011-11-11 20:34 . 2011-11-11 20:34    8147968    ----a-w-    c:\windows\system32\wmploc.DLL
2011-11-11 20:34 . 2011-11-11 20:34    7680    ----a-w-    c:\windows\system32\spwmp.dll
2011-11-11 20:34 . 2011-11-11 20:34    168960    ----a-w-    c:\program files\Windows Media Player\wmplayer.exe
2011-11-11 20:34 . 2011-11-11 20:34    4096    ----a-w-    c:\windows\system32\msdxm.ocx
2011-11-11 20:34 . 2011-11-11 20:34    4096    ----a-w-    c:\windows\system32\dxmasf.dll
2011-11-11 20:34 . 2011-11-11 20:34    107520    ----a-w-    c:\program files\Windows Media Player\wmpshare.exe
2011-11-11 20:34 . 2011-11-11 20:34    107520    ----a-w-    c:\program files\Windows Media Player\wmpconfig.exe
2011-11-11 20:34 . 2011-11-11 20:34    43520    ----a-w-    c:\windows\system32\msdxm.tlb
2011-11-11 20:34 . 2011-11-11 20:34    313344    ----a-w-    c:\windows\system32\wmpdxm.dll
2011-11-11 20:34 . 2011-11-11 20:34    18432    ----a-w-    c:\windows\system32\amcompat.tlb
2011-11-11 20:32 . 2011-11-11 20:32    66048    ----a-w-    c:\program files\Windows Sidebar\sbdrop.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-11 22:10 . 2011-11-11 22:10    52736    ----a-w-    c:\windows\apppatch\iebrshim.dll
2011-11-11 21:12 . 2011-11-11 21:12    5120    ----a-w-    c:\windows\system32\drivers\de-DE\mouclass.sys.mui
2011-11-11 21:12 . 2011-11-11 21:12    3584    ----a-w-    c:\windows\system32\drivers\de-DE\mouhid.sys.mui
2011-11-11 21:12 . 2011-11-11 21:12    6144    ----a-w-    c:\windows\system32\drivers\de-DE\sermouse.sys.mui
2011-11-11 21:12 . 2011-11-11 21:12    5632    ----a-w-    c:\windows\system32\drivers\de-DE\kbdclass.sys.mui
2011-11-11 21:12 . 2011-11-11 21:12    3072    ----a-w-    c:\windows\system32\drivers\de-DE\kbdhid.sys.mui
2011-11-11 21:12 . 2011-11-11 21:12    11264    ----a-w-    c:\windows\system32\drivers\de-DE\i8042prt.sys.mui
2011-11-11 20:58 . 2011-11-11 20:58    40960    ----a-w-    c:\windows\apppatch\apihex86.dll
2011-11-11 17:46 . 2007-07-04 15:58    124464    ----a-w-    c:\windows\system32\drivers\SYMEVENT.SYS
2011-11-05 07:10 . 2011-11-12 13:50    134104    ----a-w-    c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}]
2011-06-24 17:37    86696    ----a-w-    c:\program files\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}"= "c:\program files\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll" [2011-06-24 86696]
.
[HKEY_CLASSES_ROOT\clsid\{b821bf60-5c2d-41eb-92dc-3e4ccd3a22e4}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2011-11-11 1232896]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-11-21 107112]
"osCheck"="c:\program files\Norton Internet Security\osCheck.exe" [2006-11-21 22696]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-24 45056]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-07-12 178712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-03-08 40048]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-06-15 850704]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"PSUNMain"="c:\program files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2011-04-28 439616]
"Panda Security URL Filtering"="c:\programdata\Panda Security URL Filtering\Panda_URL_Filtering.exe" [2011-06-29 217256]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [N/A]
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-7-4 535336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-02-08 179712]
R3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [2006-09-19 80744]
S1 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20080407.003\IDSvix86.sys [2008-04-04 261680]
S1 PSINKNC;PSINKNC;c:\windows\system32\DRIVERS\psinknc.sys [2011-04-28 126024]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-09-26 554352]
S2 NanoServiceMain;Panda Cloud Antivirus Service;c:\program files\Panda Security\Panda Cloud Antivirus\PSANHost.exe [2011-04-28 140608]
S2 PSINAflt;PSINAflt;c:\windows\system32\DRIVERS\PSINAflt.sys [2011-07-05 143624]
S2 PSINFile;PSINFile;c:\windows\system32\DRIVERS\PSINFile.sys [2011-04-28 99400]
S2 PSINProc;PSINProc;c:\windows\system32\DRIVERS\PSINProc.sys [2011-04-28 111176]
S2 PSINProt;PSINProt;c:\windows\system32\DRIVERS\PSINProt.sys [2011-04-28 112712]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-03-18 109616]
S3 SYMNDISV;SYMNDISV;c:\windows\System32\Drivers\SYMNDISV.SYS [2009-08-03 38448]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
.
2011-11-12 c:\windows\Tasks\Norton Internet Security - Vollständige Systemprüfung ausführen - Fluppe.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2006-11-21 20:35]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
uSearchMigratedDefaultURL = 
mStart Page = 
mLocal Page = 
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Fluppe\AppData\Roaming\Mozilla\Firefox\Profiles\qhds8q09.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Acer Tour Reminder - (no file)
HKLM-Run-eRecoveryService - (no file)
.
.
.
**************************************************************************
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(2332)
c:\windows\system32\MsnChatHook.dll
c:\windows\system32\ShowErrMsg.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\BatchCrypto.dll
c:\windows\system32\CryptoAPI.dll
c:\windows\system32\keyManager.dll
c:\programdata\Panda Security URL Filtering\panda_url_filtering.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\Symantec Shared\ccSvcHst.exe
c:\program files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\acer\Empowering Technology\eDataSecurity\eDSService.exe
c:\acer\Empowering Technology\eLock\Service\eLockServ.exe
c:\acer\Empowering Technology\eNet\eNet Service.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\acer\Mobility Center\MobilityService.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe
c:\acer\Empowering Technology\eSettings\Service\capuserv.exe
c:\acer\Empowering Technology\ePower\ePowerSvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\conime.exe
c:\program files\Launch Manager\LManager.exe
c:\acer\Empowering Technology\ENET\ENMTRAY.EXE
c:\acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
c:\acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
c:\acer\Empowering Technology\eRecovery\ERAGENT.EXE
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-11-12  15:25:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-11-12 14:24
.
Vor Suchlauf: 9 Verzeichnis(se), 45.418.827.776 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 45.224.824.832 Bytes frei
.
- - End Of File - - 4C0327BF5CA0D206975724B905DB8F91
--- --- ---

[/QUOTE]

Alt 14.11.2011, 13:22   #17
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________

__________________
Alt 14.11.2011, 21:44   #18
subh
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


und weiter geht's:

Zitat:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-14 20:51:01
-----------------------------
20:51:01.813 OS Version: Windows 6.0.6002 Service Pack 2
20:51:01.813 Number of processors: 2 586 0xF0D
20:51:01.813 ComputerName: FLUPPE-PC UserName: Fluppe
20:51:02.859 Initialize success
20:57:18.683 AVAST engine defs: 11111400
20:58:16.340 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
20:58:16.340 Disk 0 Vendor: Hitachi_ SB4O Size: 152627MB BusType: 3
20:58:16.371 Disk 0 MBR read successfully
20:58:16.371 Disk 0 MBR scan
20:58:16.371 Disk 0 unknown MBR code
20:58:16.387 Disk 0 scanning sectors +312578048
20:58:16.481 Disk 0 scanning C:\Windows\system32\drivers
20:58:33.984 Service scanning
20:58:35.403 Modules scanning
20:58:44.327 Disk 0 trace - called modules:
20:58:44.358 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys
20:58:44.358 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85c8bac8]
20:58:44.358 3 CLASSPNP.SYS[883c38b3] -> nt!IofCallDriver -> [0x84a796c0]
20:58:44.373 5 acpi.sys[87a936bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x84a5e030]
20:58:45.107 AVAST engine scan C:\Windows
20:58:51.175 AVAST engine scan C:\Windows\system32
21:01:42.104 AVAST engine scan C:\Windows\system32\drivers
21:01:59.841 AVAST engine scan C:\Users\Fluppe
21:03:32.973 AVAST engine scan C:\ProgramData
21:04:07.169 Scan finished successfully
21:04:47.838 Disk 0 MBR has been saved successfully to "C:\Users\Fluppe\Desktop\MBR.dat"
21:04:47.853 The log file has been saved successfully to "C:\Users\Fluppe\Desktop\aswMBR.txt"
Die anderen logs sind im Anhang.
__________________
Alt 15.11.2011, 09:00   #19
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


Zitat:
"{Default}" - ? - "%1" %* (Hidden registry entry, rootkit activity | System default value)
"PSUNCPL" - ? - C:\Windows\syst (File not found)
Bitte mit OSAM deaktivieren und löschen

Zitat:
20:58:16.371 Disk 0 unknown MBR code
Müssen wir evtl. fixen - hast du noch andere Betriebssysteme installiert oder zB mit TrueCrpyt die Platte verschlüsselt?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.11.2011, 11:47   #20
subh
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


Hi Arne,

wir deaktivieren und löschen den Eintrag heut Abend.
Da ist nur Vista drauf und keine Verschlüsselung der Platte.

Heißt das, dass wir fast fertig sind mit der Bereinigung?

gruß subh


Alt 15.11.2011, 11:53   #21
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


Ja fast. Mach heute abend dann das mit OSAM und poste das neue Log. Danach fixen wir den MBR.
__________________
--> Bundespolizei Trojaner. Öffnet sich beim Start des Systems.

Alt 15.11.2011, 11:56   #22
subh
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


alles klar, danke!

Alt 15.11.2011, 20:49   #23
subh
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


Hi Arne,

es hat nicht so ganz funktioniert.
Das ist passiert nach der Deaktivierung und Neustart:

1. Beim erneuten Starten (nach Deaktivierung) von OSAM kam kein Report (nur ein Fenster, in dem die beiden Einträge noch einmal standen, aber keine zusätzlichen Informationen)

2. als ich die Einträge dann erneut gesucht habe, um sie zu löschen, war dieser
"{Default}" - ? - "%1" %* (Hidden registry entry, rootkit activity | System default value)
auf einmal zweimal da (einer davon aktiviert).

Was tun?

Alt 16.11.2011, 09:19   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


Poste das neue OSAM-Log.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.11.2011, 20:31   #25
subh
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


neues log file im anhang. der rootkit eintrag taucht immer neu auf nach neustart..

Alt 16.11.2011, 21:12   #26
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


Zitat:
neues log file im anhang. der rootkit eintrag taucht immer neu auf nach neustart..
Wenn du den fixt, taucht der dann auch wieder doppelt auf?
Egal wie oft du den fixt, nach einem Neustart ist der wieder da?


Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.11.2011, 21:16   #27
subh
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


ja genau. wir deaktiveren das ding und löschen, nach neustart ist aber ein neuer aktivierter wieder da, den man halt nicht löschen kann, weil er aktiv ist.

wir machen uns mal an den mbr fix.

cu

Alt 17.11.2011, 14:21   #28
subh
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


mbr fix war erfolgreich. hier das neue log

Zitat:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-17 14:16:47
-----------------------------
14:16:47.699 OS Version: Windows 6.0.6002 Service Pack 2
14:16:47.699 Number of processors: 2 586 0xF0D
14:16:47.715 ComputerName: FLUPPE-PC UserName: Fluppe
14:16:50.850 Initialize success
14:16:58.916 AVAST engine defs: 11111701
14:18:09.069 The log file has been saved successfully to "C:\Users\Fluppe\Desktop\aswMBR.txt"

Alt 17.11.2011, 15:59   #29
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


Beim Erstellen des Log ist dir ein Fehler unterlaufen. Halt dich an die Anleitung zu aswMBR!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.11.2011, 16:14   #30
subh
 
Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - Standard

Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


ach mist...hier das neue log:

Zitat:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-17 16:01:40
-----------------------------
16:01:40.756 OS Version: Windows 6.0.6002 Service Pack 2
16:01:40.756 Number of processors: 2 586 0xF0D
16:01:40.756 ComputerName: FLUPPE-PC UserName: Fluppe
16:01:47.402 Initialize success
16:02:04.421 AVAST engine defs: 11111701
16:03:23.888 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
16:03:23.888 Disk 0 Vendor: Hitachi_ SB4O Size: 152627MB BusType: 3
16:03:23.903 Disk 0 MBR read successfully
16:03:23.919 Disk 0 MBR scan
16:03:23.919 Disk 0 Windows VISTA default MBR code
16:03:23.919 Disk 0 scanning sectors +312578048
16:03:24.012 Disk 0 scanning C:\Windows\system32\drivers
16:03:42.701 Service scanning
16:03:44.152 Modules scanning
16:03:52.638 Disk 0 trace - called modules:
16:03:52.670 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys
16:03:52.670 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85e71a78]
16:03:52.670 3 CLASSPNP.SYS[885be8b3] -> nt!IofCallDriver -> [0x84c63cb8]
16:03:52.685 5 acpi.sys[87c976bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x84c62030]
16:03:53.418 AVAST engine scan C:\Windows
16:03:59.861 AVAST engine scan C:\Windows\system32
16:06:01.042 File: C:\Windows\system32\perfh007.dat **SUSPICIOUS**
16:06:04.302 File: C:\Windows\system32\perfh009.dat **SUSPICIOUS**
16:07:08.684 AVAST engine scan C:\Windows\system32\drivers
16:07:28.558 AVAST engine scan C:\Users\Fluppe
16:08:20.334 File: C:\Users\Fluppe\Desktop\antinimd.exe **INFECTED** Win32:Nimda-O [Drp]
16:08:29.523 AVAST engine scan C:\ProgramData
16:09:05.325 Scan finished successfully
16:11:16.365 Disk 0 MBR has been saved successfully to "C:\Users\Fluppe\Desktop\MBR.dat"
16:11:16.365 The log file has been saved successfully to "C:\Users\Fluppe\Desktop\aswMBR.txt"
16:11:42.252 Disk 0 MBR has been saved successfully to "C:\Users\Fluppe\Desktop\MBR.dat"
16:11:42.267 The log file has been saved successfully to "C:\Users\Fluppe\Desktop\aswMBR.txt"

Antwort
Seite 2 von 3 1 2 3

Themen zu Bundespolizei Trojaner. Öffnet sich beim Start des Systems.
autorun, bho, branding, browser, bundespolizei trojaner, c:\windows\system32\rundll32.exe, computer, error, excel.exe, firefox, format, geld, helper, home, kaspersky, launch, logfile, mozilla, pop-up-blocker, popup, realtek, registry, rundll, scan, server, software, starten, symantec, trojaner, usb, vista


« Verzeichnisse auf SD-Karten werden zu Verknüpfungen | 100 TAN-Trojaner auf meinem PC »


Ähnliche Themen: Bundespolizei Trojaner. Öffnet sich beim Start des Systems.


  1. WIN10: Beim Start öffnet sich Baidu Suchmaschine
    Log-Analyse und Auswertung - 29.09.2015 (4)
  2. farmaster öffnet beim pc start
    Plagegeister aller Art und deren Bekämpfung - 17.09.2014 (4)
  3. SoftwareUpdater.ui.exe öffnet sich beim Start
    Log-Analyse und Auswertung - 27.07.2014 (7)
  4. Windows 7 32-Bit: Virus? CD-Laufwerk öffnet sich sporadisch / Cmd-Fenster beim Start
    Log-Analyse und Auswertung - 09.03.2014 (4)
  5. Beim Start von Firefox öffnet sich Nationzoom mit zusätzlichen Werbefenstern
    Log-Analyse und Auswertung - 27.12.2013 (3)
  6. qv06 öffnet sich beim Start von GoogleChrome!
    Log-Analyse und Auswertung - 12.08.2013 (15)
  7. Task Manager geht nicht mehr, Browser öffnet Internetseite, cmd-Fenster öffnet sich bei Start
    Log-Analyse und Auswertung - 19.06.2013 (8)
  8. Weißer Bildschirm beim Start von Windows 7 mit Bundespolizei Hinweis
    Plagegeister aller Art und deren Bekämpfung - 03.04.2013 (18)
  9. Werbeseite öffnet sich wiederholt beim Start von Firefox automatisch
    Log-Analyse und Auswertung - 03.02.2012 (16)
  10. svchost.exe zwei mal, komischer Ordner öffnet sich beim Start
    Plagegeister aller Art und deren Bekämpfung - 30.01.2012 (1)
  11. Beim Start öffnet sich immer kurz ein scwarzes fenster + Opera öffnet immer eine Seite
    Log-Analyse und Auswertung - 06.06.2011 (10)
  12. Probleme beim Pc-Start, unregelmäßige Abstürze des Systems
    Log-Analyse und Auswertung - 01.08.2010 (8)
  13. cmd.exe öffnet sich beim start
    Plagegeister aller Art und deren Bekämpfung - 23.12.2008 (0)
  14. IE7, beim Start öffnet sich automatisch ein neuer Reiter
    Log-Analyse und Auswertung - 02.03.2007 (2)
  15. Beim Win Start öffnet sich Ordner Eigene Dateien sowie weitere Probleme!
    Plagegeister aller Art und deren Bekämpfung - 13.01.2007 (1)
  16. Beim PC-Start öffnet sich eine webseite
    Log-Analyse und Auswertung - 16.01.2005 (11)
  17. IE 6.0 öffnet selbsttätig beim start?!
    Log-Analyse und Auswertung - 05.12.2004 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bundespolizei Trojaner. Öffnet sich beim Start des Systems. - hi, der besitzer hat wochende updates installiert....ohne mein wissen....ich hoffe es ist nicht jetzt nicht alles umsonst gewesen.. hier das combofix log: Combofix Logfile: Code: Alles auswählen Aufklappen ATTFilter ComboFix - Bundespolizei Trojaner. Öffnet sich beim Start des Systems....
Archiv
Du betrachtest: Bundespolizei Trojaner. Öffnet sich beim Start des Systems. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55