Hi, wie ich hier schon einige male gelesen haben, hatten wohl auch andere User schon mit diesem "Polizei Einheit 5.2" Virus zu tun.

Ich poste hier für meinen Freund der sich diesen auch vor kurzem eingefangen hat. Ich kann nicht genau sagen wie lange er den schon auf dem Computer hat weil er mich erst jetzt darum gebeten hat sich das mal anzusehen.

Wie ich schon ein paar mal gelesen habe, sollte der Virus den PC sperren, laut meinen Erfahrungen mit seinem PC macht er dies anscheinend nur wenn man ihn mit aktiver Internetverbindung startet oder bei laufenden System verbindet.
Man kann daher auf dem System arbeiten solange man nicht eine Internet Verbindung aktiviert.

Zusätzlich sperrt der Virus sowohl Taskmanager als auch Konsole ( beides wird sofort geschlossen bei Öffnungsversuch)

Ich habe bereits einen OTL Scan durchgeführt und poste die Logs hier mit.

Ich hoffe ihr könnt mir bzw. ihm weiterhelfen, das wäre super !

Hier noch der OTL log hab vergessen ihn vorher mit anzuhängen

Da der Taskmanager nicht ging, hab ich mir mal Security Taskmanager runtergelassen um mal alle laufenden Prozesse mal genauer anzusehen und hab eine sehr verdächtige Datei unter Userprofile\Lokale Einstellungen\Temp (Win Xp) gefunden xctngvykqjlrtuv.exe. Gab sich als "Combat Pro" aus Beschreibung : Conteneur Activex

Is auch von Security Task Manager als äußert verdächtig gekennzeichnet worden.

Nach dem verbannen des Prozesses scheint alles wieder zu funktionieren, jedoch befürchte ich das das wohl nicht alles gewesen sein wird.

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - [2012.07.07 11:29:43 | 000,056,320 | ---- | M] (Canon) -- C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\xctngvykqjlrltuv.exe 
PRC - [2012.07.03 13:46:42 | 000,973,488 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe 
PRC - [2012.04.09 17:43:42 | 001,557,160 | ---- | M] (Ask) -- C:\Programme\Ask.com\Updater\Updater.exe 
SRV - [2012.07.06 20:21:43 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) 
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) 
DRV - File not found [Kernel | Disabled | Stop_Pending] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) 
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) 
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) 
DRV - File not found [Kernel | System | Stopped] -- -- (Changer) 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYAT&apn_uid=7B0723AA-A96D-49E7-952E-C2189AFDA185&apn_sauid=30877568-F2B9-4D8E-88AC-FFAE6F5FF2AF 
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\SearchScopes\Bad: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?} 
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\SearchScopes\exe: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?} 
IE - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - prefs.js..browser.search.defaultengine: "Ask.com" 
FF - prefs.js..browser.search.defaultenginename: "Ask.com" 
FF - prefs.js..browser.search.order.1: "Ask.com" 
FF - prefs.js..browser.search.selectedEngine: "Google" 
FF - prefs.js..browser.startup.homepage: "http://www.google.com/" 
FF - prefs.js..extensions.enabledItems: plugin@yontoo.com:1.20.00 
FF - prefs.js..keyword.URL: "http://www.google.com/search?ie=UTF-8&oe=utf-8&q=" 
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. 
O3 - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask) 
O4 - HKU\S-1-5-21-1715567821-1580818891-839522115-1003..\Run: [] C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\xctngvykqjlrltuv.exe (Canon) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-21-1715567821-1580818891-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{1efe8b46-7220-11e1-817b-806d6172696f}\Shell - "" = AutoRun 
O33 - MountPoints2\{1efe8b46-7220-11e1-817b-806d6172696f}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{1efe8b46-7220-11e1-817b-806d6172696f}\Shell\AutoRun\command - "" = G:\autorun.exe -- [2009.09.04 08:10:22 | 000,214,408 | R--- | M] (Konami Digital Entertainment Co., Ltd.) 
O33 - MountPoints2\{6e43bfcb-720a-11e1-830c-1c6f65c54c3e}\Shell - "" = AutoRun 
O33 - MountPoints2\{6e43bfcb-720a-11e1-830c-1c6f65c54c3e}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{6e43bfcb-720a-11e1-830c-1c6f65c54c3e}\Shell\AutoRun\command - "" = D:\LaunchU3.exe -a 

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

[2012.06.25 09:13:30 | 000,251,712 | RHS- | M] () -- C:\ntldr 
[2012.05.03 07:46:21 | 000,002,408 | ---- | M] () -- C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Mozilla\Firefox\Profiles\09hed0vy.default\searchplugins\askcom.xml 

[2012.07.22 20:37:00 | 000,000,224 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job 
[2012.07.22 20:26:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job 
 
:Files

C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\xctngvykqjlrltuv.exe

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.