Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "Bundespolizei Trojaner" komplett entfernt?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.11.2011, 12:26   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.11.2011, 15:29   #17
Ben89
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Guten Tag, habe das ComboFix ausgeführt, wie beschrieben. Da ich nicht weiß, ob es von Bedeutung ist, sag ich direkt, dass nach dem Neustart Kaspersky&co automatisch gestartet wurden, da im ComboFix etwas stand wie -Bitte öffnen Sie keine Programme bis ComboFix fertig ist- habe ich diese per Maus direkt beendet. Hier nun das Log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-11-20.01 - xxxx 20.11.2011  14:39:06.1.2 - x64
Microsoft® Windows Vista™ Business   6.0.6002.2.1252.49.1031.18.2047.1040 [GMT 1:00]
ausgeführt von:: c:\users\xxxx\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *Disabled/Updated* {2EAA32A5-1EE1-1B22-95DA-337730C6E984}
SP: Kaspersky Anti-Virus *Disabled/Updated* {95CBD341-38DB-14AC-AF6A-08054B41A339}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\lol
c:\program files (x86)\lol\League of Legends\0x0407.ini
c:\program files (x86)\lol\League of Legends\0x0409.ini
c:\program files (x86)\lol\League of Legends\0x040a.ini
c:\program files (x86)\lol\League of Legends\0x040c.ini
c:\program files (x86)\lol\League of Legends\data1.cab
c:\program files (x86)\lol\League of Legends\data1.hdr
c:\program files (x86)\lol\League of Legends\data2.cab
c:\program files (x86)\lol\League of Legends\ISSetup.dll
c:\program files (x86)\lol\League of Legends\layout.bin
c:\program files (x86)\lol\League of Legends\setup.exe
c:\program files (x86)\lol\League of Legends\setup.ini
c:\program files (x86)\lol\League of Legends\setup.inx
c:\program files (x86)\lol\League of Legends\setup.isn
c:\users\xxxx\~app.tmp
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_COMSysApp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-20 bis 2011-11-20  ))))))))))))))))))))))))))))))
.
.
2011-11-20 13:55 . 2011-11-20 13:55	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-11-20 13:29 . 2011-11-20 13:29	--------	d-----w-	c:\windows\solcache
2011-11-20 13:28 . 2011-11-20 13:28	--------	d-----w-	c:\program files (x86)\Sierra On-Line
2011-11-20 13:28 . 2011-11-20 13:28	--------	d-----w-	C:\SIERRA
2011-11-20 13:27 . 1997-05-12 16:53	314368	----a-w-	c:\windows\IsUninst.exe
2011-11-18 19:27 . 2011-11-18 19:27	66936	--sha-w-	c:\windows\dlinfo_0.drv
2011-11-18 19:25 . 2011-11-18 19:25	86528	----a-w-	c:\windows\bnetunin.exe
2011-11-18 19:25 . 2011-11-18 19:25	61440	----a-w-	c:\windows\diabunin.exe
2011-11-18 18:36 . 2011-11-18 18:36	--------	d-----w-	C:\_OTL
2011-11-18 11:22 . 2011-11-18 11:22	--------	d-----w-	c:\program files (x86)\Common Files\Java
2011-11-17 19:51 . 2011-11-17 19:51	--------	d-----w-	c:\program files (x86)\ESET
2011-11-17 16:08 . 2011-11-17 16:08	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-11-15 12:33 . 2011-11-15 12:33	--------	d-----w-	c:\program files (x86)\7-Zip
2011-11-14 18:10 . 2011-11-20 14:00	--------	d-----w-	c:\programdata\Kaspersky Lab
2011-11-14 18:10 . 2011-11-14 18:10	--------	d-----w-	c:\program files (x86)\Kaspersky Lab
2011-11-13 22:39 . 2011-11-13 22:39	--------	d-----w-	c:\users\xxxx\AppData\Roaming\SUPERAntiSpyware.com
2011-11-13 22:38 . 2011-11-13 22:39	--------	d-----w-	c:\program files\SUPERAntiSpyware
2011-11-13 22:38 . 2011-11-13 22:38	--------	d-----w-	c:\programdata\SUPERAntiSpyware.com
2011-11-13 12:22 . 2011-11-13 12:22	--------	d-----w-	c:\users\xxxx\AppData\Roaming\Malwarebytes
2011-11-13 12:22 . 2011-11-17 16:08	--------	d-----w-	c:\programdata\Malwarebytes
2011-11-13 12:22 . 2011-08-31 16:00	25416	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-11-13 12:17 . 2011-11-13 12:17	--------	d-----w-	c:\program files\CCleaner
2011-11-09 12:50 . 2011-09-20 21:06	1426304	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-11-09 12:50 . 2011-10-17 11:41	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2011-11-09 12:50 . 2011-10-17 11:41	2409784	----a-w-	c:\program files (x86)\Windows Mail\OESpamFilter.dat
2011-11-09 12:50 . 2011-09-30 16:16	893440	----a-w-	c:\program files\Common Files\System\wab32.dll
2011-11-09 12:50 . 2011-09-30 16:16	50688	----a-w-	c:\program files\Windows Mail\wabimp.dll
2011-11-09 12:50 . 2011-09-30 15:57	707584	----a-w-	c:\program files (x86)\Common Files\System\wab32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-03 11:05 . 2011-08-11 18:17	404640	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-10-03 04:06 . 2010-10-22 09:17	472808	----a-w-	c:\windows\SysWow64\deployJava1.dll
2011-09-06 13:56 . 2011-10-12 22:26	2764288	----a-w-	c:\windows\system32\win32k.sys
2011-09-01 05:24 . 2011-10-13 00:37	2309120	----a-w-	c:\windows\system32\jscript9.dll
2011-09-01 05:17 . 2011-10-13 00:37	1389056	----a-w-	c:\windows\system32\wininet.dll
2011-09-01 05:12 . 2011-10-13 00:37	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2011-09-01 02:35 . 2011-10-13 00:37	1798144	----a-w-	c:\windows\SysWow64\jscript9.dll
2011-09-01 02:28 . 2011-10-13 00:37	1126912	----a-w-	c:\windows\SysWow64\wininet.dll
2011-09-01 02:22 . 2011-10-13 00:37	2382848	----a-w-	c:\windows\SysWow64\mshtml.tlb
2011-08-25 16:20 . 2011-10-12 22:26	735744	----a-w-	c:\windows\system32\UIAutomationCore.dll
2011-08-25 16:19 . 2011-10-12 22:26	332288	----a-w-	c:\windows\system32\oleacc.dll
2011-08-25 16:19 . 2011-10-12 22:26	847360	----a-w-	c:\windows\system32\oleaut32.dll
2011-08-25 16:15 . 2011-10-12 22:26	555520	----a-w-	c:\windows\SysWow64\UIAutomationCore.dll
2011-08-25 16:14 . 2011-10-12 22:26	238080	----a-w-	c:\windows\SysWow64\oleacc.dll
2011-08-25 16:14 . 2011-10-12 22:26	563712	----a-w-	c:\windows\SysWow64\oleaut32.dll
2011-08-25 13:54 . 2011-10-12 22:26	4096	----a-w-	c:\windows\system32\oleaccrc.dll
2011-08-25 13:31 . 2011-10-12 22:26	4096	----a-w-	c:\windows\SysWow64\oleaccrc.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1555968]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-11-07 5495680]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"HTC Sync Loader"="c:\program files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2010-10-28 294912]
"AVP"="c:\program files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe" [2011-04-24 202296]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 Asushwio;Asushwio;g:\bin\64bit\Asushwio.sys [x]
R3 HTCAND64;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [x]
R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [x]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot64.sys [x]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV64.SYS [2011-07-22 14928]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL64.SYS [2011-07-12 12368]
S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE64.EXE [2011-08-11 140672]
S2 ICQ Service;ICQ Service;c:\program files (x86)\ICQ6Toolbar\ICQ Service.exe [2010-11-21 247608]
S2 PassThru Service;Internet Pass-Through Service;c:\program files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe [2010-09-16 80896]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 yukonx64;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk60x64.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2726728]
"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]
"CanonSolutionMenu"="c:\program files (x86)\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = 
mLocal Page = 
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files (x86)\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.1.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\13bhh6jg.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Windows Defender - c:\program files (x86)\Windows Defender\MSASCui.exe
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1309527418-831813176-3672789862-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*2*6*ÜuA7\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-1309527418-831813176-3672789862-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*2*6*’åZ\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-1309527418-831813176-3672789862-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*f*l*tN\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SysWOW64\lkcitdl.exe
c:\windows\SysWOW64\lkads.exe
c:\windows\SysWOW64\lktsrv.exe
c:\program files (x86)\National Instruments\MAX\nimxs.exe
c:\program files (x86)\National Instruments\Shared\Security\nidmsrv.exe
c:\windows\SysWOW64\nisvcloc.exe
c:\program files (x86)\National Instruments\Shared\Tagger\tagsrv.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-11-20  15:14:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-11-20 14:14
.
Vor Suchlauf: 4.712.161.280 Bytes frei
Nach Suchlauf: 3.850.792.960 Bytes frei
.
- - End Of File - - 34E1012B76711716986456F76F0AF397
         
--- --- ---
__________________


Alt 20.11.2011, 15:41   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
__________________
__________________

Alt 22.11.2011, 00:32   #19
Ben89
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Hallo, das Programm führt zu einem Blue Screen, wenn ich "scan" mache.
Als Meldung steht da "Driver IRQL Less or Equal", der Blue Screen hält nur kurz, dann startet er neu.

Alt 22.11.2011, 08:54   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Probier es bitte nochmal. Kommt erneut ein Bluescreen versuchst du aswMBR mal im abgesicherten Modus.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.11.2011, 22:51   #21
Ben89
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Hallo Arne, habs auch zweimal im abgesicherten Modus versucht, mit denselben Resultat. -Blue Screen-
Haben die bisherigen Logs denn Anzeichen ergeben, dass mein PC noch infiziert ist?

Alt 22.11.2011, 23:23   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.11.2011, 18:07   #23
Ben89
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Business Edition
Windows Information: Service Pack 2 (build 6002), 64-bit
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 142):
0x01E05000 \SystemRoot\system32\ntoskrnl.exe
0x0231D000 \SystemRoot\system32\hal.dll
0x0060D000 \SystemRoot\system32\kdcom.dll
0x00617000 \SystemRoot\system32\PSHED.dll
0x0062B000 \SystemRoot\system32\CLFS.SYS
0x00688000 \SystemRoot\system32\CI.dll
0x00809000 \SystemRoot\system32\drivers\Wdf01000.sys
0x008E3000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x008F1000 \SystemRoot\system32\drivers\acpi.sys
0x00947000 \SystemRoot\system32\drivers\WMILIB.SYS
0x00950000 \SystemRoot\system32\drivers\msisadrv.sys
0x0095A000 \SystemRoot\system32\drivers\pci.sys
0x0098A000 \SystemRoot\System32\drivers\partmgr.sys
0x0099F000 \SystemRoot\system32\drivers\volmgr.sys
0x0073A000 \SystemRoot\System32\drivers\volmgrx.sys
0x009B3000 \SystemRoot\system32\drivers\pciide.sys
0x009BA000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x009CA000 \SystemRoot\System32\drivers\mountmgr.sys
0x009DD000 \SystemRoot\system32\drivers\pavboot64.sys
0x009E8000 \SystemRoot\system32\drivers\atapi.sys
0x007A0000 \SystemRoot\system32\drivers\ataport.SYS
0x00A01000 \SystemRoot\system32\drivers\fltmgr.sys
0x00A48000 \SystemRoot\system32\drivers\fileinfo.sys
0x00A5C000 \SystemRoot\System32\Drivers\ksecdd.sys
0x00C02000 \SystemRoot\system32\drivers\ndis.sys
0x00AE3000 \SystemRoot\system32\drivers\msrpc.sys
0x00B33000 \SystemRoot\system32\drivers\NETIO.SYS
0x00E03000 \SystemRoot\System32\drivers\tcpip.sys
0x00F78000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x0100C000 \SystemRoot\System32\Drivers\Ntfs.sys
0x0118C000 \SystemRoot\system32\drivers\volsnap.sys
0x011D0000 \SystemRoot\System32\Drivers\spldr.sys
0x011D8000 \SystemRoot\System32\Drivers\mup.sys
0x0120B000 \SystemRoot\system32\DRIVERS\kl1.sys
0x0196A000 \SystemRoot\System32\drivers\ecache.sys
0x01996000 \SystemRoot\system32\drivers\disk.sys
0x019AA000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x019D6000 \SystemRoot\system32\drivers\crcdisk.sys
0x011EA000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x011F7000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x00FA4000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x01000000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x00FB8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x00DC5000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x02C00000 \SystemRoot\system32\drivers\RTKVAC64.SYS
0x02F53000 \SystemRoot\system32\drivers\portcls.sys
0x02F8E000 \SystemRoot\system32\drivers\drmk.sys
0x02FB1000 \SystemRoot\system32\drivers\ks.sys
0x02FE5000 \SystemRoot\system32\drivers\ksthunk.sys
0x00DD6000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x02FEB000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x00B8C000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x02809000 \SystemRoot\system32\DRIVERS\yk60x64.sys
0x0300F000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x03CA1000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x03CA3000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x03D86000 \SystemRoot\System32\drivers\watchdog.sys
0x03D96000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0x03D9E000 \SystemRoot\system32\DRIVERS\serial.sys
0x03DBB000 \SystemRoot\system32\DRIVERS\serenum.sys
0x03DC7000 \SystemRoot\system32\DRIVERS\parport.sys
0x03DE3000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x03000000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x0286E000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x028A7000 \SystemRoot\system32\DRIVERS\storport.sys
0x02904000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x02911000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x02934000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x02940000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x02971000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x02981000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x0299F000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x03E0C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0x03EA6000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03EB9000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x03EC5000 \SystemRoot\system32\DRIVERS\swenum.sys
0x03EC7000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x03ED2000 \SystemRoot\system32\DRIVERS\umbus.sys
0x03EE2000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x03F2A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x03F3E000 \SystemRoot\system32\DRIVERS\klif.sys
0x03FE1000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x03FEB000 \SystemRoot\System32\Drivers\Null.SYS
0x029B7000 \SystemRoot\System32\drivers\vga.sys
0x029C5000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x03FF4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x03E00000 \SystemRoot\system32\drivers\rdpencdd.sys
0x029EA000 \SystemRoot\System32\Drivers\Msfs.SYS
0x00B9C000 \SystemRoot\System32\Drivers\Npfs.SYS
0x029F5000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x00BAD000 \SystemRoot\system32\DRIVERS\tdx.sys
0x03DF9000 \SystemRoot\system32\DRIVERS\kl2.sys
0x00BCA000 \SystemRoot\system32\DRIVERS\smb.sys
0x0400A000 \SystemRoot\system32\drivers\afd.sys
0x04075000 \SystemRoot\System32\DRIVERS\netbt.sys
0x040B9000 \SystemRoot\system32\DRIVERS\pacer.sys
0x040D7000 \SystemRoot\system32\DRIVERS\klim6.sys
0x040E0000 \SystemRoot\system32\DRIVERS\netbios.sys
0x040EF000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x0410A000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS
0x04114000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS
0x0411E000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x0416B000 \SystemRoot\system32\drivers\nsiproxy.sys
0x04177000 \SystemRoot\system32\drivers\csc.sys
0x007C4000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x041ED000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x007E0000 \SystemRoot\System32\Drivers\dfsc.sys
0x00BE5000 \SystemRoot\system32\drivers\usbaudio.sys
0x041EF000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x04209000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x0421B000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x04223000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x0422E000 \SystemRoot\system32\DRIVERS\klmouflt.sys
0x04238000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x04254000 \SystemRoot\System32\Drivers\crashdmp.sys
0x04262000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x0426E000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x00090000 \SystemRoot\System32\win32k.sys
0x04276000 \SystemRoot\System32\drivers\Dxapi.sys
0x04282000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00400000 \SystemRoot\System32\TSDDD.dll
0x006E0000 \SystemRoot\System32\cdd.dll
0x04295000 \SystemRoot\system32\drivers\luafv.sys
0x042C0000 \SystemRoot\system32\drivers\spsys.sys
0x0435A000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x0436E000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x0760F000 \SystemRoot\system32\drivers\HTTP.sys
0x076B2000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x076DB000 \SystemRoot\system32\DRIVERS\bowser.sys
0x076F9000 \SystemRoot\System32\drivers\mpsdrv.sys
0x07713000 \SystemRoot\system32\drivers\mrxdav.sys
0x0773A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x07763000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x077AC000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x077CB000 \SystemRoot\System32\DRIVERS\srv2.sys
0x07A0F000 \SystemRoot\System32\DRIVERS\srv.sys
0x07AA2000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x07AAD000 \SystemRoot\system32\drivers\peauth.sys
0x07B63000 \SystemRoot\System32\Drivers\secdrv.SYS
0x07B6E000 \SystemRoot\System32\drivers\tcpipreg.sys
0x008D0000 \SystemRoot\System32\ATMFD.DLL
0x776F0000 \Windows\System32\ntdll.dll

Processes (total 58):
0 System Idle Process
4 System
476 C:\Windows\System32\smss.exe
544 csrss.exe
588 C:\Windows\System32\wininit.exe
612 csrss.exe
644 C:\Windows\System32\services.exe
656 C:\Windows\System32\lsass.exe
664 C:\Windows\System32\lsm.exe
772 C:\Windows\System32\winlogon.exe
840 C:\Windows\System32\svchost.exe
888 C:\Windows\System32\nvvsvc.exe
916 C:\Windows\System32\svchost.exe
268 C:\Windows\System32\svchost.exe
312 C:\Windows\System32\svchost.exe
488 C:\Windows\System32\svchost.exe
600 C:\Windows\System32\audiodg.exe
988 C:\Windows\System32\svchost.exe
1044 C:\Windows\System32\SLsvc.exe
1088 C:\Windows\System32\svchost.exe
1176 C:\Windows\System32\nvvsvc.exe
1268 C:\Windows\System32\svchost.exe
1460 C:\Windows\System32\spoolsv.exe
1504 C:\Windows\System32\svchost.exe
1876 C:\Program Files\SUPERAntiSpyware\SASCore64.exe
1900 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe
1960 C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe
2012 C:\Windows\SysWOW64\lkcitdl.exe
1564 C:\Windows\SysWOW64\lkads.exe
1216 C:\Windows\SysWOW64\lktsrv.exe
1708 C:\Program Files (x86)\National Instruments\MAX\nimxs.exe
1860 C:\Program Files (x86)\National Instruments\Shared\Security\nidmsrv.exe
908 C:\Windows\SysWOW64\nisvcloc.exe
2024 C:\Program Files (x86)\National Instruments\Shared\Tagger\tagsrv.exe
2280 C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe
2336 C:\Windows\System32\svchost.exe
2388 C:\Windows\System32\svchost.exe
2440 C:\Windows\System32\svchost.exe
2576 C:\Windows\System32\SearchIndexer.exe
4020 C:\Windows\System32\taskeng.exe
3196 C:\Windows\System32\dwm.exe
3320 C:\Windows\explorer.exe
3068 C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
2980 C:\Windows\SOUNDMAN.EXE
3608 C:\Program Files\Windows Sidebar\sidebar.exe
3640 C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
3292 C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe
1232 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe
3464 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
3924 C:\Windows\System32\taskeng.exe
3680 C:\Windows\System32\svchost.exe
4540 C:\Windows\SysWOW64\conime.exe
5856 C:\Program Files (x86)\Mozilla Firefox\firefox.exe
6092 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\x64\klwtblfs.exe
5112 C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
5332 C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
1212 taskeng.exe
5124 C:\Users\XXXX\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD800JB-00JJC0, Rev: 05.01C05
PhysicalDrive1 Model Number: WDCWD1200JB-00EVA0, Rev: 15.05R15

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
111 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Alt 23.11.2011, 19:19   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Zitat:
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
Hm, installiert ist ein Vista64, erkannt wird aber ein XP MBR. War auf diesem Rechner bzw. auf dieser Platte mal ein XP instaliert?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.11.2011, 14:53   #25
Ben89
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Der Rechner ist jetzt schon etwas älter und wurde mehrfach formatiert, musste auch mal eine Platte austauschen, die den Geist aufgegeben hatte. Um die Frage zu beantworten, ja hatte früher auch andere Versionen von Windows drauf, unter anderem XP, direkt davor allerdings Win7, was aber nicht richtig lief.

Falls es hilft, ich hatte auch schonmal beim booten Fehlermeldungen erhalten, dass eben die Masterbootsektoren beschädigt seien, bzw NTLDR missing, habe mir dabei aber nichts weiter gedacht, weil sich das Problem von selbst gelöst hat, beim 2. Versuch den PC hochzufahren.

Alt 24.11.2011, 15:32   #26
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Wir sollten den MBR manuell fixen. Sichere für den Fall der Fälle alle wichtigen Daten.

Hast Du noch andere Betriebssysteme außer Vista installiert?
Wenn nicht: Schau mal hier => Vista Notfall/Recovery-CD 64-Bit - Dr. Windows

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Vista-Installations-DVD hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Führe im normalen Windowsmodus MBRcheck bzw. aswmbr (je nachdem welches Tool ich dir vorhin aufgab) und poste das neue Log.

Hinweis: Zwischen bootrec.exe und /fixmbr bzw. /fixboot ist ein Leerzeichen!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.11.2011, 20:25   #27
Ben89
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Hat problemlos funktioniert, hier das neue Log.


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Business Edition
Windows Information: Service Pack 2 (build 6002), 64-bit
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 141):
0x01E54000 \SystemRoot\system32\ntoskrnl.exe
0x01E0E000 \SystemRoot\system32\hal.dll
0x00608000 \SystemRoot\system32\kdcom.dll
0x00612000 \SystemRoot\system32\PSHED.dll
0x00626000 \SystemRoot\system32\CLFS.SYS
0x00683000 \SystemRoot\system32\CI.dll
0x00809000 \SystemRoot\system32\drivers\Wdf01000.sys
0x008E3000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x008F1000 \SystemRoot\system32\drivers\acpi.sys
0x00947000 \SystemRoot\system32\drivers\WMILIB.SYS
0x00950000 \SystemRoot\system32\drivers\msisadrv.sys
0x0095A000 \SystemRoot\system32\drivers\pci.sys
0x0098A000 \SystemRoot\System32\drivers\partmgr.sys
0x0099F000 \SystemRoot\system32\drivers\volmgr.sys
0x00735000 \SystemRoot\System32\drivers\volmgrx.sys
0x009B3000 \SystemRoot\system32\drivers\pciide.sys
0x009BA000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x009CA000 \SystemRoot\System32\drivers\mountmgr.sys
0x009DD000 \SystemRoot\system32\drivers\pavboot64.sys
0x009E8000 \SystemRoot\system32\drivers\atapi.sys
0x0079B000 \SystemRoot\system32\drivers\ataport.SYS
0x00A0F000 \SystemRoot\system32\drivers\fltmgr.sys
0x00A56000 \SystemRoot\system32\drivers\fileinfo.sys
0x00A6A000 \SystemRoot\System32\Drivers\ksecdd.sys
0x00C00000 \SystemRoot\system32\drivers\ndis.sys
0x00AF1000 \SystemRoot\system32\drivers\msrpc.sys
0x00B41000 \SystemRoot\system32\drivers\NETIO.SYS
0x00E06000 \SystemRoot\System32\drivers\tcpip.sys
0x00F7B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01001000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01181000 \SystemRoot\system32\drivers\volsnap.sys
0x011C5000 \SystemRoot\System32\Drivers\spldr.sys
0x011CD000 \SystemRoot\System32\Drivers\mup.sys
0x01204000 \SystemRoot\system32\DRIVERS\kl1.sys
0x01963000 \SystemRoot\System32\drivers\ecache.sys
0x0198F000 \SystemRoot\system32\drivers\disk.sys
0x019A3000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x019CF000 \SystemRoot\system32\drivers\crcdisk.sys
0x011DF000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x011EC000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x00FA7000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x011F5000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x00B9A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x00FBB000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x0280C000 \SystemRoot\system32\drivers\RTKVAC64.SYS
0x02B5F000 \SystemRoot\system32\drivers\portcls.sys
0x02B9A000 \SystemRoot\system32\drivers\drmk.sys
0x02BBD000 \SystemRoot\system32\drivers\ks.sys
0x02BF1000 \SystemRoot\system32\drivers\ksthunk.sys
0x00FCC000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x00FE8000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x00DC3000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x02C00000 \SystemRoot\system32\DRIVERS\yk60x64.sys
0x02E0E000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x03AA0000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x03AA2000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x03B85000 \SystemRoot\System32\drivers\watchdog.sys
0x03B95000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0x03B9D000 \SystemRoot\system32\DRIVERS\serial.sys
0x03BBA000 \SystemRoot\system32\DRIVERS\serenum.sys
0x03BC6000 \SystemRoot\system32\DRIVERS\parport.sys
0x03BE2000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x02E00000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x02C65000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x02C9E000 \SystemRoot\system32\DRIVERS\storport.sys
0x02CFB000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x02D08000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x02D2B000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x02D37000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x02D68000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x02D78000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x02D96000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x03C07000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0x03CA1000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03CB4000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x03CC0000 \SystemRoot\system32\DRIVERS\swenum.sys
0x03CC2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x03CCD000 \SystemRoot\system32\DRIVERS\umbus.sys
0x03CDD000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x03D25000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x03D39000 \SystemRoot\system32\DRIVERS\klif.sys
0x03DDC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x03DE6000 \SystemRoot\System32\Drivers\Null.SYS
0x03DEF000 \SystemRoot\System32\drivers\vga.sys
0x02DAE000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x02DD3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x02DDC000 \SystemRoot\system32\drivers\rdpencdd.sys
0x02DE5000 \SystemRoot\System32\Drivers\Msfs.SYS
0x00DD3000 \SystemRoot\System32\Drivers\Npfs.SYS
0x02DF0000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x00BE0000 \SystemRoot\system32\DRIVERS\tdx.sys
0x03C00000 \SystemRoot\system32\DRIVERS\kl2.sys
0x00DE4000 \SystemRoot\system32\DRIVERS\smb.sys
0x03E02000 \SystemRoot\system32\drivers\afd.sys
0x03E6D000 \SystemRoot\System32\DRIVERS\netbt.sys
0x03EB1000 \SystemRoot\system32\DRIVERS\pacer.sys
0x03ECF000 \SystemRoot\system32\DRIVERS\klim6.sys
0x03ED8000 \SystemRoot\system32\DRIVERS\netbios.sys
0x03EE7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x03F02000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS
0x03F0C000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS
0x03F16000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x03F63000 \SystemRoot\system32\drivers\nsiproxy.sys
0x03F6F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x03F8B000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x0400D000 \SystemRoot\system32\drivers\csc.sys
0x04083000 \SystemRoot\System32\Drivers\dfsc.sys
0x040A0000 \SystemRoot\system32\drivers\usbaudio.sys
0x040B9000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x040C2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x040D4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x040DC000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x040E7000 \SystemRoot\system32\DRIVERS\klmouflt.sys
0x040F1000 \SystemRoot\System32\Drivers\crashdmp.sys
0x040FF000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x0410B000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x000A0000 \SystemRoot\System32\win32k.sys
0x04113000 \SystemRoot\System32\drivers\Dxapi.sys
0x0411F000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00470000 \SystemRoot\System32\TSDDD.dll
0x00660000 \SystemRoot\System32\cdd.dll
0x04132000 \SystemRoot\system32\drivers\luafv.sys
0x0415D000 \SystemRoot\system32\drivers\spsys.sys
0x03F8D000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x03FA1000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x0780B000 \SystemRoot\system32\drivers\HTTP.sys
0x078AE000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x078D7000 \SystemRoot\system32\DRIVERS\bowser.sys
0x078F5000 \SystemRoot\System32\drivers\mpsdrv.sys
0x0790F000 \SystemRoot\system32\drivers\mrxdav.sys
0x07936000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x0795F000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x079A8000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x079C7000 \SystemRoot\System32\DRIVERS\srv2.sys
0x0820D000 \SystemRoot\System32\DRIVERS\srv.sys
0x082A0000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x082AB000 \SystemRoot\system32\drivers\peauth.sys
0x08361000 \SystemRoot\System32\Drivers\secdrv.SYS
0x0836C000 \SystemRoot\System32\drivers\tcpipreg.sys
0x0837C000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x76DC0000 \Windows\System32\ntdll.dll

Processes (total 57):
0 System Idle Process
4 System
476 C:\Windows\System32\smss.exe
544 csrss.exe
596 C:\Windows\System32\wininit.exe
608 csrss.exe
644 C:\Windows\System32\services.exe
660 C:\Windows\System32\lsass.exe
668 C:\Windows\System32\lsm.exe
784 C:\Windows\System32\winlogon.exe
852 C:\Windows\System32\svchost.exe
900 C:\Windows\System32\nvvsvc.exe
928 C:\Windows\System32\svchost.exe
280 C:\Windows\System32\svchost.exe
272 C:\Windows\System32\svchost.exe
504 C:\Windows\System32\svchost.exe
288 C:\Windows\System32\audiodg.exe
1028 C:\Windows\System32\svchost.exe
1076 C:\Windows\System32\SLsvc.exe
1100 C:\Windows\System32\svchost.exe
1240 C:\Windows\System32\svchost.exe
1316 C:\Windows\System32\nvvsvc.exe
1540 C:\Windows\System32\spoolsv.exe
1568 C:\Windows\System32\svchost.exe
1920 C:\Program Files\SUPERAntiSpyware\SASCore64.exe
1956 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe
1996 C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe
1684 C:\Windows\SysWOW64\lkcitdl.exe
1812 C:\Windows\SysWOW64\lkads.exe
1400 C:\Windows\SysWOW64\lktsrv.exe
1884 C:\Program Files (x86)\National Instruments\MAX\nimxs.exe
716 C:\Program Files (x86)\National Instruments\Shared\Security\nidmsrv.exe
2060 C:\Windows\SysWOW64\nisvcloc.exe
2156 C:\Program Files (x86)\National Instruments\Shared\Tagger\tagsrv.exe
2256 C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe
2320 C:\Windows\System32\svchost.exe
2396 C:\Windows\System32\svchost.exe
2480 C:\Windows\System32\svchost.exe
2524 C:\Windows\System32\SearchIndexer.exe
2948 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\x64\wmi64.exe
3368 C:\Windows\System32\taskeng.exe
3432 C:\Windows\System32\dwm.exe
3504 C:\Windows\explorer.exe
3968 C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
4028 C:\Windows\SOUNDMAN.EXE
3624 C:\Program Files\Windows Sidebar\sidebar.exe
3680 C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
3856 C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe
3992 C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe
3356 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe
3716 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
1456 C:\Windows\System32\taskeng.exe
3288 C:\Windows\System32\SearchProtocolHost.exe
3596 C:\Windows\System32\SearchFilterHost.exe
2476 C:\Windows\System32\SearchProtocolHost.exe
2148 C:\Users\XXXX\Desktop\MBRCheck.exe
3880 C:\Windows\SysWOW64\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD800JB-00JJC0, Rev: 05.01C05
PhysicalDrive1 Model Number: WDCWD1200JB-00EVA0, Rev: 15.05R15

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979
111 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Alt 26.11.2011, 13:40   #28
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Ok, der MBR scheint wieder Vista kompatible zu sein. Porbier nochmal aswMBR aus:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 26.11.2011, 17:23   #29
Ben89
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Habs erneut versucht, einmal auch im abgesicherten Modus, führt nach wie vor zum Blue Screen...

Alt 27.11.2011, 00:56   #30
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"Bundespolizei Trojaner" komplett entfernt? - Standard

"Bundespolizei Trojaner" komplett entfernt?



Dann will es einfach nicht. Kommt mal vor.
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu "Bundespolizei Trojaner" komplett entfernt?
antivir, autorun, bho, entfernt?, error, firefox, helper, kaspersky, kaspersky anti-virus 2012, logfile, mozilla, national, nicht sicher, object, plug-in, problem, prozess, prozesse, realtek, registry, scan, security, senden, software, system, taskmanager, tastatur, trojaner, version=1.0, vista




Ähnliche Themen: "Bundespolizei Trojaner" komplett entfernt?


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Trojaner entfernt: RegSvr32 Fehler beim Laden des Moduls ""
    Plagegeister aller Art und deren Bekämpfung - 25.08.2014 (11)
  3. Bundespolizei Ukash Trojaner ; "Xubuntu 12.04" findet Laufwerk "C" nicht.
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  4. "Data Restore" entfernt - Rechner komplett sauber?
    Log-Analyse und Auswertung - 09.04.2012 (20)
  5. "Windows nicht mehr sicher" Trojaner/Virus entfernt?
    Plagegeister aller Art und deren Bekämpfung - 12.03.2012 (1)
  6. Trojaner "System Repair" in Windows Vista wirklich entfernt?
    Log-Analyse und Auswertung - 18.12.2011 (82)
  7. Überbleibsel des "Bundespolizei"/"Windows System Recovery" -Trojaners
    Log-Analyse und Auswertung - 25.11.2011 (47)
  8. "Malware Protection" entfernt und nun "Windows Vista Restore" und diverse Festplattenwarnungen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2011 (28)
  9. PC clean? "Windows 7 Recovery " entfernt mit Trojaner-Board Anleitung
    Log-Analyse und Auswertung - 01.06.2011 (12)
  10. "BKA/uKash"-Trojaner - Wie komplett beseitigen?
    Log-Analyse und Auswertung - 12.05.2011 (43)
  11. Hatte Trojaner, habe ihn entfernt. AntiVir bringt jetzt Meldung "verstecktes Objekt" = Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.02.2011 (21)
  12. 30tan-Trojaner entfernt und nun Meldung "fehlende hdwwicpl.dll" // Bluescreen bei gmer.exe
    Plagegeister aller Art und deren Bekämpfung - 20.10.2010 (30)
  13. Wurde Trojaner "erweiterung.exe" entfernt? Bitte um Hilfe!
    Log-Analyse und Auswertung - 23.10.2008 (1)
  14. Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?
    Log-Analyse und Auswertung - 25.03.2008 (6)
  15. Woher weiß ich, ob ein "Trojaner Horse" komplett weg ist?
    Plagegeister aller Art und deren Bekämpfung - 30.01.2007 (4)
  16. Trojaner entfernt, nun "Error: loader coudn`t initialize service!"
    Plagegeister aller Art und deren Bekämpfung - 22.10.2005 (1)
  17. Trojaner "Trojan-Downloader.JS.Psyme.ap" kann nicht entfernt werden...
    Mülltonne - 05.06.2005 (0)

Zum Thema "Bundespolizei Trojaner" komplett entfernt? - Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade dir ComboFix hier herunter auf deinen Desktop . Schliesse alle Programme, vor allem dein Antivirenprogramm - "Bundespolizei Trojaner" komplett entfernt?...
Archiv
Du betrachtest: "Bundespolizei Trojaner" komplett entfernt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.