"Kanadische Version" des BKA-Trojaners

Faviola · 23.06.2012, 05:42

Hallo!

Zuerst einmal bitte ich zu verzeihen, dass ich bereits auf eigene Faust einige Versuche unternommen habe (es hat mich etwas gedautert, dieses Forum zu finden) und hoffe, dass man mir trotzdem noch helfen kann.

Heute nachmittag um ca. 2 Uhr Ortszeit, ich wollte gerade nach Öffnungzeiten des örtlichen Pubs suchen, öffnete sich plötzlich die schockierende Nachricht, natürlich auf Englisch und alles sehr schön, mit kanadischer Flagge, angeblicher Videoaufzeichnung und so weiter...ich denke, ihr kennt das. Im ersten Moment war ich geschockt und habe den Laptop heruntergefahren und als ich beim Neustart kurz nach Eingabe meine Passwortes wieder diesen Bildschirm zusehen bekam, wurde mir klar, dass das nur ein Virus sein könnte.

Ich bemühte mich nun, im abgesicherten Modus einen Virenscan mit Avira (keine Funde, nur Warnungen über unvollständigen Dateien im Tempoären Ordner und Papierkorb) und auf Empfehlungen verschiedener Rechercheergebnisse auch Malwarebytes über das System laufen zu lassen. Dort wurde auch tatsächlich etwas gefunden, habe aber leider alles gleich löschen lassen. Hier der Log dazu.

Zitat:

Datenbank Version: v2012.06.22.11

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Vani :: VANIS-LAPTOP [Administrator]

23.06.2012 00:47:34
mbam-log-2012-06-23 (00-47-34).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 373766
Laufzeit: 34 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4Y3Y0C3AVF7XWI6DNXAYJ (Trojan.Spyeyes) -> Daten: C:\Recycle.Bin\B6232F3A65C.exe /q -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Recycle.Bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 4
C:\$RECYCLE.BIN\S-1-5-21-1006263169-1334866135-308599736-1000\$R1V4KFW.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$RECYCLE.BIN\S-1-5-21-1006263169-1334866135-308599736-1000\$RSJJJ3F.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Recycle.Bin\B6232F3A65C.exe (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Recycle.Bin\5D59B6E04E50F17 (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Und Avira:

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 23. Juni 2012 03:32

Es wird nach 3861884 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Abgesicherter Modus
Benutzername : Vani
Computername : VANIS-LAPTOP

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 09.05.2012 04:54:33
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 04:54:33
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 04:54:37
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 04:54:39
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 04:53:22
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 20:05:12
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 03:32:57
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 02:05:33
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 04:53:05
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 04:53:05
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 04:53:05
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 04:53:05
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 04:53:05
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 04:53:05
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 04:53:05
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 04:53:05
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 04:53:06
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 04:58:26
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 07:01:39
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 02:14:43
VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 03:37:44
VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 17:48:02
VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 18:45:01
VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 18:45:18
VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 03:04:18
VBASE022.VDF : 7.11.32.9 169472 Bytes 05.06.2012 03:04:36
VBASE023.VDF : 7.11.32.85 155648 Bytes 08.06.2012 15:39:17
VBASE024.VDF : 7.11.32.133 127488 Bytes 11.06.2012 17:00:27
VBASE025.VDF : 7.11.32.171 182784 Bytes 12.06.2012 20:44:53
VBASE026.VDF : 7.11.32.251 119296 Bytes 14.06.2012 16:41:04
VBASE027.VDF : 7.11.33.83 159232 Bytes 18.06.2012 17:39:04
VBASE028.VDF : 7.11.33.195 200192 Bytes 22.06.2012 17:39:03
VBASE029.VDF : 7.11.33.196 2048 Bytes 22.06.2012 17:39:03
VBASE030.VDF : 7.11.33.197 2048 Bytes 22.06.2012 17:39:04
VBASE031.VDF : 7.11.33.204 3072 Bytes 22.06.2012 17:39:04
Engineversion : 8.2.10.96
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 18:44:17
AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 17:43:00
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 17:57:20
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 20:46:53
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 17:42:58
AEOFFICE.DLL : 8.1.2.38 201083 Bytes 21.06.2012 17:42:54
AEHEUR.DLL : 8.1.4.52 4923767 Bytes 21.06.2012 17:42:52
AEHELP.DLL : 8.1.21.0 254326 Bytes 11.05.2012 04:53:07
AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 20:44:16
AEEXP.DLL : 8.1.0.54 82293 Bytes 21.06.2012 17:43:00
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 18:45:26
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 04:54:31
AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 04:54:33
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 04:54:39
AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 04:54:32
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 04:54:33
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 04:54:38
AVSMTP.DLL : 12.3.0.15 63440 Bytes 09.05.2012 04:54:33
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 04:54:37
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 09.05.2012 04:54:32
RCTEXT.DLL : 12.3.0.15 98512 Bytes 09.05.2012 04:54:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Samstag, 23. Juni 2012 03:32

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '85' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2688' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\$RECYCLE.BIN\S-1-5-21-1006263169-1334866135-308599736-1000\$R0AQFUE.rar
[WARNUNG] Die Datei ist kennwortgeschützt
C:\$RECYCLE.BIN\S-1-5-21-1006263169-1334866135-308599736-1000\$R242MKU.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\$RECYCLE.BIN\S-1-5-21-1006263169-1334866135-308599736-1000\$R8VPL55.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\$RECYCLE.BIN\S-1-5-21-1006263169-1334866135-308599736-1000\$RA2NWFO.part
[WARNUNG] Unerwartetes Dateiende erreicht
C:\$RECYCLE.BIN\S-1-5-21-1006263169-1334866135-308599736-1000\$RLXAWUF.part
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Program Files (x86)\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0IB229ZX\theme[1].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0IB229ZX\theme[2].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0IB229ZX\theme[3].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0IB229ZX\theme[4].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0IB229ZX\theme[5].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AJOZBJSU\theme[5].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AJOZBJSU\theme[6].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AJOZBJSU\theme[8].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AJOZBJSU\theme[9].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DWN30JNE\theme[1].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DWN30JNE\theme[2].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DWN30JNE\theme[3].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DWN30JNE\theme[5].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DWN30JNE\theme[6].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DWN30JNE\theme[7].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\themeCA0JLN8Y.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\themeCA5LZ8JV.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\themeCAOEC8HO.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\theme[10].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\theme[11].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\theme[6].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\theme[7].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\theme[9].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PCPEJ17X\theme[1].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PCPEJ17X\theme[3].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PCPEJ17X\theme[4].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PCPEJ17X\theme[5].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PCPEJ17X\theme[6].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TG19G3V5\themeCA20HYK6.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TG19G3V5\themeCAQD0BJJ.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TG19G3V5\theme[10].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TG19G3V5\theme[11].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TG19G3V5\theme[4].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TG19G3V5\theme[6].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TG19G3V5\theme[7].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TG19G3V5\theme[9].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TJD9U2M1\themeCAHSRBVK.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TJD9U2M1\theme[10].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TJD9U2M1\theme[11].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TJD9U2M1\theme[3].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TJD9U2M1\theme[5].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TJD9U2M1\theme[7].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TJD9U2M1\theme[8].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TJD9U2M1\theme[9].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\themeCA4HD86R.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\themeCA4UPC1D.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\themeCA846IR0.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\themeCAFPN5H6.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\themeCAIFAEP4.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\themeCAJGF2LO.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\themeCAS0NL7A.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\themeCAYWSLZK.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\theme[10].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\theme[11].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\theme[3].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\theme[4].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\theme[5].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\theme[6].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\theme[7].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\theme[8].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YPRULX1F\theme[9].zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\AppData\LocalLow\Google\GoogleEarth\webdata\f_000005
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\Music\iTunes\iTunes Media\Downloads\Scramble Words Free Puzzle.tmp\download.app
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Vani\Set-Ups\avira_free_antivirus1200872_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt

Ende des Suchlaufs: Samstag, 23. Juni 2012 04:41
Benötigte Zeit: 1:09:31 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

26732 Verzeichnisse wurden überprüft
486124 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
486124 Dateien ohne Befall
4850 Archive wurden durchsucht
70 Warnungen
0 Hinweise

Nach Neustart des Laptops habe ich feststellen müssen, dass dies nichts gebracht hatte.
Als nächstes habe ich den abgesicherten Modus ohne Netzwerkverbindungen gestartet, gleiche Prozedur noch mal, außer erneut Warnungen bei Avira nichts mehr gefunden.
Habe dann wieder neugestartet, wieder der nette Bildschirm..habe dann erneut runtergefahren, jedoch kurz nach Verschwinden des "Problems" den Taskmanager aufgerufen und dank Skype, dass man ab und an mal zum Herunterfahren zwingen muss, den Shutdown kurzfristig verhindert.
Somit verschwand das einzige Symptom meines Trojaners.

Als nächstes habe ich dann die Gunst der Stunde genutzt und weitere Programme gedownloadet. Trojaner Remover von Chip.de sowie SpyBot Search & Destroy.
Bevor ich allerdings beide Programme durchlaufen ließ, hatte ich schon eine Systemwiederherstellung gestartet, die den Rechner neustarten musste.
Hatte mich schon auf meinen Trojanerbildschirm gefreut, aber er kam nicht!! Habe jetzt eben den Trojaner Remover und SpyBot durchlaufen lassen. Ersterer hat nix gefunden, zweiterer fand heraus, dass Babylon.Toolbar (ja, das hat sich wohl irgendwie mal mitinstalliert, fiel mir aber nicht auf, da ich Firefox-User bin und babylon nur mit dem I-Explorer verknüpft ist) die einzige Bedrohung sei.Das stellt mich ehrlich gesagt nicht sehr zufrieden. Ich habe das Gefühl, ich bin nur zeitweilig dem Bösen entkommen und beim nächsten Boot erwartet mich mein Gesicht durch die Webcam neben einer Bezahlforderung wegen was-weiß-ich.

Deshalb bin ich jetzt auch hier. Ich habe die Logdateien von OTL angehängt, der defogger hat keine Fehlermeldung ausgeworfen.

Vielen Dank an diejenigen, die sich die Mühe machen und mir versuchen zu helfen! Ich hoffe, ich habe nichts kaputt gemacht! Dropbox, Facebookmessenger und SpyBot scheinen aufgeführt zu sein, ist mir beim Überfliegen aufgefallen, ich bitte dies zu entschuldigen und hoffe, dass es eure Arbeit nicht beeinträchtigt!

"Kanadische Version" des BKA-Trojaners

Log-Analyse und Auswertung: "Kanadische Version" des BKA-Trojaners

"Kanadische Version" des BKA-Trojaners

Ähnliche Themen: "Kanadische Version" des BKA-Trojaners