Hallo,
habe mir auch den österr.Polizeitrojaner/Virus mit der Aufforderung 100 € zu zahlen eingefangen.

Zur Lösung habe ich mich primär am Thread
http://www.trojaner-board.de/120414-...sterreich.html
orientiert.

Bisher erfolgte Schritte am befallenen Rechner:
- Win7/64 im abgesicherter Modus mit Netzwertreibern hochgefahren (ansonsten ist kurz nach dem Hochfahren der Rechner komplett durch diesen Trojaner blockiert).

- Malwarebytes Anti-Malware installiert, aktualisiert, Komplettscan durchgeführt (ca. 10 Min Laufzeit)
Infizierte Objekte 10
Entfernung durchgeführt

- Rechnerneustart (von Malwarebytes dazu aufgefordert) wieder im abgesicherten Modus mit Netzwerktreibern

- Erneut Malwarebytes Anti-Malware Komplettscan durchgeführt
Infizierte Objekte 0

- OTL.EXE als Administrator ausgeführt.

Protokolle sollten diesem Posting beigefügt sein.

Da es sich bei dem befallenen Rechner um mein "Arbeitsgerät" handelt, wäre ich euch unendlich dankbar, wenn ich dieses Problem hier lösen könnte.

Danke & LG
Nat

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-517055683-1476011322-233443055-1000\..\SearchScopes,DefaultScope = {2D55714A-5BAF-40FC-8C96-00A2CEAC0F49} 
IE - HKU\S-1-5-21-517055683-1476011322-233443055-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKU\S-1-5-21-517055683-1476011322-233443055-1000\..\SearchScopes\{2D55714A-5BAF-40FC-8C96-00A2CEAC0F49}: "URL" = http://www.google.at/search?q={searchTerms}&rlz=1I7ADFA_deAT459 
IE - HKU\S-1-5-21-517055683-1476011322-233443055-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - prefs.js..browser.startup.homepage: "https://www.google.at/" 
FF - prefs.js..network.proxy.autoconfig_url: "http://pac-file.corpnet.at:8081/accelerated_pac_base.pac" 
FF - prefs.js..network.proxy.type: 2 
FF - user.js - File not found 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_268.dll File not found 
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
O3 - HKU\S-1-5-21-517055683-1476011322-233443055-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. 
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [VMware hqtray] "D:\VMware\VMwareplayer\hqtray.exe" File not found 
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O4 - Startup: C:\Users\xxxxxxxxd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Explorer.lnk = File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - DD:\VMware\VMwareplayer\x64\vsocklib.dll File not found 
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000012 - DD:\VMware\VMwareplayer\x64\vsocklib.dll File not found 
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found 
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found 
O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} https://partner.redbull.com/CACHE/stc/2/binaries/vpnweb.cab (Cisco AnyConnect VPN Client Web Control) 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {F8FC1530-0608-11DF-2008-0800200C9A66} https://partner.redbull.com/CACHE/sdesktop/install/binaries/instweb.cab (CSD ActiveX Installer) 
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{fb1aeca1-4f5d-11e1-961f-028037ec0200}\Shell - "" = AutoRun 
O33 - MountPoints2\{fb1aeca1-4f5d-11e1-961f-028037ec0200}\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true 
[2012.08.13 13:27:40 | 000,000,000 | ---D | C] -- C:\ProgramData\947DB7D92815A2 
[2012.08.13 13:25:55 | 000,000,000 | ---D | C] -- C:\ProgramData\947DB7D9267D4A 
[2012.08.13 13:25:09 | 000,000,000 | ---D | C] -- C:\ProgramData\947DB7D925C9F3 
[2012.08.13 13:25:09 | 000,000,000 | ---D | C] -- C:\ProgramData\947DB7D925C87D 

[5 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ] 
 

[2012.08.13 13:00:40 | 000,002,066 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk 
[2012.08.13 15:56:47 | 000,000,000 | R--D | C] -- C:\Users\xxxxxxxxd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD 8 
[2012.08.13 15:56:09 | 000,001,112 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job 
[2012.08.13 15:58:24 | 000,021,904 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 
[2012.08.13 15:58:24 | 000,021,904 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 
[2012.08.13 14:14:00 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job 
[2011.07.26 17:26:48 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe 
[2011.07.17 20:46:52 | 000,000,236 | ---- | C] () -- C:\Program Files (x86)\Common Files\dx.reg 
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

T'john ist mein Held!

Korrekturdaten wurden über OTL.EXE eingespielt.
2x da ich beim 1. mal nicht als "Administrator" ausgeführt hatte.
Protokolle habe ich noch beigefügt.

Mein Rechner war ab diesem Zeitpunkt zumindest nicht mehr blockiert.

Allerdings hatte ich Probleme mit jeglichen Internetverbindungen (LAN, WLAN) und IExplorer ging auch nicht mehr. Für Win7 musste ich auch den Produktkey erneut eingeben (dies habe ich auch getan).

Letztendlich habe ich aber noch eine Systemwiederherstellung zu einem Zeitpunkt durchgeführt, zu dem ich diesen Virus/Trojaner mit höchster Wahrscheinlichkeit noch nicht hatte und jetzt pfeift das System wieder so wie es soll!

Den Virus/Trojaner dürfte ich mir gestern, beim Versuch online eine Film anzusehen, eingefangen haben...da ich dies sehr selten mache, konnte ich den Zeitraum ziemlich genau eingrenzen.

Fazit: Problem dürfte behoben sein, Rechner läuft wieder einwandfrei.

Vielen herzlichen Dank und LG
Nat

PS: 25 EUR habe ich für diese Hilfestellung an Euch gespendet .

Danke, aber wir sind noch nicht fertig.

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo nochmals,

der Thread kann als beendet betrachtet werden.

Habe heute mit unserem Admin (persönlicher Freund) auf kosten von ein paar Bier das System komplett neu aufgesetzt, da uns das Risiko von irgendwelchen Überbleibseln zu groß war und das betroffene Notebook doch professionell im Einsatz ist.

Aufgrund der Hilfe von Euch war ich aber noch in der Lage wichtige Daten und Einstellungen wegzusichern und am neu eingerichteten System zu importieren.

Nochmals vielen Dank für die kompetente Hilfe.

LG
Nat

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
PC wird immer langsamer - was tun?