|
Plagegeister aller Art und deren Bekämpfung: POLIZEI / Bundespolizei Trojaner WXPWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.04.2012, 20:37 | #1 |
| POLIZEI / Bundespolizei Trojaner WXP Hallo zusammen, ich habe seit heute einen dieser "BKA Trojaner" auf meinem Windows XP Rechner. Folgende Nachricht erhalte ich sofort nach der Anmeldung: hxxp://imageshack.us/photo/my-images/210/screenqx.jpg/ Der Start im Abgesicherten Modus ist leider nicht möglich (permanenter Neustart). In anderen Beiträgen mit ähnlichen Problemen habe ich gelesen, dass man einen SCAN mit OTL durchführen sollte. Das habe ich vorab schon mal gemacht. Hier das Ergebnis:OTL Logfile: Code:
ATTFilter OTL logfile created on: 4/12/2012 2:11:55 AM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free 2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free Paging file location(s): C:\pagefile.sys 3070 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme Drive C: | 39.06 Gb Total Space | 22.49 Gb Free Space | 57.58% Space Free | Partition Type: NTFS Drive D: | 465.75 Gb Total Space | 244.23 Gb Free Space | 52.44% Space Free | Partition Type: NTFS Drive E: | 97.65 Gb Total Space | 65.00 Gb Free Space | 66.56% Space Free | Partition Type: NTFS Drive F: | 161.37 Gb Total Space | 140.78 Gb Free Space | 87.24% Space Free | Partition Type: NTFS Drive K: | 3.83 Gb Total Space | 3.83 Gb Free Space | 100.00% Space Free | Partition Type: FAT32 Drive X: | 284.12 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet002 ========== Win32 Services (SafeList) ========== SRV - File not found [Auto] -- -- (Spooler) SRV - File not found [On_Demand] -- -- (NBService) SRV - [2012/02/26 19:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2011/06/28 07:52:30 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011/04/27 07:59:45 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011/03/25 15:22:06 | 000,223,088 | ---- | M] () [Auto] -- C:\Programme\Motorola\MotoHelper\MotoHelperService.exe -- (MotoHelper) SRV - [2009/11/02 04:55:37 | 000,009,728 | ---- | M] (Deutsche Telekom AG) [Auto] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service) SRV - [2008/11/11 03:38:06 | 000,620,544 | ---- | M] (Nokia.) [On_Demand] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) SRV - [2004/09/29 06:14:36 | 000,069,632 | ---- | M] (HP) [Auto] -- C:\WINXP\system32\HPZipm12.exe -- (Pml Driver HPZ12) SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - File not found [Kernel | Auto] -- -- ({95808DC4-FA4A-4c74-92FE-5B863F82066B}) DRV - [2011/06/28 07:52:30 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011/06/28 07:52:30 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010/09/29 11:13:46 | 000,024,064 | ---- | M] (Motorola) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\motmodem.sys -- (motmodem) DRV - [2009/05/11 05:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008/09/15 01:56:34 | 000,008,064 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt) DRV - [2008/09/15 01:56:24 | 000,022,016 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - [2008/09/15 01:56:24 | 000,017,664 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\ccdcmb.sys -- (nmwcd) DRV - [2008/09/15 01:56:24 | 000,008,064 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\usbser_lowerflt.sys -- (upperdev) DRV - [2008/08/26 03:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\pccsmcfd.sys -- (pccsmcfd) DRV - [2006/11/02 21:32:30 | 004,394,496 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006/06/17 08:36:32 | 000,083,968 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2005/10/27 10:01:06 | 000,038,468 | ---- | M] (Alcor Micro Corp.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\Sunkfilt.sys -- (SunkFilt) DRV - [2004/08/03 18:08:22 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\gameenum.sys -- (gameenum) DRV - [2004/08/03 15:59:52 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\nmnt.sys -- (nm) DRV - [2004/06/26 07:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto] -- C:\WINXP\system32\drivers\vnccom.SYS -- (vnccom) DRV - [2004/06/26 07:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\vncdrv.sys -- (vncdrv) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;192.168.*.* FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\bkmrksync@nokia.com: C:\Programme\Nokia\Nokia PC Suite 7\bkmrksync\ [2009/04/14 14:49:37 | 000,000,000 | ---D | M] O1 HOSTS File: ([2001/08/23 07:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] File not found O4 - HKLM..\Run: [Alcmtr] C:\WINXP\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [HP Software Update] File not found O4 - HKLM..\Run: [LanguageShortcut] File not found O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [NvCplDaemon] C:\WINXP\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINXP\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINXP\System32\nwiz.exe () O4 - HKLM..\Run: [RemoteControl] File not found O4 - HKLM..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe (Alcor Micro, Corp.) O4 - HKU\Administrator_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKU\Administrator_ON_C..\Run: [PC Suite Tray] C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe (Nokia) O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found O4 - HKU\LocalService_ON_C..\RunOnce: [nltide_2] File not found O4 - HKU\NetworkService_ON_C..\RunOnce: [nltide_2] File not found O4 - HKU\systemprofile_ON_C..\RunOnce: [nltide_2] File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk = File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk = File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = File not found F3 - HKU\Administrator_ON_C WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\6DB71B3BF87EE5C614C0.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6DB71B3BF87EE5C614C0.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - File not found O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1231694941_7910b6a72f76f296f7fc5bd4bfa0c154&GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab&BHost=javadl.sun.com (Java Plug-in 1.6.0_11) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\2BB97415F87EE5C65CAC.exe) - C:\WINXP\system32\2BB97415F87EE5C65CAC.exe () O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008/04/10 18:04:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2009/09/29 16:39:22 | 000,000,000 | RH-D | M] - D:\autorun -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{4ff5a99d-06c1-11dd-a7bf-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{4ff5a99d-06c1-11dd-a7bf-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{4ff5a99d-06c1-11dd-a7bf-806d6172696f}\Shell\AutoRun\command - "" = F:\setup.exe O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2012/04/11 14:47:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\CyberLink PowerDVD [2012/04/11 11:34:42 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\NetworkService\IETldCache [2012/04/11 11:17:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage [2012/04/11 11:17:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IECompatCache [2012/04/11 11:16:48 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\PrivacIE [2012/04/11 11:15:51 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache [2012/04/11 11:11:01 | 000,000,000 | ---D | C] -- C:\WINXP\ie8updates [2012/04/11 11:06:22 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\iedvtool.dll [2012/03/22 11:56:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes [2012/03/22 11:55:49 | 000,000,000 | ---D | C] -- C:\Programme\iPod [2012/03/22 11:55:46 | 000,000,000 | ---D | C] -- C:\Programme\iTunes [2005/05/11 17:36:48 | 000,012,288 | ---- | C] (Hewlett-Packard Co.) -- C:\WINXP\Fonts\RandFont.dll [6 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012/04/11 17:11:48 | 000,000,178 | -HS- | M] () -- C:\boot.ini [2012/04/11 14:47:39 | 000,081,191 | ---- | M] () -- C:\WINXP\System32\nvapps.xml [2012/04/11 14:47:27 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl [2012/04/11 14:47:21 | 000,001,100 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job [2012/04/11 14:46:22 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat [2012/04/11 11:45:00 | 000,001,104 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job [2012/04/11 11:34:32 | 000,056,320 | -H-- | M] () -- C:\WINXP\System32\2BB97415F87EE5C65CAC.exe [2012/04/11 11:27:03 | 000,002,489 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Microsoft Office Outlook 2003.lnk [2012/04/11 11:15:50 | 000,000,795 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk [2012/04/11 11:10:15 | 000,001,374 | ---- | M] () -- C:\WINXP\imsins.BAK [2012/04/09 21:46:52 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk [2012/04/09 15:24:01 | 000,000,276 | ---- | M] () -- C:\WINXP\tasks\AppleSoftwareUpdate.job [2012/04/09 13:09:10 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh324 [2012/04/09 13:08:36 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh323 [2012/04/09 13:08:20 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh322 [2012/04/09 13:08:00 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh321 [2012/04/09 13:07:42 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh320 [2012/04/07 07:48:59 | 000,461,976 | ---- | M] () -- C:\WINXP\System32\perfh007.dat [2012/04/07 07:48:59 | 000,443,588 | ---- | M] () -- C:\WINXP\System32\perfh009.dat [2012/04/07 07:48:59 | 000,085,336 | ---- | M] () -- C:\WINXP\System32\perfc007.dat [2012/04/07 07:48:59 | 000,071,846 | ---- | M] () -- C:\WINXP\System32\perfc009.dat [2012/04/05 11:31:59 | 000,248,832 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012/03/22 11:56:32 | 000,001,518 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2012/03/22 11:56:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes [2012/03/17 07:54:26 | 000,000,221 | ---- | M] () -- C:\WINXP\NCLogConfig.ini [2012/03/17 05:18:34 | 000,002,391 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Word 2003.lnk [2012/03/15 17:02:06 | 000,002,425 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\PowerPoint 2003.lnk [2012/03/13 11:48:44 | 000,002,489 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office Outlook 2003.lnk [6 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ] [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012/04/11 16:04:00 | 000,000,207 | -HS- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Kopie von boot.ini [2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh324 [2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh323 [2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh322 [2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh321 [2012/04/11 11:34:45 | 000,960,056 | ---- | C] () -- C:\WINXP\System32\winsh320 [2012/04/11 11:34:32 | 000,056,320 | -H-- | C] () -- C:\WINXP\System32\2BB97415F87EE5C65CAC.exe [2012/03/22 11:56:32 | 000,001,518 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2012/03/17 07:54:26 | 000,000,221 | ---- | C] () -- C:\WINXP\NCLogConfig.ini [2011/08/11 09:33:45 | 000,000,000 | ---- | C] () -- C:\WINXP\hpqEmlSz.INI [2010/11/03 12:10:13 | 000,000,001 | R--- | C] () -- C:\Dokumente und Einstellungen\Administrator\serverport [2009/05/24 06:04:43 | 001,085,603 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\NMM-MetaData.db [2008/11/08 06:01:02 | 000,000,148 | ---- | C] () -- C:\WINXP\vbg_wel.ini [2008/09/12 10:09:34 | 000,000,138 | ---- | C] () -- C:\WINXP\wincmd.ini [2008/06/28 16:46:54 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2008/06/28 15:51:04 | 000,116,681 | ---- | C] () -- C:\WINXP\hpoins07.dat [2008/06/28 15:51:04 | 000,021,124 | ---- | C] () -- C:\WINXP\hpomdl07.dat [2008/06/28 13:56:43 | 000,248,832 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008/04/18 14:08:08 | 000,000,065 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\default.pls [2008/04/18 14:07:49 | 000,000,116 | ---- | C] () -- C:\WINXP\NeroDigital.ini [2008/04/11 11:20:21 | 000,034,308 | ---- | C] () -- C:\WINXP\System32\BASSMOD.dll [2008/04/11 11:16:37 | 000,000,394 | ---- | C] () -- C:\WINXP\ODBC.INI [2008/04/10 18:30:17 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2008/04/10 18:15:19 | 000,049,152 | R--- | C] () -- C:\WINXP\System32\ChCfg.exe [2008/04/10 18:13:28 | 000,004,875 | ---- | C] () -- C:\WINXP\Ascd_tmp.ini [2008/04/10 18:13:26 | 000,010,288 | ---- | C] () -- C:\WINXP\System32\drivers\ASUSHWIO.SYS [2008/04/10 18:05:30 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat [2008/04/10 18:02:07 | 000,021,740 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat [2008/04/10 00:54:03 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI [2008/04/10 00:51:08 | 000,203,328 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT [2007/03/29 16:00:40 | 000,203,264 | ---- | C] () -- C:\WINXP\System32\CddbCdda.dll [2006/08/11 09:45:20 | 000,581,632 | ---- | C] () -- C:\WINXP\System32\nvhwvid.dll [2006/08/11 09:43:10 | 000,196,608 | ---- | C] () -- C:\WINXP\System32\nvapi.dll [2006/08/11 09:43:00 | 001,662,976 | ---- | C] () -- C:\WINXP\System32\nvwdmcpl.dll [2006/08/11 09:43:00 | 001,519,616 | ---- | C] () -- C:\WINXP\System32\nwiz.exe [2006/08/11 09:43:00 | 001,470,464 | ---- | C] () -- C:\WINXP\System32\nview.dll [2006/08/11 09:43:00 | 001,339,392 | ---- | C] () -- C:\WINXP\System32\nvdspsch.exe [2006/08/11 09:43:00 | 001,019,904 | ---- | C] () -- C:\WINXP\System32\nvwimg.dll [2006/08/11 09:43:00 | 000,466,944 | ---- | C] () -- C:\WINXP\System32\nvshell.dll [2006/08/11 09:43:00 | 000,442,368 | ---- | C] () -- C:\WINXP\System32\nvappbar.exe [2006/08/11 09:43:00 | 000,425,984 | ---- | C] () -- C:\WINXP\System32\keystone.exe [2006/08/11 09:43:00 | 000,286,720 | ---- | C] () -- C:\WINXP\System32\nvnt4cpl.dll [2004/08/03 18:12:38 | 000,001,788 | ---- | C] () -- C:\WINXP\System32\Dcache.bin [2004/08/02 07:20:40 | 000,004,569 | ---- | C] () -- C:\WINXP\System32\secupd.dat [2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINXP\System32\OUTLPERF.INI [2001/08/23 07:00:00 | 013,107,200 | ---- | C] () -- C:\WINXP\System32\oembios.bin [2001/08/23 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINXP\System32\mlang.dat [2001/08/23 07:00:00 | 000,461,976 | ---- | C] () -- C:\WINXP\System32\perfh007.dat [2001/08/23 07:00:00 | 000,443,588 | ---- | C] () -- C:\WINXP\System32\perfh009.dat [2001/08/23 07:00:00 | 000,272,128 | ---- | C] () -- C:\WINXP\System32\perfi009.dat [2001/08/23 07:00:00 | 000,269,480 | ---- | C] () -- C:\WINXP\System32\perfi007.dat [2001/08/23 07:00:00 | 000,218,003 | ---- | C] () -- C:\WINXP\System32\dssec.dat [2001/08/23 07:00:00 | 000,085,336 | ---- | C] () -- C:\WINXP\System32\perfc007.dat [2001/08/23 07:00:00 | 000,071,846 | ---- | C] () -- C:\WINXP\System32\perfc009.dat [2001/08/23 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINXP\System32\mib.bin [2001/08/23 07:00:00 | 000,034,478 | ---- | C] () -- C:\WINXP\System32\perfd007.dat [2001/08/23 07:00:00 | 000,028,626 | ---- | C] () -- C:\WINXP\System32\perfd009.dat [2001/08/23 07:00:00 | 000,004,463 | ---- | C] () -- C:\WINXP\System32\oembios.dat [2001/08/23 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINXP\System32\noise.dat [2001/07/06 09:30:00 | 000,003,254 | ---- | C] () -- C:\WINXP\System32\HPTCPMON.INI [1997/12/14 07:34:38 | 000,180,224 | ---- | C] () -- C:\WINXP\System32\UNLHA32.DLL ========== LOP Check ========== [2010/08/01 04:13:58 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.# [2008/04/11 11:20:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ACD Systems [2009/07/30 11:20:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nokia [2009/05/24 06:08:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Suite [2010/07/12 09:47:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Online [2011/06/15 14:22:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer [2008/04/11 11:18:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems [2009/04/14 14:48:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations [2010/07/12 09:45:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager [2009/05/24 06:07:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite [2008/04/13 14:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2011/11/21 11:22:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp [2011/12/07 10:44:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010/07/12 09:46:03 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{BAAC9F5F-09A6-4530-B65F-7B848F2EC280} ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 129 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1FB1CEE3 < End of report > Ich hoffe, ihr könnt mir weiterhelfen. Vorab schon mal vielen Dank! Geändert von beckejr (11.04.2012 um 20:38 Uhr) Grund: Screenshot hinzugefügt |
12.04.2012, 06:47 | #2 |
| POLIZEI / Bundespolizei Trojaner WXP Hi,
__________________Fix für OTL:
Code:
ATTFilter :OTL 20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\2BB97415F87EE5C65CAC.exe) - C:\WINXP\system32\2BB97415F87EE5C65CAC.exe () O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 [2012/04/09 13:09:10 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh324 [2012/04/09 13:08:36 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh323 [2012/04/09 13:08:20 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh322 [2012/04/09 13:08:00 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh321 [2012/04/09 13:07:42 | 000,960,056 | ---- | M] () -- C:\WINXP\System32\winsh320 [2012/04/11 11:34:32 | 000,056,320 | -H-- | M] () -- C:\WINXP\System32\2BB97415F87EE5C65CAC.exe F3 - HKU\Administrator_ON_C WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\6DB71B3BF87EE5C614C0.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6DB71B3BF87EE5C614C0.exe () :Commands [emptytemp] [Reboot]
Danach: Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. chris
__________________ |
12.04.2012, 13:10 | #3 |
| POLIZEI / Bundespolizei Trojaner WXP Hallo,
__________________vielen Dank für die schnelle Hilfe! Hier der Inhalt der Log-Datei: Malwarebytes Anti-Malware (Test) 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.04.12.02 Windows XP Service Pack 2 x86 FAT32 Internet Explorer 8.0.6001.18702 Administrator :: BECKER-F6DE45E5 [Administrator] Schutz: Deaktiviert 12.04.2012 16:16:50 mbam-log-2012-04-12 (16-16-50).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 300148 Laufzeit: 37 Minute(n), 53 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\_OTL\MovedFiles\04122012_154633\C_Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6DB71B3BF87EE5C614C0.exe (Trojan.Zbot.IPGen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\_OTL\MovedFiles\04122012_154633\C_WINXP\system32\2BB97415F87EE5C65CAC.exe (Trojan.Zbot.IPGen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Administrator\Favoriten\MP3 Download, music mp3 downloads. ALLOFMP3..url (Rogue.Link) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
12.04.2012, 13:17 | #4 |
| POLIZEI / Bundespolizei Trojaner WXP Hi, bitte noch das LOG von OTL (Log was beim fixen erstellt wurde) posten... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu POLIZEI / Bundespolizei Trojaner WXP |
0x00000001, administrator, adobe, alternate, antivir, avira, bho, bonjour, browser, desktop, disabletaskmgr, einstellungen, error, explorer, firefox, format, google earth, homepage, kis, logfile, neustart, nicht möglich, nvidia, plug-in, realtek, registry, scan, software, trojaner, version=1.0, windows, windows xp |