Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bundespolizei-Trojaner wohl doch noch aktiv....?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.07.2012, 17:18   #1
brough
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



Hallo Forum,
ich hatte ja letztes mal (1-2 Jahre her) schon geschrieben, hoffentlich nicht "Auf Wiedersehen...." ...leider aber wohl jetzt dann doch ...;-(

Erwischt hat meinen Video-Bearbeitungs-PC der Bundespolizei-Trojaner (Win7 Pro, Avira Virenschutz). Durch Netz-Recherche und die Seite bka-trojaner/de habe ich diesen dann mittels einer Start-CD (DE-CLEANER von Avira) angeblich entfernt gehabt.
Da ich auf diesem PC wirklich nichts gravierendes im Netz mache oder öffne, und ich mir nicht erklären kann, wie trotz Firewall (Windows) und Virenscanner hier der Trojaner Einzug erhalten könnte, habe ich mir dann den Virenscanner von Norton geholt - noch war es die 30 Tage Testversion. Dieser hat sich dann aber als nicht sonderlich praktikabel erwiesen und schien für mich einfach zu Ressourcen fressend, was aber im nachhinein wohl nicht das Programm, sonder wohl der PC insgesamt war. Nachdem NORTON einige Funde hatte und diese immer meldete, hat in einem letzten Norton Pop-Up, was ich leider nicht genau gelesen habe, und ich mich dann auch noch verklickt hatte, dieser irgendwas geämdert und dann den PC neu gestartet und seitdem waren meine gesamten Desktop Icons und nicht mehr sortierbar.
Alle Versuche, diese wiederum neu zuordnen, schlugen fehl, da nach jedem Neustart (oder Aktualisieren) diese wieder wie nach "Symbole am Raster ausrichten" sortiert waren. Bis jetzt ging ich noch immer von einem Programmfehler aus, und habe dann auch NORTON komplett deinstalliert, aber alle Versuche schlugen fehl. Ich habe wirklich alle Sachen probiert, mit "NoSave..." usw. und, und, und - alle ohne Ergebnis.

Die Suche nach den nicht mehr sortierbaren Desktopsymbolen brachte mich dann auch hierher, und nach einigem Lesen kam mir dann doch einiges wie bei mir vor....und ich gehe jetzt davon aus, dass der Trojaner immer noch drauf ist:
- System ist sehr langsam und träge
- Desktopsymbole nicht sortierbar
- Internetgeschwindgkeit bei nur noch ca. 10% der Normalgeschwindigkeit
- zuletzt auffällig, dass bei fast jedem Programmstart die Benutzerkontensteierung erscheint und nachfragt, ob ich zulassen möchte, dass das Programm Änderungen an diesen PC vornimmt....? Nach meiner Erinnerung war das früher nur ganz vereinzelt.....??!

Aus der Anleitung und einem vergl. Threat habe ich alle Virenscanner nun deinstalliert und füge hier nun an:

- Vollscan mit Malwarebytes Anti-Malware
- Systemscan mit OTL

Vielen Dank!

PS: Was mich am meisten interessieren würde: wie konnte mein System angegriffen werden???

Alt 31.07.2012, 18:43   #2
t'john
/// Helfer-Team
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?





Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
ATTFilter
:OTL

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 
FF - prefs.js..extensions.enabledItems: inspector@mozilla.org:2.0.4 
FF - prefs.js..extensions.enabledItems: langpack-de@venkman.mozilla.org:0.9.87.4 
FF - prefs.js..extensions.enabledItems: {f13b157f-b174-47e7-a34d-4815ddfdfeb8}:0.9.87.4 
FF - prefs.js..extensions.enabledItems: modern@themes.mozilla.org:1.0 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - No CLSID value found. 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found 
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] 
O34 - HKLM BootExecute: (autocheck autochk *) - File not found 
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found 

[2012.07.28 21:54:53 | 000,002,054 | ---- | M] () -- C:\Users\win7\Desktop\shutdown.exe.lnk 
[2012.07.22 14:14:32 | 000,156,672 | ---- | M] (Radioactive) -- C:\Windows\System32\rmc_fixasf.exe 
[2012.07.26 08:52:18 | 000,000,000 | ---D | C] -- C:\Users\win7\AppData\Roaming\hellomoto 

:Files
C:\Users\win7\temp\*
C:\Users\win7\AppData\Local\temp\*
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________

__________________

Alt 01.08.2012, 21:34   #3
brough
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



gemacht wie angegeben:

Code:
ATTFilter
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C424171E-592A-415A-9EB1-DFD6D95D3530} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C424171E-592A-415A-9EB1-DFD6D95D3530}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\ not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\Windows\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Classes\.exe\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Classes\exefile\ not found.
HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!
C:\Users\win7\Desktop\shutdown.exe.lnk moved successfully.
C:\Windows\System32\rmc_fixasf.exe moved successfully.
C:\Users\win7\AppData\Roaming\hellomoto folder moved successfully.
========== FILES ==========
File\Folder C:\Users\win7\temp\* not found.
C:\Users\win7\AppData\Local\temp\50483281.Uninstall folder moved successfully.
C:\Users\win7\AppData\Local\temp\ASPNETSetup_00000.log moved successfully.
C:\Users\win7\AppData\Local\temp\ASPNETSetup_00001.log moved successfully.
C:\Users\win7\AppData\Local\temp\bch2072.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\bch371B.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\bchC866.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\bchF7F6.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\Cookies folder moved successfully.
C:\Users\win7\AppData\Local\temp\dd_dotNetFx40LP_Full_x86de_decompression_log.txt moved successfully.
C:\Users\win7\AppData\Local\temp\dd_dotNetFx40_Full_setup_decompression_log.txt moved successfully.
C:\Users\win7\AppData\Local\temp\dd_SetupUtility.txt moved successfully.
C:\Users\win7\AppData\Local\temp\dd_TMPF6FA.tmp_decompression_log.txt moved successfully.
C:\Users\win7\AppData\Local\temp\dd_wcf_CA_smci_20120614_073144_738.txt moved successfully.
C:\Users\win7\AppData\Local\temp\div1A80.tmp folder moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_1XGOkfVFxjmBzTw30EUq moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_3UOsYpt1CVz89ZvDmIVR moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_8qH56KUJOaEBVXimLLBh moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_940pWUq5TwQuf3Wedh2V moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_a8hLNgmCsVeaMYYMckFS moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_AgPys3PYbnFwuoOMec2C moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_aU5YYag7LvoBWaeg9vAI moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_ckAJvRWrSRv5jnftPQ9C moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_cQgVMBlNdA8CqxtwByEM moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_epWE9wAobAOQtBpoyqMd moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_gIr7r5UJQa8fH288nhcp moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_HfV4jvT42AMWm1ovuyKs moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_HqJBUNyf9r3j0brUJCg9 moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_JSClHaN923Fywn66dw7E moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_Ki89mU9Osr7IdAnmWZV1 moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_LNmE7KZk4zDuOYFTg83C moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_lyrC4VhJi3TvK4674b1H moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_MbA7a4Qpe5tXZMavONAz moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_MEDlAyfKUejWKuDmVJLq moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_mi9CdHM98FAd4LdQ1ukv moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_MTPQe8sABjvddrLcjlxX moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_mVVcldJQmlrCXshyCC8U moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_nm9Jbu3dJamO32gNCG6l moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_NMtEWU70VdbJxCmcRTkR moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_OeO7rts7yg4s81VpJOjX moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_ogMMF5jkFsaY9kkQrlB7 moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_p2pZJb2pNMNZBzt9lfEp moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_PmJbwaJeL6ffMfuPEbeK moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_prKGvVRfZblUOvCOHc9D moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_ruWpRLRukp7vSOMqt936 moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_siRNS3RpKhcHCDYcCxzT moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_tHX82jF4KesG9OdReHfz moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_UjVBNy5lSlDdwMj3ebMs moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_usxVKYSfSEp2pqickoM8 moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_vP4xCKXWecEe6Ri6N24P moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_wEj5gv21AUFLu7wdwn3l moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_Xadeno4BkDS2pNVRWNXh moved successfully.
C:\Users\win7\AppData\Local\temp\etilqs_xnMVVjgydbX4cjyaXBll moved successfully.
C:\Users\win7\AppData\Local\temp\flaA2D.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\flaD9B8.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\win7\AppData\Local\temp\History\History.IE5 folder moved successfully.
C:\Users\win7\AppData\Local\temp\History folder moved successfully.
C:\Users\win7\AppData\Local\temp\hsperfdata_win7 folder moved successfully.
C:\Users\win7\AppData\Local\temp\intel_media.log moved successfully.
C:\Users\win7\AppData\Local\temp\is1590112554 folder moved successfully.
C:\Users\win7\AppData\Local\temp\jar_cache3203119583184762841.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\Low folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_20120614_093025079-MSI_netfx_Extended_x86.msi.txt moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_20120614_093025079.html moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\Graphics folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\Extended folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\Client folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\3082 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\3076 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\2070 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\2052 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1055 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1053 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1049 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1046 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1045 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1044 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1043 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1042 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1041 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1040 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1038 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1037 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1036 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1035 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1033 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1032 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1031 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1030 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1029 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1028 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1025 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework Language Pack Setup_20120614_093249674-MSI_netfx_ExtendedLP_x86.msi.txt moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework Language Pack Setup_20120614_093249674.html moved successfully.
C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework Language Pack Setup_4.0.30319 folder moved successfully.
C:\Users\win7\AppData\Local\temp\MMBPlayer folder moved successfully.
C:\Users\win7\AppData\Local\temp\msdtadmin folder moved successfully.
C:\Users\win7\AppData\Local\temp\msimg32.dll moved successfully.
C:\Users\win7\AppData\Local\temp\OICE_11FD0D6A-8198-4E55-91AE-CC64F80BF216.0 folder moved successfully.
C:\Users\win7\AppData\Local\temp\perplex.dll moved successfully.
C:\Users\win7\AppData\Local\temp\PSQuar\QBackup folder moved successfully.
C:\Users\win7\AppData\Local\temp\PSQuar folder moved successfully.
C:\Users\win7\AppData\Local\temp\RGIF258.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\RGIF258.tmp-tmp moved successfully.
C:\Users\win7\AppData\Local\temp\RGIFA3D.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\RGIFA3D.tmp-tmp moved successfully.
C:\Users\win7\AppData\Local\temp\sdhttt.exe.vir moved successfully.
C:\Users\win7\AppData\Local\temp\Setup.log moved successfully.
C:\Users\win7\AppData\Local\temp\SYMEVENT.LOG moved successfully.
C:\Users\win7\AppData\Local\temp\TeamViewer\Version7 folder moved successfully.
C:\Users\win7\AppData\Local\temp\TeamViewer folder moved successfully.
C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5\KPIXR9SC folder moved successfully.
C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5\IHCUXX9D folder moved successfully.
C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5\ESHMTX92 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5\3QIRV3AC folder moved successfully.
C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5 folder moved successfully.
C:\Users\win7\AppData\Local\temp\Temporary Internet Files folder moved successfully.
C:\Users\win7\AppData\Local\temp\tmpTujP.dat moved successfully.
C:\Users\win7\AppData\Local\temp\VBE folder moved successfully.
C:\Users\win7\AppData\Local\temp\wmsetup.log moved successfully.
C:\Users\win7\AppData\Local\temp\WPDNSE folder moved successfully.
C:\Users\win7\AppData\Local\temp\xmr folder moved successfully.
C:\Users\win7\AppData\Local\temp\xmr.1172 folder moved successfully.
C:\Users\win7\AppData\Local\temp\xmr.2220 folder moved successfully.
C:\Users\win7\AppData\Local\temp\xmr.5496 folder moved successfully.
C:\Users\win7\AppData\Local\temp\_iu14D2N.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\~!#280B.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\~!#2C32.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\~!#3115.tmp moved successfully.
C:\Users\win7\AppData\Local\temp\~DFB69336BE8ED5D7B1.TMP moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\win7\Desktop\cmd.bat deleted successfully.
C:\Users\win7\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: ANJA
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: master II
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 38443 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: win7
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3101146 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 213108 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2051608 bytes
RecycleBin emptied: 631014857 bytes
 
Total Files Cleaned = 607,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: ANJA
 
User: Default
 
User: Default User
 
User: master II
 
User: Public
 
User: win7
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.20.5 log created on 08012012_221936

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         
__________________

Alt 02.08.2012, 03:45   #4
t'john
/// Helfer-Team
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



Sehr gut!

Wie laeuft der Rechner?

1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
Mfg, t'john
Das TB unterstützen

Alt 02.08.2012, 14:58   #5
brough
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



rechner ist in der tat etwas besser wieder, ich habe aber das gefühl, dass er je länger er an ist, immer langsamer wird. langfristig komme ich wohl um ein Neuaufsetzen nicht herum, bzw. gleich dann ein neues system, ich wollte aber hier evtl. noch win8 abwarten....

kann man das TB eigentlich irgendwie unterstützen? ***EDIT*** -> schon gefunden!

alles gemacht, die funde sollte ich NICHT löschen? habe diese jetzt gelassen, obwohl adwcleaner gemeckert hatte...;-)

Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.31.06

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
win7 :: WIN7-PC [Administrator]

02.08.2012 07:34:11
mbam-log-2012-08-02 (15-55-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 346522
Laufzeit: 56 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Daten: C:\Users\win7\AppData\Local\{3ecfa08a-ba2c-3ada-e99b-c1e2f054475e}\n. -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 9
C:\Users\win7\AppData\Local\Microsoft\Windows\190\sdiagnhost.exe (Trojan.Agent.2D) -> Keine Aktion durchgeführt.
C:\Users\win7\Downloads\FLVConverterSetup.exe (Adware.Agent) -> Keine Aktion durchgeführt.
C:\Users\win7\Downloads\SoftonicDownloader_fuer_microsoft-image-composite-editor.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\msimg32.dll (RootKit.0Access) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\sdhttt.exe.vir (Spyware.Zbot) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\~!#280B.tmp (RootKit.0Access) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\~!#2C32.tmp (Trojan.LameShield) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\~!#3115.tmp (Trojan.Delf) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\is1590112554\IWantThis_IC_V3_ROW.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.

(Ende)
         
Code:
ATTFilter
# AdwCleaner v1.800 - Logfile created 08/02/2012 at 12:23:39
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Ultimate  (32 bits)
# User : win7 - WIN7-PC
# Running from : C:\Users\win7\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****

Key Found : HKCU\Software\Conduit
Key Found : HKLM\SOFTWARE\DT Soft

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [661 octets] - [02/08/2012 12:23:39]

########## EOF - C:\AdwCleaner[R1].txt - [788 octets] ##########
         


Alt 02.08.2012, 15:08   #6
t'john
/// Helfer-Team
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



Schlechte Nachrichten.
Du hast mindestens ein Rootkit an Board!
Alleine wegen dem: Trojan.Zaccess musst du schon neuaufsetzen!

http://www.trojaner-board.de/51262-a...sicherung.html

Melde dich danach wieder, dann sichern wir ab.
__________________
--> Bundespolizei-Trojaner wohl doch noch aktiv....?

Alt 02.08.2012, 19:55   #7
brough
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



oh neeeeiiinnnn.... das hatte ich befürchtet....... ;-(

kann ich ihn wenigstens offline noch etwas beutzen? wie gesagt, es ist eigentlich ein reiner arbeits PC.... oder ich mache eben eine nachtschicht..... ?!

Alt 03.08.2012, 13:20   #8
t'john
/// Helfer-Team
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



Mach lieber ne Nachtschicht, Neuaufsetzen geht schneller als man denkt
__________________
Mfg, t'john
Das TB unterstützen

Alt 06.08.2012, 18:57   #9
brough
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



so, ich denke, ich bin fertig, es fehlt noch der eine oder andere treiber, aber system läuft erstmal so..... habe malewarebyte log erstellt und angehängt.... ich sollte ja jetzt dann sauber sein, vielen dank an t'john .... wieder einmal!
alex

Alt 07.08.2012, 14:15   #10
t'john
/// Helfer-Team
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



Kein Log da ?
__________________
Mfg, t'john
Das TB unterstützen

Alt 07.08.2012, 19:33   #11
brough
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



oh..... mist, wo ist das jetzt? erst vergessen, anzufügen, und jetzt??????? komisch, weg.....? ich mache ein neues.... malewarbyte log, richtig? richtig!

Alt 07.08.2012, 19:39   #12
t'john
/// Helfer-Team
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



Reiter: Scan Berichte
__________________
Mfg, t'john
Das TB unterstützen

Alt 08.08.2012, 16:47   #13
brough
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



Waren weg....? Komisch ist: PC wieder super langsam..... alle Software wieder drauf zum Videobearbeiten, und es laggt ohne Ende... ;-(

Ich teste mal den Arbeitsspeicher....

Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.06.11

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
win7 :: WIN7-PC [Administrator]

07.08.2012 20:36:44
mbam-log-2012-08-07 (20-36-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 49216
Laufzeit: 1 Stunde(n), 11 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Alt 08.08.2012, 16:59   #14
t'john
/// Helfer-Team
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



Zitat:
alle Software wieder drauf zum Videobearbeiten, und es laggt ohne Ende
Was genau hast du installiert?
__________________
Mfg, t'john
Das TB unterstützen

Alt 09.08.2012, 08:17   #15
brough
 
Bundespolizei-Trojaner wohl doch noch aktiv....? - Standard

Bundespolizei-Trojaner wohl doch noch aktiv....?



Meine ganze Video-Converter, -Postprozessing, -Bearbeitungssoftware, dazu einige Standarddinge wie Browser, Word, usw. Alles aber aus entweder CD, DVD, oder sauberer quelle direkt vom Hersteller. Ich denke einfach, das System ist mit über 5 Jahren jetzt einfach zu alt, ich werde das dann im Winter auswechseln. Es ist ja wirklich nur ein 2. System, auf dem ich zeit intensive Arbeiten durchführen lasse.
Ich bedanke mich ganz herzlich, ich habe Euch auch mit einer kleinen Spende bedacht (nunja, so klein auch wiede rnicht) ;-).
Das System ist ja wohl jetzt Virenfrei? Was mich immer noch wundert: wie kamen diese Mengen - und vor allem die Art der Viren - auf das System? Ich habe weder irgendwelche gecrackte Software, noch Spiele, noch andere Daten aus unsicherer Quelle geöffnet. Zumal ich dachte, mit den Standard-Mitteln wie Firewall und Virenscanner ganz gut abgedeckt gewesen zu sein....?? Evtl. sollte ich auch mal mein Laptop durchschauen, mit dem ich wesentlich gefährlichere Sachen mache....???
Danke, t'john und ans Froum!

Antwort

Themen zu Bundespolizei-Trojaner wohl doch noch aktiv....?
anleitung, avira, desktop, firewall, forum, icons, langsam, malwarebytes, neu, neustart, nicht mehr, norton, programm, programmstart, ressourcen, scan, scanner, schutz, sehr langsam, seite, system, version., virenscanner, virenschutz, win, win7, windows




Ähnliche Themen: Bundespolizei-Trojaner wohl doch noch aktiv....?


  1. Mitlesen ist dann doch was anderes als aktiv Hilfe in Anspruch zu nehmen. Danke an Schrauber
    Lob, Kritik und Wünsche - 19.01.2015 (0)
  2. Win 8.1 / System sehr langsam, Trojaner Agent.csji.3 noch aktiv ?, oder andere
    Log-Analyse und Auswertung - 30.09.2014 (20)
  3. Habe wohl ein Trojaner, PC ist nur noch am laden und werde mit werbung bombadiert
    Log-Analyse und Auswertung - 28.04.2014 (13)
  4. GVU Trojaner? - Syptome behoben, aber PC wohl noch nicht sauber
    Plagegeister aller Art und deren Bekämpfung - 05.04.2013 (9)
  5. GVU Trojaner entfernt - doch noch Backdoor?
    Plagegeister aller Art und deren Bekämpfung - 23.03.2013 (3)
  6. GVU-Trojaner nach Systemwiderherstellung noch aktiv ?
    Plagegeister aller Art und deren Bekämpfung - 18.11.2012 (18)
  7. GUV Trojaner noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 29.08.2012 (21)
  8. GVU Trojaner (sperrt Computer) und ist trotz Kaspersky Rescue noch aktiv
    Log-Analyse und Auswertung - 14.08.2012 (9)
  9. GVU-Trojaner nach Kaspersky Rescue noch aktiv?
    Log-Analyse und Auswertung - 07.08.2012 (13)
  10. Trojaner immer noch aktiv?
    Log-Analyse und Auswertung - 26.03.2010 (1)
  11. Trojaner seit 1 Jahr auf Rechner ist der noch aktiv ? (HijackThis LOG)
    Log-Analyse und Auswertung - 28.01.2010 (9)
  12. Hmm scheint wohl doch etwas häftig
    Mülltonne - 11.12.2007 (0)
  13. Trojaner noch aktiv???
    Log-Analyse und Auswertung - 05.05.2007 (28)
  14. Trojaner, Datei gelöscht, scheint aber noch aktiv
    Plagegeister aller Art und deren Bekämpfung - 22.09.2006 (64)
  15. Brauche Hilfe!!! Bin wohl doch nicht sauber!
    Log-Analyse und Auswertung - 30.03.2005 (3)
  16. Hab ich doch noch Trojaner drauf? :S:S:S
    Plagegeister aller Art und deren Bekämpfung - 22.03.2005 (4)
  17. Noch ein Trojaner-Opfer -oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2005 (4)

Zum Thema Bundespolizei-Trojaner wohl doch noch aktiv....? - Hallo Forum, ich hatte ja letztes mal (1-2 Jahre her) schon geschrieben, hoffentlich nicht "Auf Wiedersehen...." ...leider aber wohl jetzt dann doch ...;-( Erwischt hat meinen Video-Bearbeitungs-PC der Bundespolizei-Trojaner (Win7 - Bundespolizei-Trojaner wohl doch noch aktiv....?...
Archiv
Du betrachtest: Bundespolizei-Trojaner wohl doch noch aktiv....? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.