![]() |
|
Log-Analyse und Auswertung: Bundespolizei Trojaner. Öffnet sich beim Start des Systems.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 | |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Hallo zusammen, ich sitze hier grad an einem Notebook von einem Bekannten. Der soll den Bundespolizei Trojaner (Aufforderung Geld zu überweisen, sonst wird der Computer nicht entsperrt; Bundespolizei Schriftzug) drauf haben und immer beim Starten des Systems auftauchen. Wenn ich das Notebook starte passiert aber nichts (habe keine aktive Internetverbindung)... Ich habe jetzt die 3 Logs erstellt, die Ihr für die Analyse braucht (32Bit System). Vielleicht könnt Ihr mir ja helfen. Und wenn nicht, bin ich trotzdem dankbar, dass es euch gibt ![]() Zitat:
Gruß subh |
![]() | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems.Zitat:
![]() S1, SP2, IE9 => alles Fehlanzeige!
__________________ |
![]() | #3 |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Gute Frage.
__________________Updaten und alles noch mal loggen und posten? Oder wie soll ich weiter vorgehen? gruß subh |
![]() | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Nee, ich wollte erstmal wisse ob das einen triftigen Grund hat oder ob das einfach nur Schlamperei ist ![]() Falls wir die Kiste gut bereinigt bekommen und hinterher alls wieder gut läuft geht es an die Updates. Das ist der letzte Schritt. Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #5 |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Danke Arne! Wird so schnell wie möglich erledigt. gruß subh |
![]() | #6 |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. So die log files sind im Anhang. Danke!! |
![]() | #7 |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Übrigens haben die Scanner nichts gefunden....irgendwie merkwürdig... Hab jetzt auch erfahren warum die Updates nicht drauf sind. Der Besitzer hat auf dem Notebook die Systemwiederherstellung laufen lassen und da sind die Updates wohl entfernt worden... gruß subh |
![]() | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #9 |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Nein, hab eben nachgeschaut. Dort ist nur die eine Datei vorhanden. War auch der erste Scan mit Malwarebytes auf dem Ding. |
![]() | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SEARCH PAGE = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://global.acer.com [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O2 - BHO: (Yahoo! Toolbar Helper) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O2 - BHO: (Reg Error: Value error.) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Programme\Common Files\Symantec Shared\coShared\Browser\1.0\NppBHO.dll (Symantec Corporation) O2 - BHO: (ShowBarObj Class) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\System32\ActiveToolBand.dll (HiTRUST) O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\System32\eDStoolbar.dll (HiTRUST) O3 - HKLM\..\Toolbar: (Show Norton Toolbar) - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Programme\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll (Symantec Corporation) O3 - HKLM\..\Toolbar: (Yahoo! Toolbar mit Pop-Up-Blocker) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O3 - HKCU\..\Toolbar\ShellBrowser: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - C:\Windows\System32\eDStoolbar.dll (HiTRUST) O4 - HKLM..\Run: [Acer Tour] File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] :Commands [emptytemp] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #11 |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Juhu! Ich habe den Fix ausgeführt. Log Datei im Anhang! Danke Arne! gruß subh |
![]() | #12 |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. sorry, log noch mal |
![]() | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! ![]() Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) ![]() ![]()
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #14 | |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. Ok. Hier das log file: Zitat:
|
![]() | #15 |
![]() | ![]() Bundespolizei Trojaner. Öffnet sich beim Start des Systems. hi, der besitzer hat wochende updates installiert....ohne mein wissen....ich hoffe es ist nicht jetzt nicht alles umsonst gewesen.. hier das combofix log: Combofix Logfile: Code:
ATTFilter ComboFix 11-11-12.02 - Fluppe 12.11.2011 15:08:19.1.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.49.1031.18.2046.1170 [GMT 1:00] ausgeführt von:: c:\users\Fluppe\Desktop\ComboFix.exe . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert Kopie von - c:\windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6000.16386_none_d9f1f819d4c4e737\userinit.exe wurde wiederhergestellt . . ((((((((((((((((((((((( Dateien erstellt von 2011-10-12 bis 2011-11-12 )))))))))))))))))))))))))))))) . . 2011-11-12 14:14 . 2011-11-12 14:19 -------- d-----w- c:\users\Fluppe\AppData\Local\temp 2011-11-12 14:14 . 2011-11-12 14:14 -------- d-----w- c:\users\Default\AppData\Local\temp 2011-11-11 22:12 . 2011-11-11 22:12 34304 ----a-w- c:\windows\system32\atmlib.dll 2011-11-11 22:12 . 2011-11-11 22:12 289792 ----a-w- c:\windows\system32\atmfd.dll 2011-11-11 22:12 . 2011-11-11 22:12 24064 ----a-w- c:\windows\system32\lpk.dll 2011-11-11 22:12 . 2011-11-11 22:12 156672 ----a-w- c:\windows\system32\t2embed.dll 2011-11-11 22:12 . 2011-11-11 22:12 10240 ----a-w- c:\windows\system32\dciman32.dll 2011-11-11 22:12 . 2011-11-11 22:12 72704 ----a-w- c:\windows\system32\fontsub.dll 2011-11-11 22:06 . 2011-11-11 22:06 61440 ----a-w- c:\windows\system32\winipsec.dll 2011-11-11 22:06 . 2011-11-11 22:06 28672 ----a-w- c:\windows\system32\FwRemoteSvr.dll 2011-11-11 22:06 . 2011-11-11 22:06 361984 ----a-w- c:\windows\system32\IPSECSVC.DLL 2011-11-11 22:06 . 2011-11-11 22:06 272896 ----a-w- c:\windows\system32\polstore.dll 2011-11-11 22:04 . 2011-11-11 22:04 84992 ----a-w- c:\windows\system32\drivers\srvnet.sys 2011-11-11 22:04 . 2011-11-11 22:04 306688 ----a-w- c:\windows\system32\drivers\srv.sys 2011-11-11 22:03 . 2011-11-11 22:03 9728 ----a-w- c:\windows\system32\TCPSVCS.EXE 2011-11-11 22:03 . 2011-11-11 22:03 8704 ----a-w- c:\windows\system32\HOSTNAME.EXE 2011-11-11 22:03 . 2011-11-11 22:03 15360 ----a-w- c:\windows\system32\netevent.dll 2011-11-11 22:03 . 2011-11-11 22:03 11264 ----a-w- c:\windows\system32\MRINFO.EXE 2011-11-11 22:03 . 2011-11-11 22:03 103936 ----a-w- c:\windows\system32\netiohlp.dll 2011-11-11 22:03 . 2011-11-11 22:03 27136 ----a-w- c:\windows\system32\NETSTAT.EXE 2011-11-11 22:03 . 2011-11-11 22:03 19968 ----a-w- c:\windows\system32\ARP.EXE 2011-11-11 22:03 . 2011-11-11 22:03 17920 ----a-w- c:\windows\system32\ROUTE.EXE 2011-11-11 22:03 . 2011-11-11 22:03 10240 ----a-w- c:\windows\system32\finger.exe 2011-11-11 22:01 . 2011-11-11 22:01 194560 ----a-w- c:\windows\system32\WebClnt.dll 2011-11-11 22:01 . 2011-11-11 22:01 110080 ----a-w- c:\windows\system32\drivers\mrxdav.sys 2011-11-11 21:59 . 2011-11-11 21:59 123904 ----a-w- c:\windows\system32\L2SecHC.dll 2011-11-11 21:59 . 2011-11-11 21:59 67584 ----a-w- c:\windows\system32\wlanhlp.dll 2011-11-11 21:59 . 2011-11-11 21:59 47104 ----a-w- c:\windows\system32\wlanapi.dll 2011-11-11 21:59 . 2011-11-11 21:59 502272 ----a-w- c:\windows\system32\wlansvc.dll 2011-11-11 21:59 . 2011-11-11 21:59 297984 ----a-w- c:\windows\system32\wlansec.dll 2011-11-11 21:59 . 2011-11-11 21:59 290816 ----a-w- c:\windows\system32\wlanmsm.dll 2011-11-11 21:58 . 2011-11-11 21:58 2048 ----a-w- c:\windows\system32\msxml3r.dll 2011-11-11 21:58 . 2011-11-11 21:58 1260032 ----a-w- c:\windows\system32\msxml3.dll 2011-11-11 21:58 . 2011-11-11 21:58 1406464 ----a-w- c:\windows\system32\msxml6.dll 2011-11-11 21:58 . 2011-11-11 21:58 2048 ----a-w- c:\windows\system32\msxml6r.dll 2011-11-11 21:56 . 2011-11-11 21:56 216576 ----a-w- c:\windows\system32\msv1_0.dll 2011-11-11 21:55 . 2011-11-11 21:55 58368 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys 2011-11-11 21:55 . 2011-11-11 21:55 211968 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys 2011-11-11 21:54 . 2011-11-11 21:54 102400 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2011-11-11 21:53 . 2011-11-11 21:53 2855424 ----a-w- c:\windows\system32\mf.dll 2011-11-11 21:53 . 2011-11-11 21:53 98816 ----a-w- c:\windows\system32\mfps.dll 2011-11-11 21:53 . 2011-11-11 21:53 52736 ----a-w- c:\windows\system32\rrinstaller.exe 2011-11-11 21:53 . 2011-11-11 21:53 24576 ----a-w- c:\windows\system32\mfpmp.exe 2011-11-11 21:53 . 2011-11-11 21:53 2048 ----a-w- c:\windows\system32\mferror.dll 2011-11-11 21:51 . 2011-11-11 21:51 3502480 ----a-w- c:\windows\system32\ntkrnlpa.exe 2011-11-11 21:51 . 2011-11-11 21:51 3468168 ----a-w- c:\windows\system32\ntoskrnl.exe 2011-11-11 21:50 . 2011-11-11 21:50 376832 ----a-w- c:\windows\system32\winhttp.dll 2011-11-11 21:49 . 2011-11-11 21:49 434176 ----a-w- c:\windows\system32\vbscript.dll 2011-11-11 21:47 . 2011-11-11 21:47 71680 ----a-w- c:\windows\system32\atl.dll 2011-11-11 21:46 . 2011-11-11 21:46 297472 ----a-w- c:\windows\system32\gdi32.dll 2011-11-11 21:43 . 2011-11-11 21:43 500736 ----a-w- c:\windows\system32\msdtcprx.dll 2011-11-11 21:43 . 2011-11-11 21:43 30208 ----a-w- c:\windows\system32\xolehlp.dll 2011-11-11 21:42 . 2011-11-11 21:42 156160 ----a-w- c:\windows\system32\wkssvc.dll 2011-11-11 21:40 . 2011-11-11 21:40 36352 ----a-w- c:\windows\system32\tsgqec.dll 2011-11-11 21:40 . 2011-11-11 21:40 116736 ----a-w- c:\windows\system32\aaclient.dll 2011-11-11 21:40 . 2011-11-11 21:40 1871872 ----a-w- c:\windows\system32\mstscax.dll 2011-11-11 21:39 . 2011-11-11 21:39 303616 ----a-w- c:\windows\system32\wmpeffects.dll 2011-11-11 21:33 . 2011-11-11 21:33 150016 ----a-w- c:\program files\Movie Maker\MOVIEMK.exe 2011-11-11 21:33 . 2011-11-11 21:33 10922496 ----a-w- c:\program files\Movie Maker\MOVIEMK.dll 2011-11-11 21:33 . 2011-11-11 21:33 23040 ----a-w- c:\program files\Movie Maker\WMM2EXT.dll 2011-11-11 21:33 . 2011-11-11 21:33 195072 ----a-w- c:\program files\Movie Maker\WMM2AE.dll 2011-11-11 21:28 . 2011-11-11 21:28 2048 ----a-w- c:\windows\system32\tzres.dll 2011-11-11 21:27 . 2011-11-11 21:27 696832 ----a-w- c:\windows\system32\localspl.dll 2011-11-11 21:25 . 2011-11-11 21:25 2923520 ----a-w- c:\windows\explorer.exe 2011-11-11 21:22 . 2011-11-11 21:22 171520 ----a-w- c:\windows\system32\wintrust.dll 2011-11-11 21:21 . 2011-11-11 21:21 494592 ----a-w- c:\windows\system32\kerberos.dll 2011-11-11 21:21 . 2011-11-11 21:21 175104 ----a-w- c:\windows\system32\wdigest.dll 2011-11-11 21:21 . 2011-11-11 21:21 7680 ----a-w- c:\windows\system32\lsass.exe 2011-11-11 21:21 . 2011-11-11 21:21 72704 ----a-w- c:\windows\system32\secur32.dll 2011-11-11 21:21 . 2011-11-11 21:21 408136 ----a-w- c:\windows\system32\drivers\ksecdd.sys 2011-11-11 21:21 . 2011-11-11 21:21 1233920 ----a-w- c:\windows\system32\lsasrv.dll 2011-11-11 21:21 . 2011-11-11 21:21 272384 ----a-w- c:\windows\system32\schannel.dll 2011-11-11 21:19 . 2011-11-11 21:19 24064 ----a-w- c:\windows\system32\netcfg.exe 2011-11-11 21:17 . 2011-11-11 21:17 7042560 ----a-w- c:\windows\system32\NlsLexicons081a.dll 2011-11-11 21:12 . 2011-11-11 21:12 1585664 ----a-w- c:\windows\system32\setupapi.dll 2011-11-11 21:12 . 2011-11-11 21:12 40960 ----a-w- c:\windows\system32\srclient.dll 2011-11-11 21:12 . 2011-11-11 21:12 371712 ----a-w- c:\windows\system32\srcore.dll 2011-11-11 21:12 . 2011-11-11 21:12 313856 ----a-w- c:\windows\system32\rstrui.exe 2011-11-11 21:12 . 2011-11-11 21:12 16384 ----a-w- c:\windows\system32\srdelayed.exe 2011-11-11 21:12 . 2011-11-11 21:12 613888 ----a-w- c:\windows\system32\wpd_ci.dll 2011-11-11 21:08 . 2011-11-11 21:08 549888 ----a-w- c:\windows\system32\rpcss.dll 2011-11-11 21:08 . 2011-11-11 21:08 654336 ----a-w- c:\windows\system32\printfilterpipelinesvc.exe 2011-11-11 21:08 . 2011-11-11 21:08 24576 ----a-w- c:\windows\system32\printfilterpipelineprxy.dll 2011-11-11 21:08 . 2011-11-11 21:08 247296 ----a-w- c:\windows\system32\wbem\WmiPrvSE.exe 2011-11-11 21:08 . 2011-11-11 21:08 130560 ----a-w- c:\windows\system32\wbem\WmiDcPrv.dll 2011-11-11 21:08 . 2011-11-11 21:08 614912 ----a-w- c:\windows\system32\wbem\fastprox.dll 2011-11-11 21:08 . 2011-11-11 21:08 501760 ----a-w- c:\windows\system32\wbem\WmiPrvSD.dll 2011-11-11 21:08 . 2011-11-11 21:08 53248 ----a-w- c:\windows\system32\iasads.dll 2011-11-11 21:08 . 2011-11-11 21:08 37888 ----a-w- c:\windows\system32\iasdatastore.dll 2011-11-11 21:08 . 2011-11-11 21:08 158720 ----a-w- c:\windows\system32\sdohlp.dll 2011-11-11 21:08 . 2011-11-11 21:08 97280 ----a-w- c:\windows\system32\iasrecst.dll 2011-11-11 21:06 . 2011-11-11 21:06 62464 ----a-w- c:\windows\system32\l3codeca.acm 2011-11-11 21:06 . 2011-11-11 21:06 220672 ----a-w- c:\windows\system32\l3codecp.acm 2011-11-11 21:03 . 2011-11-11 21:03 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys 2011-11-11 21:03 . 2011-11-11 21:03 179712 ----a-w- c:\windows\system32\iphlpsvc.dll 2011-11-11 21:03 . 2011-11-11 21:03 15360 ----a-w- c:\windows\system32\drivers\TUNMP.SYS 2011-11-11 21:03 . 2011-11-11 21:03 22016 ----a-w- c:\windows\system32\netiougc.exe 2011-11-11 21:03 . 2011-11-11 21:03 213592 ----a-w- c:\windows\system32\drivers\netio.sys 2011-11-11 21:03 . 2011-11-11 21:03 167424 ----a-w- c:\windows\system32\tcpipcfg.dll 2011-11-11 21:03 . 2011-11-11 21:03 815104 ----a-w- c:\windows\system32\drivers\tcpip.sys 2011-11-11 21:02 . 2011-11-11 21:02 454656 ----a-w- c:\program files\Common Files\System\msadc\msadce.dll 2011-11-11 21:01 . 2011-11-11 21:01 9728 ----a-w- c:\windows\system32\LAPRXY.DLL 2011-11-11 21:01 . 2011-11-11 21:01 223232 ----a-w- c:\windows\system32\WMASF.DLL 2011-11-11 21:01 . 2011-11-11 21:01 2048 ----a-w- c:\windows\system32\asferror.dll 2011-11-11 20:59 . 2011-11-11 20:59 293376 ----a-w- c:\windows\system32\browserchoice.exe 2011-11-11 20:58 . 2011-11-11 20:58 25600 ----a-w- c:\windows\system32\amxread.dll 2011-11-11 20:58 . 2011-11-11 20:58 14848 ----a-w- c:\windows\system32\apilogen.dll 2011-11-11 20:51 . 2011-11-11 20:51 -------- d-----w- c:\users\Fluppe\AppData\Local\Microsoft Help 2011-11-11 20:45 . 2011-11-11 20:45 97792 ----a-w- c:\windows\system32\cabview.dll 2011-11-11 20:37 . 2011-11-11 20:37 441856 ----a-w- c:\windows\system32\win32spl.dll 2011-11-11 20:37 . 2011-11-11 20:37 37376 ----a-w- c:\windows\system32\printcom.dll 2011-11-11 20:36 . 2011-11-11 20:36 2031104 ----a-w- c:\windows\system32\win32k.sys 2011-11-11 20:35 . 2011-11-11 20:35 14848 ----a-w- c:\windows\system32\wshrm.dll 2011-11-11 20:35 . 2011-11-11 20:35 113664 ----a-w- c:\windows\system32\drivers\rmcast.sys 2011-11-11 20:34 . 2011-11-11 20:34 8147968 ----a-w- c:\windows\system32\wmploc.DLL 2011-11-11 20:34 . 2011-11-11 20:34 7680 ----a-w- c:\windows\system32\spwmp.dll 2011-11-11 20:34 . 2011-11-11 20:34 168960 ----a-w- c:\program files\Windows Media Player\wmplayer.exe 2011-11-11 20:34 . 2011-11-11 20:34 4096 ----a-w- c:\windows\system32\msdxm.ocx 2011-11-11 20:34 . 2011-11-11 20:34 4096 ----a-w- c:\windows\system32\dxmasf.dll 2011-11-11 20:34 . 2011-11-11 20:34 107520 ----a-w- c:\program files\Windows Media Player\wmpshare.exe 2011-11-11 20:34 . 2011-11-11 20:34 107520 ----a-w- c:\program files\Windows Media Player\wmpconfig.exe 2011-11-11 20:34 . 2011-11-11 20:34 43520 ----a-w- c:\windows\system32\msdxm.tlb 2011-11-11 20:34 . 2011-11-11 20:34 313344 ----a-w- c:\windows\system32\wmpdxm.dll 2011-11-11 20:34 . 2011-11-11 20:34 18432 ----a-w- c:\windows\system32\amcompat.tlb 2011-11-11 20:32 . 2011-11-11 20:32 66048 ----a-w- c:\program files\Windows Sidebar\sbdrop.dll . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-11-11 22:10 . 2011-11-11 22:10 52736 ----a-w- c:\windows\apppatch\iebrshim.dll 2011-11-11 21:12 . 2011-11-11 21:12 5120 ----a-w- c:\windows\system32\drivers\de-DE\mouclass.sys.mui 2011-11-11 21:12 . 2011-11-11 21:12 3584 ----a-w- c:\windows\system32\drivers\de-DE\mouhid.sys.mui 2011-11-11 21:12 . 2011-11-11 21:12 6144 ----a-w- c:\windows\system32\drivers\de-DE\sermouse.sys.mui 2011-11-11 21:12 . 2011-11-11 21:12 5632 ----a-w- c:\windows\system32\drivers\de-DE\kbdclass.sys.mui 2011-11-11 21:12 . 2011-11-11 21:12 3072 ----a-w- c:\windows\system32\drivers\de-DE\kbdhid.sys.mui 2011-11-11 21:12 . 2011-11-11 21:12 11264 ----a-w- c:\windows\system32\drivers\de-DE\i8042prt.sys.mui 2011-11-11 20:58 . 2011-11-11 20:58 40960 ----a-w- c:\windows\apppatch\apihex86.dll 2011-11-11 17:46 . 2007-07-04 15:58 124464 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS 2011-11-05 07:10 . 2011-11-12 13:50 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}] 2011-06-24 17:37 86696 ----a-w- c:\program files\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}"= "c:\program files\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll" [2011-06-24 86696] . [HKEY_CLASSES_ROOT\clsid\{b821bf60-5c2d-41eb-92dc-3e4ccd3a22e4}] . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2011-11-11 1232896] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104] "ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-11-21 107112] "osCheck"="c:\program files\Norton Internet Security\osCheck.exe" [2006-11-21 22696] "PLFSet"="c:\windows\PLFSet.dll" [2007-04-24 45056] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-07-12 178712] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-03-08 40048] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832] "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216] "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-06-15 850704] "WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344] "Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048] "PSUNMain"="c:\program files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2011-04-28 439616] "Panda Security URL Filtering"="c:\programdata\Panda Security URL Filtering\Panda_URL_Filtering.exe" [2011-06-29 217256] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [N/A] Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-7-4 535336] . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UacDisableNotify"=dword:00000001 "InternetSettingsDisableNotify"=dword:00000001 "AutoUpdateDisableNotify"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 . R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-02-08 179712] R3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [2006-09-19 80744] S1 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20080407.003\IDSvix86.sys [2008-04-04 261680] S1 PSINKNC;PSINKNC;c:\windows\system32\DRIVERS\psinknc.sys [2011-04-28 126024] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-09-26 554352] S2 NanoServiceMain;Panda Cloud Antivirus Service;c:\program files\Panda Security\Panda Cloud Antivirus\PSANHost.exe [2011-04-28 140608] S2 PSINAflt;PSINAflt;c:\windows\system32\DRIVERS\PSINAflt.sys [2011-07-05 143624] S2 PSINFile;PSINFile;c:\windows\system32\DRIVERS\PSINFile.sys [2011-04-28 99400] S2 PSINProc;PSINProc;c:\windows\system32\DRIVERS\PSINProc.sys [2011-04-28 111176] S2 PSINProt;PSINProt;c:\windows\system32\DRIVERS\PSINProt.sys [2011-04-28 112712] S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-03-18 109616] S3 SYMNDISV;SYMNDISV;c:\windows\System32\Drivers\SYMNDISV.SYS [2009-08-03 38448] . . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - COMHOST . Inhalt des "geplante Tasks" Ordners . 2011-11-12 c:\windows\Tasks\Norton Internet Security - Vollständige Systemprüfung ausführen - Fluppe.job - c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2006-11-21 20:35] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = uSearchMigratedDefaultURL = mStart Page = mLocal Page = uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.178.1 FF - ProfilePath - c:\users\Fluppe\AppData\Roaming\Mozilla\Firefox\Profiles\qhds8q09.default\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKCU-Run-Acer Tour Reminder - (no file) HKLM-Run-eRecoveryService - (no file) . . . ************************************************************************** Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: . ************************************************************************** . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}] "ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl" . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'Explorer.exe'(2332) c:\windows\system32\MsnChatHook.dll c:\windows\system32\ShowErrMsg.dll c:\windows\system32\sysenv.dll c:\windows\system32\BatchCrypto.dll c:\windows\system32\CryptoAPI.dll c:\windows\system32\keyManager.dll c:\programdata\Panda Security URL Filtering\panda_url_filtering.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\program files\Common Files\Symantec Shared\ccSvcHst.exe c:\program files\Common Files\Symantec Shared\AppCore\AppSvc32.exe c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe c:\acer\Empowering Technology\eDataSecurity\eDSService.exe c:\acer\Empowering Technology\eLock\Service\eLockServ.exe c:\acer\Empowering Technology\eNet\eNet Service.exe c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe c:\program files\Common Files\LightScribe\LSSrvc.exe c:\acer\Mobility Center\MobilityService.exe c:\program files\CyberLink\Shared Files\RichVideo.exe c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe c:\windows\system32\DRIVERS\xaudio.exe c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe c:\acer\Empowering Technology\eSettings\Service\capuserv.exe c:\acer\Empowering Technology\ePower\ePowerSvc.exe c:\windows\system32\wbem\unsecapp.exe c:\windows\system32\conime.exe c:\program files\Launch Manager\LManager.exe c:\acer\Empowering Technology\ENET\ENMTRAY.EXE c:\acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE c:\acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE c:\acer\Empowering Technology\eRecovery\ERAGENT.EXE c:\\?\c:\windows\system32\wbem\WMIADAP.EXE c:\windows\servicing\TrustedInstaller.exe . ************************************************************************** . Zeit der Fertigstellung: 2011-11-12 15:25:09 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2011-11-12 14:24 . Vor Suchlauf: 9 Verzeichnis(se), 45.418.827.776 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 45.224.824.832 Bytes frei . - - End Of File - - 4C0327BF5CA0D206975724B905DB8F91 [/QUOTE] |
![]() |
Themen zu Bundespolizei Trojaner. Öffnet sich beim Start des Systems. |
autorun, bho, branding, browser, bundespolizei trojaner, c:\windows\system32\rundll32.exe, computer, error, excel.exe, firefox, format, geld, helper, home, kaspersky, launch, logfile, mozilla, pop-up-blocker, popup, realtek, registry, rundll, scan, server, software, starten, symantec, trojaner, usb, vista |