Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Log-Analyse und Auswertung: Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 11.08.2012, 12:17   #1
Bunk
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Hallo zusammen,

Ich versuche mich möglichst an die Forenrichtlinien zu halten, falls ich gegen irgendwas verstoße, sagt es mir einfach. Falls der Thread in ein anderes Forum gehört, könnt ihr den gerne verschieben. Nun zum Thema:

Auch meinen Laptop hat der Trojaner mit der "Bundesschutzpolizei" erwischt. Habe die meisten der hier eingetragenen Threads schon gelesen, aber bei mir scheinen diese nicht zu greifen.
Informationen zum System:
- Laptop mit Windows 7 64-Bit

Zusammenfassung was bisher versucht wurde:
1. Mailwarebytes Anti-Malware:
a) Im abgesicherten Modus ausgeführt --> Quick und Fullscan zeigen nicht an.
b) Unter anderem Benutzerkonto ausgeführt. Quick und FullScan zeigen nichts an.

2. AV-Guard Boot CD benutzt und Fullscan --> keine Funde

3. Kaspersky 10 Boot CD (die neuere Version mit Windowsunlocker). --> Gebootet, Windowsunlocker benutzt, gescant --> leider auch keine Besserung

4. OTL ausgeführt

Weiteres Vorgehen:
1. HDD-Backup läuft gerade, danach gibt es die Logfiles.
2. Ausführung OTL: Gibt es vorab Empfehlungen mit welchen "Benutzerdefinierten Scans/Fixes" ich OTL laufen lassen soll? (Darum mache ich den Post auch schon auf bevor die Logfiles da sind)
3. Malwarebytes Full-Scan, da der Quick Scan nichts gefunden hat.

Für jegliche Hilfe bin ich dankbar.

Lieben Gruß
Geändert von Bunk (11.08.2012 um 13:05 Uhr)

Alt 11.08.2012, 16:01   #2
t'john
/// Helfer-Team
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"




Wo sind die Logs?
__________________

__________________
Alt 11.08.2012, 17:40   #3
Bunk
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Hier ist schon mal das Malwarebytes Log. OTL stürtz mit nem Win32 Error ab, muss noch mal gucken woran das liegt. Log folgt aber sobald fertig

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Trial) 1.61.0.1400
www.malwarebytes.org

Database version: v2012.08.06.09

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
sebastian :: KATHRIN-PC [administrator]

Protection: Enabled

11.08.2012 12:45:25
mbam-log-2012-08-11 (12-45-25).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 417600
Time elapsed: 1 hour(s), 44 minute(s), 27 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
C:\System Volume Information\SystemRestore\FRStaging\$Recycle.Bin\S-1-5-21-1939773783-1917109171-3732851118-1000\$R7KEGUF.8\Cryptload1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Quarantined and deleted successfully.
C:\System Volume Information\SystemRestore\FRStaging\Desktopordner\ISOS\Lightroom\Adobe.Photoshop.Lightroom.v4.0.Multilingual.Incl.Keymaker-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully.

(end)
__________________
Alt 11.08.2012, 17:53   #4
t'john
/// Helfer-Team
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Zitat:
OTL ausgeführt
Ist das alles?
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.08.2012, 18:11   #5
Bunk
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Zitat:
Zitat von t'john Beitrag anzeigen
Ist das alles?
Nein, wie ich oben schon geschrieben habe, stürzt OTL mittlerweile immer ab. Sobald es wieder läuft kommt noch ein Log.

Ok, habe noch nen Log von gestern Abend gefunden:
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 11.08.2012 20:54:20 - Run 1
OTL by OldTimer - Version 3.2.56.0     Folder = C:\Users\Kathrin\Desktop
64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,36 Gb Available Physical Memory | 84,02% Memory free
7,99 Gb Paging File | 7,42 Gb Available in Paging File | 92,85% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 453,94 Gb Total Space | 151,03 Gb Free Space | 33,27% Space Free | Partition Type: NTFS
Drive E: | 30,22 Gb Total Space | 28,60 Gb Free Space | 94,62% Space Free | Partition Type: FAT32
Drive H: | 7,71 Gb Total Space | 7,51 Gb Free Space | 97,38% Space Free | Partition Type: FAT32
 
Computer Name: KATHRIN-PC | User Name: Kathrin | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Kathrin\Desktop\OTL.exe (OldTimer Tools)
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (MozillaMaintenance) -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (FLEXnet Licensing Service) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (ProtexisLicensing) -- C:\Windows\SysWOW64\PSIService.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avkmgr) -- C:\Windows\SysNative\drivers\avkmgr.sys (Avira GmbH)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (athr) -- C:\Windows\SysNative\drivers\athrx.sys (Qualcomm Atheros Communications, Inc.)
DRV:64bit: - (Uim_IM) -- C:\Windows\SysNative\drivers\Uim_IMx64.sys (Paragon)
DRV:64bit: - (UimBus) -- C:\Windows\SysNative\drivers\uimx64.sys (Windows (R) 2000 DDK provider)
DRV:64bit: - (Uim_VIM) -- C:\Windows\SysNative\drivers\uim_vimx64.sys (Paragon)
DRV:64bit: - (dtsoftbus01) -- C:\Windows\SysNative\drivers\dtsoftbus01.sys (DT Soft Ltd)
DRV:64bit: - (atksgt) -- C:\Windows\SysNative\drivers\atksgt.sys ()
DRV:64bit: - (lirsgt) -- C:\Windows\SysNative\drivers\lirsgt.sys ()
DRV:64bit: - (sptd) -- C:\Windows\SysNative\drivers\sptd.sys (Duplex Secure Ltd.)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (atikmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV:64bit: - (SynTP) -- C:\Windows\SysNative\drivers\SynTP.sys (Synaptics Incorporated)
DRV:64bit: - (AgereSoftModem) -- C:\Windows\SysNative\drivers\agrsm64.sys (LSI Corp)
DRV:64bit: - (netr28ux) -- C:\Windows\SysNative\drivers\netr28ux.sys (Ralink Technology Corp.)
DRV:64bit: - (k57nd60a) -- C:\Windows\SysNative\drivers\k57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 18 6A C8 35 AF 37 CB 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..network.proxy.http: "69.163.96.22"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.0.50826.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.07.20 17:53:24 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.03.17 10:03:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.06.22 19:40:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.07.20 17:53:24 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.03.17 10:03:51 | 000,000,000 | ---D | M]
 
[2011.05.02 20:02:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kathrin\AppData\Roaming\mozilla\Extensions
[2010.07.11 23:19:56 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kathrin\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.07.25 22:40:03 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kathrin\AppData\Roaming\mozilla\Firefox\Profiles\4bsysbfn.default\extensions
[2012.05.18 13:45:54 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\Kathrin\AppData\Roaming\mozilla\Firefox\Profiles\4bsysbfn.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2011.11.09 21:15:41 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.07.06 12:01:23 | 000,340,684 | ---- | M] () (No name found) -- C:\USERS\KATHRIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4BSYSBFN.DEFAULT\EXTENSIONS\{A7C6CF7F-112C-4500-A7EA-39801A327E5F}.XPI
[2012.01.19 19:11:42 | 000,018,981 | ---- | M] () (No name found) -- C:\USERS\KATHRIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4BSYSBFN.DEFAULT\EXTENSIONS\ALARM@GUTSCHEINSAMMLER.DE.XPI
[2012.07.20 17:53:24 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011.07.16 10:02:54 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2011.09.23 02:52:52 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.23 02:46:24 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2011.09.23 02:52:52 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.23 02:52:52 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.23 02:52:52 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.23 02:52:52 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.11.25 09:27:51 | 000,000,998 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 im.adtech.de
O1 - Hosts: 127.0.0.1 adserver.adtech.de
O1 - Hosts: 127.0.0.1 adtech.de
O1 - Hosts: 127.0.0.1 atwola.com
O1 - Hosts: 127.0.0.1 adserver.71i.de
O1 - Hosts: 127.0.0.1 adicqserver.71i.de
O1 - Hosts: 127.0.0.1 71i.de
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation)
O4:64bit: - HKLM..\Run: [PLFSetI] C:\Windows\PLFSetI.exe ()
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [wlqbcefjbdcbmtf] C:\ProgramData\wlqbcefj.exe ()
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files (x86)\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files (x86)\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://juniper.net/dana-cached/sc/JuniperSetupClient.cab (JuniperSetupClientControl Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{706E9064-0B01-4B5F-8E0E-3AD3133384F2}: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C623E36A-7F30-4134-AEEE-B999A7B73CCF}: DhcpNameServer = 10.203.1.1 168.95.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{DE67A43A-D2AF-4521-8EE3-8A6428E2F943}: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~1\Office12\GRA32A~1.DLL (Microsoft Corporation)
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\Shell - "" = AutoRun
O33 - MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\Shell\AutoRun\command - "" = F:\SETUP.EXE -autorun
O33 - MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\Shell\AutoRun\command - "" = D:\CD_content.exe
O33 - MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\Shell - "" = AutoRun
O33 - MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\Shell\AutoRun\command - "" = F:\autorun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.11 20:49:41 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Users\Kathrin\Desktop\OTL.exe
[2012.08.11 14:41:12 | 000,000,000 | ---D | C] -- C:\archive_db
[2012.08.11 14:38:04 | 000,000,000 | ---D | C] -- C:\ProgramData\backup
[2012.08.11 14:37:58 | 000,000,000 | ---D | C] -- C:\ProgramData\explauncher
[2012.08.11 14:37:56 | 000,000,000 | ---D | C] -- C:\ProgramData\launcher
[2012.08.11 13:57:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paragon Backup & Recovery™ 2012 Free
[2012.08.11 13:55:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Paragon Software
[2012.08.10 21:36:36 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.08.10 19:39:01 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012.08.10 17:26:46 | 000,000,000 | ---D | C] -- C:\Users\Kathrin\AppData\Roaming\Malwarebytes
[2012.08.10 17:26:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.08.10 17:26:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.08.10 17:26:29 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.08.10 17:26:29 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.08.10 16:13:54 | 000,000,000 | ---D | C] -- C:\ProgramData\pouhqpnjbkxafpu
[2012.08.07 17:23:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free M4a to MP3 Converter
[2012.08.07 17:23:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Free M4a to MP3 Converter
[2012.08.07 17:22:03 | 005,953,392 | ---- | C] (ManiacTools.com                                             ) -- C:\Users\Kathrin\Desktop\m4a-to-mp3-converter.exe
[2012.08.06 19:47:04 | 000,000,000 | ---D | C] -- C:\Users\Kathrin\Desktop\Bodi_Bill-What-(SR038CD)-2011-KPS_INT
[2012.07.29 21:00:34 | 000,000,000 | ---D | C] -- C:\Users\Kathrin\Desktop\VA_-_Kontor_Summer_Jam-3CD-2012-MOD
[2012.07.27 15:25:37 | 000,000,000 | ---D | C] -- C:\Users\Kathrin\AppData\Local\Macromedia
[2010.12.26 22:46:55 | 000,651,264 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\1602.exe
[2010.12.26 22:46:55 | 000,307,200 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Language.dll
[2010.12.26 22:46:55 | 000,307,200 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Editor.dll
[2010.12.26 22:46:55 | 000,163,840 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Maxnet.dll
[2010.12.26 22:46:55 | 000,135,168 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Config.exe
[2010.12.26 22:46:49 | 000,995,383 | ---- | C] (Microsoft Corporation) -- C:\Program Files (x86)\Mfc42.dll
[2010.12.26 22:46:49 | 000,491,520 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\1602Edit.exe
[2010.12.26 22:46:49 | 000,393,728 | ---- | C] (Microsoft Corporation) -- C:\Program Files (x86)\MSVCRTD.DLL
[2010.12.26 22:46:49 | 000,254,005 | ---- | C] (Microsoft Corporation) -- C:\Program Files (x86)\MSVCRT.DLL
[2010.12.26 22:46:49 | 000,032,768 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Maxsound.dll
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.11 20:54:11 | 011,625,366 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.08.11 20:54:11 | 003,944,650 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.08.11 20:54:11 | 003,666,582 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.08.11 20:54:11 | 003,298,948 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.08.11 20:54:11 | 000,004,572 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.08.11 20:49:02 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.08.11 20:48:54 | 3219,935,232 | -HS- | M] () -- C:\hiberfil.sys
[2012.08.11 20:30:44 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.11 20:30:44 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.11 13:57:23 | 000,002,413 | ---- | M] () -- C:\Users\Public\Desktop\Paragon Backup & Recovery™ 2012 Free.lnk
[2012.08.10 21:18:34 | 002,342,856 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.08.10 17:26:31 | 000,001,113 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.08.10 16:20:24 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Kathrin\Desktop\OTL.exe
[2012.08.10 16:13:55 | 000,000,051 | ---- | M] () -- C:\ProgramData\kggezsvwdtobogq
[2012.08.10 16:13:49 | 000,057,344 | ---- | M] () -- C:\ProgramData\wlqbcefj.exe
[2012.08.07 17:43:15 | 415,658,335 | ---- | M] () -- C:\Users\Kathrin\Desktop\TvP3.mp3
[2012.08.07 17:23:04 | 000,001,057 | ---- | M] () -- C:\Users\Kathrin\Desktop\Free M4a to MP3 Converter.lnk
[2012.08.07 17:23:04 | 000,001,052 | ---- | M] () -- C:\Users\Kathrin\Desktop\My Music Tools.lnk
[2012.08.07 17:22:35 | 005,953,392 | ---- | M] (ManiacTools.com                                             ) -- C:\Users\Kathrin\Desktop\m4a-to-mp3-converter.exe
[2012.08.06 23:19:36 | 355,763,200 | ---- | M] () -- C:\Users\Kathrin\Desktop\TvP3.rar
[2012.08.06 19:46:47 | 060,416,303 | ---- | M] () -- C:\Users\Kathrin\Desktop\Bodi_Bill-What-(SR038CD)-2011-KPS_INT.zip
[2012.08.05 14:15:45 | 000,062,886 | ---- | M] () -- C:\Users\Kathrin\Desktop\kursgeburtshilfe.pdf
[2012.08.01 20:51:17 | 000,201,787 | ---- | M] () -- C:\Users\Kathrin\Desktop\abholschein_9349328_287ac3cab925e05a6dd3669fad14edc9.pdf
[2012.07.29 19:17:56 | 422,837,105 | ---- | M] () -- C:\Users\Kathrin\Desktop\KSJ.rar
[2012.07.29 12:55:22 | 000,144,291 | ---- | M] () -- C:\Users\Kathrin\Desktop\KurvenReich (nfp-forum.de.pdf
 
========== Files Created - No Company Name ==========
 
[2012.08.11 13:57:23 | 000,002,413 | ---- | C] () -- C:\Users\Public\Desktop\Paragon Backup & Recovery™ 2012 Free.lnk
[2012.08.10 17:26:31 | 000,001,113 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.08.10 16:13:55 | 000,057,344 | ---- | C] () -- C:\ProgramData\wlqbcefj.exe
[2012.08.10 16:13:50 | 000,000,051 | ---- | C] () -- C:\ProgramData\kggezsvwdtobogq
[2012.08.07 17:27:44 | 415,658,335 | ---- | C] () -- C:\Users\Kathrin\Desktop\TvP3.mp3
[2012.08.07 17:23:04 | 000,001,057 | ---- | C] () -- C:\Users\Kathrin\Desktop\Free M4a to MP3 Converter.lnk
[2012.08.07 17:23:04 | 000,001,052 | ---- | C] () -- C:\Users\Kathrin\Desktop\My Music Tools.lnk
[2012.08.07 17:20:05 | 362,121,013 | ---- | C] () -- C:\Users\Kathrin\Desktop\TvP3.m4b
[2012.08.06 20:02:05 | 355,763,200 | ---- | C] () -- C:\Users\Kathrin\Desktop\TvP3.rar
[2012.07.29 16:55:12 | 422,837,105 | ---- | C] () -- C:\Users\Kathrin\Desktop\KSJ.rar
[2012.03.07 19:56:22 | 000,045,568 | ---- | C] () -- C:\Windows\UniFish3.exe
[2012.02.27 20:10:51 | 000,000,638 | ---- | C] () -- C:\Windows\wiso.ini
[2011.05.14 22:44:39 | 000,000,010 | ---- | C] () -- C:\Windows\popcinfo.dat
[2010.12.26 22:47:08 | 000,018,879 | ---- | C] () -- C:\Program Files (x86)\ReadMe.rtf
[2010.12.26 22:47:08 | 000,000,757 | ---- | C] () -- C:\Program Files (x86)\Game.dat
[2010.12.26 22:46:55 | 000,037,513 | ---- | C] () -- C:\Program Files (x86)\Editor.cod
[2010.12.26 22:46:55 | 000,033,782 | ---- | C] () -- C:\Program Files (x86)\Text.cod
[2010.12.26 22:46:49 | 000,325,799 | ---- | C] () -- C:\Program Files (x86)\Un1602.isu
[2010.12.26 22:46:49 | 000,136,127 | ---- | C] () -- C:\Program Files (x86)\haeuser.cod
[2010.12.26 22:46:49 | 000,098,304 | ---- | C] () -- C:\Program Files (x86)\SMACKW32.DLL
[2010.12.26 22:46:49 | 000,059,972 | ---- | C] () -- C:\Program Files (x86)\figuren.cod
[2010.11.28 23:21:55 | 000,000,040 | -HS- | C] () -- C:\ProgramData\.zreglib
[2010.10.07 14:57:03 | 000,013,392 | ---- | C] () -- C:\Users\Kathrin\.recently-used.xbel
[2010.08.25 17:01:28 | 000,626,688 | ---- | C] () -- C:\Windows\Image.dll
[2010.08.25 17:01:28 | 000,200,704 | ---- | C] () -- C:\Windows\PLFSetI.exe
[2010.08.25 17:01:28 | 000,020,480 | ---- | C] () -- C:\Windows\USB_VIDEO_REG.exe
[2010.08.25 17:01:28 | 000,000,323 | ---- | C] () -- C:\Windows\PidList.ini
[2010.08.25 12:31:02 | 000,106,496 | ---- | C] () -- C:\Windows\FixUVC.exe
[2010.08.23 22:47:16 | 000,002,828 | -HS- | C] () -- C:\Windows\SysWow64\KGyGaAvL.sys
[2010.08.23 22:47:16 | 000,000,088 | RHS- | C] () -- C:\Windows\SysWow64\9C8F524808.sys
[2010.07.11 22:45:12 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
 
========== LOP Check ==========
 
[2012.02.27 20:12:58 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Buhl Data Service
[2010.09.07 21:50:23 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\CushyStock
[2010.12.06 15:29:34 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\DAEMON Tools Lite
[2012.02.02 19:03:47 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Deuxa
[2010.09.20 15:34:18 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\inkscape
[2012.01.30 22:17:48 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Pipucay
[2010.08.23 21:06:26 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Similarity
[2011.08.16 21:49:41 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\TeamViewer
[2010.07.11 23:19:56 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Thunderbird
[2012.02.12 17:47:11 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\TS3Client
[2011.12.25 00:00:58 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Ubisoft
[2011.06.05 19:53:28 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Wildfire
[2012.08.07 20:48:31 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:50DD4118

< End of report >
--- --- ---
Alt 11.08.2012, 18:37   #6
t'john
/// Helfer-Team
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
ATTFilter
:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu" 
FF - prefs.js..browser.startup.homepage: "http://www.google.de/" 
FF - prefs.js..network.proxy.http: "69.163.96.22" 
FF - prefs.js..network.proxy.http_port: 8080 
FF - prefs.js..network.proxy.type: 0 
FF - user.js - File not found 
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found 
O4 - HKCU..\Run: [wlqbcefjbdcbmtf] C:\ProgramData\wlqbcefj.exe () 
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found 
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) 
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) 
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\Shell - "" = AutoRun 
O33 - MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\Shell\AutoRun\command - "" = F:\SETUP.EXE -autorun 
O33 - MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\Shell - "" = AutoRun 
O33 - MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\Shell\AutoRun\command - "" = D:\CD_content.exe 
O33 - MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\Shell - "" = AutoRun 
O33 - MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\Shell\AutoRun\command - "" = F:\autorun.exe 

[2012.08.10 16:13:54 | 000,000,000 | ---D | C] -- C:\ProgramData\pouhqpnjbkxafpu 
[2012.08.10 16:13:55 | 000,000,051 | ---- | M] () -- C:\ProgramData\kggezsvwdtobogq 
[2012.08.10 16:13:49 | 000,057,344 | ---- | M] () -- C:\ProgramData\wlqbcefj.exe 
[2010.11.28 23:21:55 | 000,000,040 | -HS- | C] () -- C:\ProgramData\.zreglib 
[2010.08.23 22:47:16 | 000,002,828 | -HS- | C] () -- C:\Windows\SysWow64\KGyGaAvL.sys 
[2010.08.23 22:47:16 | 000,000,088 | RHS- | C] () -- C:\Windows\SysWow64\9C8F524808.sys 
@Alternate Data Stream - 111 bytes -> C:\ProgramData\Temp:50DD4118 
[2012.08.11 13:57:23 | 000,002,413 | ---- | M] () -- C:\Users\Public\Desktop\Paragon Backup & Recovery™ 2012 Free.lnk 
[2012.08.07 17:23:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Free M4a to MP3 Converter 
[2012.08.07 17:23:04 | 000,001,057 | ---- | M] () -- C:\Users\Kathrin\Desktop\Free M4a to MP3 Converter.lnk 
[2012.08.07 17:23:04 | 000,001,052 | ---- | M] () -- C:\Users\Kathrin\Desktop\My Music Tools.lnk 
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________
--> Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"

Alt 11.08.2012, 19:01   #7
Bunk
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Super, die Sperre ist schon mal raus und ich muss nicht mehr im abgesicherten Modus arbeiten.

Komischerweise geht die Netzwerkverbindung nicht mehr, hoffe der Trojaner hat da nix zerschossen oder so.

Hier aber das Log:
Code:
ATTFilter
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: "LEO Eng-Deu" removed from browser.search.selectedEngine
Prefs.js: "hxxp://www.google.de/" removed from browser.startup.homepage
Prefs.js: "69.163.96.22" removed from network.proxy.http
Prefs.js: 8080 removed from network.proxy.http_port
Prefs.js: 0 removed from network.proxy.type
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\wlqbcefjbdcbmtf deleted successfully.
C:\ProgramData\wlqbcefj.exe moved successfully.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft E&xel exportieren\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft E&xel exportieren\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\ not found.
File F:\SETUP.EXE -autorun not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\ not found.
File D:\CD_content.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\ not found.
File F:\autorun.exe not found.
C:\ProgramData\pouhqpnjbkxafpu folder moved successfully.
C:\ProgramData\kggezsvwdtobogq moved successfully.
File C:\ProgramData\wlqbcefj.exe not found.
C:\ProgramData\.zreglib moved successfully.
C:\Windows\SysWOW64\KGyGaAvL.sys moved successfully.
C:\Windows\SysWOW64\9C8F524808.sys moved successfully.
ADS C:\ProgramData\Temp:50DD4118 deleted successfully.
C:\Users\Public\Desktop\Paragon Backup & Recovery™ 2012 Free.lnk moved successfully.
C:\Program Files (x86)\Free M4a to MP3 Converter folder moved successfully.
C:\Users\Kathrin\Desktop\Free M4a to MP3 Converter.lnk moved successfully.
C:\Users\Kathrin\Desktop\My Music Tools.lnk moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausfhren der Funktion ist ein Fehler aufgetreten.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Kathrin
->Temp folder emptied: 134187 bytes
->Temporary Internet Files folder emptied: 33765 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: sebastian
->Temp folder emptied: 35051 bytes
->Temporary Internet Files folder emptied: 104645 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: AppData
 
User: Default
 
User: Default User
 
User: Kathrin
->Flash cache emptied: 0 bytes
 
User: Public
 
User: sebastian
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 08112012_215747

Files\Folders moved on Reboot...
C:\Users\Kathrin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\Kathrin\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

Alt 11.08.2012, 19:08   #8
t'john
/// Helfer-Team
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Warum ist SP1 nicht installiert?




Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:
ATTFilter
:OTL
:Files
netsh interface ipv4 set address name="LAN-Verbindung" source=dhcp /c
ipconfig /flushdns /c
ipconfig /all /c
netsh winsock reset catalog /c
netsh winsock reset /c
netsh int ipv4 reset reset.log /c
netsh int ipv6 reset reset.log /c
:Commands
[purity]
[emptytemp]
[Reboot]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.08.2012, 19:21   #9
Bunk
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Vielen Dank bis hierhin schon mal für die wirklich schnelle Reaktion!

Hier das neue Log:

Code:
ATTFilter
QAll processes killed
========== OTL ==========
========== FILES ==========
< netsh interface ipv4 set address name="LAN-Verbindung" source=dhcp /c >
Die Initialisierungsfunktion InitHelperDll in NSHHTTP.DLL konnte nicht gestartet werden. Fehlercode 10107
DHCP ist an dieser Schnittstelle bereits aktiviert.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausfhren der Funktion ist ein Fehler aufgetreten.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< ipconfig /all /c >
Windows-IP-Konfiguration
   Hostname  . . . . . . . . . . . . : Kathrin-PC
   Prim„res DNS-Suffix . . . . . . . : 
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:
   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Qualcomm Atheros AR5B93 Wireless Network Adapter
   Physikalische Adresse . . . . . . : C4-17-FE-42-3D-33
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
Ethernet-Adapter LAN-Verbindung:
   Medienstatus. . . . . . . . . . . : Medium getQrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Broadcom NetLink (TM)-Gigabit-Ethernet
   Physikalische Adresse . . . . . . : 00-26-2D-7B-7C-A0
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{706E9064-0B01-4B5F-8E0E-3AD3133384F2}:
   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
Tunneladapter Teredo Tunneling Pseudo-Interface:
   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< netsh winsock reset catalog /c >
Die Initialisierungsfunktion InitHelperDll in NSHHTTP.DLL konnte nicht gestartet werden. Fehlercode 10107
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< netsh winsock reset /c >
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< netsh int ipv4 reset reset.log /c >
Global wird zurckgesetzt, OK!
Schnittstelle wird zurckgesetzt, OK!
Starten Sie den Computer neu, um die Aktion abzuschlieáen.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< netsh int ipv6 reset reset.log /c >
Es sind keine vom Benutzer festgelegten Einstellungen zum Zurcksetzen vorhanden.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Kathrin
->Temp folder emptied: 1178 bytes
->Temporary Internet Files folder emptied: 33300 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: sebastian
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 08112012_221555

Files\Folders moved on Reboot...
C:\Users\Kathrin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\Kathrin\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

Alt 11.08.2012, 19:35   #10
t'john
/// Helfer-Team
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Sehr gut!



Downloade dir bitte Farbar's MiniToolBox auf deinen Desktop und starte das Tool


Setze einen Haken bei folgenden Einträgen
  • Flush DNS
  • Report IE Proxy Settings
  • Reset IE Proxy Settings
  • Report FF Proxy Settings
  • Reset IE Proxy Settings
  • List content of Hosts
  • List IP configuration
  • List Winsock Entries
  • List Users, Partitions and Memory size

Klicke Go und poste den Inhalt der Result.txt.
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.08.2012, 19:39   #11
Bunk
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


So, und hier ist es.

Code:
ATTFilter
MiniToolBox by Farbar  Version: 23-07-2012
Ran by Kathrin (administrator) on 11-08-2012 at 22:39:54
Microsoft Windows 7 Ultimate   (X64)
Boot Mode: Normal
***************************************************************************

========================= Flush DNS: ===================================

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausfhren der Funktion ist ein Fehler aufgetreten.


========================= IE Proxy Settings: ============================== 

Proxy is not enabled.
No Proxy Server is set.

"Reset IE Proxy Settings": IE Proxy Settings were reset.

========================= FF Proxy Settings: ============================== 

"network.proxy.http", ""
"network.proxy.http_port", ""
"network.proxy.type", ""

"Reset FF Proxy Settings": Firefox Proxy settings were reset.

========================= Hosts content: =================================



127.0.0.1 im.adtech.de
127.0.0.1 adserver.adtech.de
127.0.0.1 adtech.de
127.0.0.1 atwola.com
127.0.0.1 adserver.71i.de
127.0.0.1 adicqserver.71i.de
127.0.0.1 71i.de

========================= IP Configuration: ================================

Broadcom NetLink (TM)-Gigabit-Ethernet = LAN-Verbindung (Media disconnected)
Qualcomm Atheros AR5B93 Wireless Network Adapter = Drahtlosnetzwerkverbindung (Media disconnected)


# ----------------------------------
# IPv4-Konfiguration
# ----------------------------------
pushd interface ipv4

reset


popd
# Ende der IPv4-Konfiguration



Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : Kathrin-PC
   Prim„res DNS-Suffix . . . . . . . : 
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Qualcomm Atheros AR5B93 Wireless Network Adapter
   Physikalische Adresse . . . . . . : C4-17-FE-42-3D-33
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter LAN-Verbindung:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Broadcom NetLink (TM)-Gigabit-Ethernet
   Physikalische Adresse . . . . . . : 00-26-2D-7B-7C-A0
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{706E9064-0B01-4B5F-8E0E-3AD3133384F2}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
Server:  UnKnown
Address:  127.0.0.1

Ping-Anforderung konnte Host "google.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.
Server:  UnKnown
Address:  127.0.0.1

Ping-Anforderung konnte Host "yahoo.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.
Server:  UnKnown
Address:  127.0.0.1

Ping-Anforderung konnte Host "bleepingcomputer.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.

Ping wird ausgefhrt fr 127.0.0.1 mit 32 Bytes Daten:
Antwort von 127.0.0.1: Bytes=32 Zeit=7ms TTL=128
Antwort von 127.0.0.1: Bytes=32 Zeit=2ms TTL=128

Ping-Statistik fr 127.0.0.1:
    Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 2ms, Maximum = 7ms, Mittelwert = 4ms
===========================================================================
Schnittstellenliste
 12...c4 17 fe 42 3d 33 ......Qualcomm Atheros AR5B93 Wireless Network Adapter
 11...00 26 2d 7b 7c a0 ......Broadcom NetLink (TM)-Gigabit-Ethernet
  1...........................Software Loopback Interface 1
 17...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
===========================================================================
St„ndige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    306 ::1/128                  Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
===========================================================================
St„ndige Routen:
  Keine
========================= Winsock entries =====================================

Catalog5 01 C:\Windows\SysWOW64\NLAapi.dll [51712] (Microsoft Corporation)
Catalog5 02 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog5 03 C:\Windows\SysWOW64\winrnr.dll [20992] (Microsoft Corporation)
Catalog5 04 C:\Windows\SysWOW64\napinsp.dll [52224] (Microsoft Corporation)
Catalog5 05 C:\Windows\SysWOW64\pnrpnsp.dll [65024] (Microsoft Corporation)
Catalog5 06 C:\Windows\SysWOW64\pnrpnsp.dll [65024] (Microsoft Corporation)
Catalog5 07 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.)
Catalog9 01 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 02 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 03 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 04 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 05 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 06 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 07 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 08 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 09 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 10 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
x64-Catalog5 01 C:\Windows\System32\NLAapi.dll [70144] (Microsoft Corporation)
x64-Catalog5 02 C:\Windows\System32\mswsock.dll [320000] (Microsoft Corporation)
x64-Catalog5 03 C:\Windows\System32\winrnr.dll [28672] (Microsoft Corporation)
x64-Catalog5 04 C:\Windows\System32\napinsp.dll [68096] (Microsoft Corporation)
x64-Catalog5 05 C:\Windows\System32\pnrpnsp.dll [86016] (Microsoft Corporation)
x64-Catalog5 06 C:\Windows\System32\pnrpnsp.dll [86016] (Microsoft Corporation)

========================= Memory info: ===================================

Percentage of memory in use: 26%
Total physical RAM: 4094.36 MB
Available physical RAM: 3019.99 MB
Total Pagefile: 8186.87 MB
Available Pagefile: 6889.86 MB
Total Virtual: 4095.88 MB
Available Virtual: 3954.31 MB

========================= Partitions: =====================================

1 Drive c: () (Fixed) (Total:453.94 GB) (Free:150.52 GB) NTFS
2 Drive d: (KRD10) (CDROM) (Total:0.26 GB) (Free:0 GB) CDFS
3 Drive e: (EOS_DIGITAL) (Removable) (Total:30.22 GB) (Free:28.6 GB) FAT32
5 Drive h: () (Removable) (Total:7.71 GB) (Free:7.47 GB) FAT32

========================= Users: ========================================

Benutzerkonten fr \\KATHRIN-PC

Administrator            Gast                     Kathrin                  
sebastian                
Der Befehl wurde erfolgreich ausgefhrt.


**** End of log ****

Alt 11.08.2012, 19:46   #12
t'john
/// Helfer-Team
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Wie stellst du die Verbindung ins Inernet her?

Funktioniert sie?
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.08.2012, 19:54   #13
Bunk
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Das Notebook hat keine Internetverbindung. Transportiere die Logs per USB-Stick auf den Desktop und poste sie von dort aus.

Konnte den Fehler selbst auch schon ein wenig eingrenzen, aber leider nicht beheben.

Der Benachrichtigungsdienst, der DHCP-Client und TCP/IP-Netbios Dienst sind alle auf dem Status "wird gestartet" nur leider tut sich nichts.

Bin für ein paar Stunden erstmal nicht da. Falls dir noch was einfällt, wäre super. Aber ich denke das eigentliche Trojaner Problem ist ja erstmal behoben. Es sei denn der hat die Windows Dienste irgendwie kaputt gemacht.

Vielen Dank für die super Hilfe!

Ein weiterer Neustart hat ohne Änderungen geholfen.

[Thread kann geschlossen werden]

Alt 11.08.2012, 20:49   #14
t'john
/// Helfer-Team
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Speichere das manuelle Update von MBAM auf den Stick: http://data-cdn.mbamupdates.com/tools/mbam-rules.exe

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.08.2012, 23:51   #15
Bunk
 
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Standard

Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


Hi,

soweit läuft das Notebook jetzt wieder einwandfrei. Werde heute nach noch mal einen Vollscan mit Malwarebytes (aktuelle Version) laufen lassen. Irgendwelche Tipps zum weiteren absichern, damit das nicht wieder passiert?

Lieben Gruß

Antwort
Seite 1 von 2 1 2

Themen zu Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"
abgesicherten, anti-malware, ausführung, benutzerkonto, boot, fullscan, gesperrt, hallo zusammen, kaspersky, laptop, laufen, locker, malwarebytes, modus, nichts, quick, richtlinie, system, threads, trojaner, version, versuche, versucht, windows, windows 7, zusammen


« BKA Trojaner - Google ungewönliche Suchanfragen | Win Vista BKA 1.13 Trojaner »


Ähnliche Themen: Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"


  1. Bundestrojaner Variante: "Ihr Computer wurde gesperrt"; " Ihr Computer wurde durch das Speichern der autom. Informationskontrolle gesperrt"
    Log-Analyse und Auswertung - 25.11.2012 (10)
  2. auswertung Logdatei des Trojaner "der Computer ist für die Verletzung der Gesetze der Bundesrepublik deutschland wurde Blockert" Ukash
    Log-Analyse und Auswertung - 03.10.2012 (13)
  3. Trojaner: "ihr Computer wurde durch das System der automatischen Informationskontrolle gesperrt"
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (2)
  4. Folgende Fehlermeldung legt meinen LapTop lahm: "ihr computer wurde durch das system der automatischen informationskontrolle gesperrt"
    Log-Analyse und Auswertung - 28.09.2012 (32)
  5. "Ihr Computer wurde durch das System der automatischen Informationskontrolle gesperrt"
    Log-Analyse und Auswertung - 19.09.2012 (1)
  6. UKASH-Trojaner "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik Deutschland wurde blockiert"
    Log-Analyse und Auswertung - 08.09.2012 (14)
  7. "Ihr Computer wurde gesperrt", Schweizerische Eidgenossenschaft, Ukash
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (7)
  8. Trojaner "Ihr Computer wurde gesperrt" - Ukash EUR 100
    Log-Analyse und Auswertung - 14.07.2012 (5)
  9. Trojaner-Befall: "Achtung - Ihr Windows wurde aus Sicherheitsgründen gesperrt.."
    Log-Analyse und Auswertung - 26.03.2012 (9)
  10. "WIN7" System wurde gesperrt + Skype Virus
    Plagegeister aller Art und deren Bekämpfung - 13.03.2012 (9)
  11. (2x) 2. VERSUCH - "WIN7" System wurde gesperrt + Skype Virus
    Mülltonne - 12.03.2012 (2)
  12. "Windows wurde aus Sicherheitsgründen blockiert" - Ukash-Trojaner?
    Log-Analyse und Auswertung - 29.02.2012 (5)
  13. 50 € "Aus Sicherheitsgründen wurde Ihr System gesperrt"-Virus
    Log-Analyse und Auswertung - 23.02.2012 (10)
  14. "Aus Sicherheitsgründen wurde ihr System gesperrt!"-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 23.02.2012 (23)
  15. Virus/Trojaner "Achtung! Windows wurde aus Sicherheitsgründen gesperrt"
    Log-Analyse und Auswertung - 29.12.2011 (13)
  16. "Achtung! Aus Sicherheitsgründen wurde ihr System gesperrt"
    Log-Analyse und Auswertung - 29.12.2011 (3)
  17. habe auch "Roter Bildschirm: "Ihr System wurde aus Sicherheitsgründen blockiert" "
    Plagegeister aller Art und deren Bekämpfung - 26.08.2011 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" - Hallo zusammen, Ich versuche mich möglichst an die Forenrichtlinien zu halten, falls ich gegen irgendwas verstoße, sagt es mir einfach. Falls der Thread in ein anderes Forum gehört, könnt ihr - Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"...
Archiv
Du betrachtest: Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131