|
Log-Analyse und Auswertung: Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise wegWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.09.2012, 16:49 | #1 |
| Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg Hallo Leute! Leider habe auch ich mir den Polizei-Virus eingefangen. Nach unzähligen Virenscans mit Avast, Malware, usw. habe ich zwar einige Datein gefunden und wenn's wahr ist auch erfolgreich gelöscht aber trotzdem habe ich von Zeit zu Zeit beim Aufstarten einen komplett leeren Desktop vor mir. Ohne Desktopsymbole und Taskleiste. Alle Kurzbefehle und sonstigen Tricks bleiben ohne Erfolg. Nach einem, zwei oder drei Neustarts funktioniert's dann wieder. Ich nehme mal an dass das irgendwie mit dem Polizeivirus zusammenhängt, bin mir aber nicht sicher. Ich habe jetzt mal defogger und OTL drüber laufen lassen und poste euch anbei die ganzen Log's. Vllt. kann sich das ja mal jemand von euch durchschauen und mir sagen ob sich auf meinem Laptop noch etwas versteckt !!! Vielen Dank im Voraus. Grüsse |
11.09.2012, 01:19 | #2 |
/// Helfer-Team | Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise wegDie Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen. Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen. Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte. 1. Schritt Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{620E6FC9-A1A3-416F-9FE3-213FBD6B63EC}: "URL" = http://rover.ebay.com/rover/1/5221-29898-16445-29/4?mpre=http://shop.ebay.at/?oemInLn=ieSrch-Q212&_nkw={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 10.1.0) O16:64bit: - DPF: {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01) O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 10.1.0) O16 - DPF: {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 [2012.09.09 14:06:39 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\config.nt [2012.09.09 13:57:12 | 083,023,306 | ---- | M] () -- C:\ProgramData\nud0repor.pad [2012.09.07 17:47:40 | 000,011,576 | ---- | M] () -- C:\ProgramData\erolpxei.pad [2012.08.29 18:52:22 | 083,023,306 | ---- | M] () -- C:\ProgramData\23lldnur.pad :Files C:\ProgramData\*.exe C:\ProgramData\TEMP C:\Users\Michael\AppData\Local\{*} C:\Users\Michael\AppData\Local\Temp\*.exe C:\Users\Michael\AppData\LocalLow\Sun\Java\Deployment\cache %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk ipconfig /flushdns /c :Commands [emptytemp]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! 2. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 3. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
4. Schritt
__________________ |
11.09.2012, 15:52 | #3 |
| Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg Hi John !
__________________Danke erstmal für die prompte Antwort und deine Bemühungen. Anbei der Log von OTL: Code:
ATTFilter All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{620E6FC9-A1A3-416F-9FE3-213FBD6B63EC}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{620E6FC9-A1A3-416F-9FE3-213FBD6B63EC}\ not found. HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully! HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully! 64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found. Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser not found. Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93} 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. Starting removal of ActiveX control {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA}\ not found. Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found. Starting removal of ActiveX control {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA}\ not found. Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! File C:\Windows\SysWow64\config.nt not found. File C:\ProgramData\nud0repor.pad not found. File C:\ProgramData\erolpxei.pad not found. File C:\ProgramData\23lldnur.pad not found. ========== FILES ========== File\Folder C:\ProgramData\*.exe not found. File\Folder C:\ProgramData\TEMP not found. File\Folder C:\Users\Michael\AppData\Local\{*} not found. File\Folder C:\Users\Michael\AppData\Local\Temp\*.exe not found. File\Folder C:\Users\Michael\AppData\LocalLow\Sun\Java\Deployment\cache not found. File/Folder C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found. < ipconfig /flushdns /c > Windows-IP-Konfiguration Der DNS-Aufl”sungscache wurde geleert. C:\Users\Michael\Desktop\cmd.bat deleted successfully. C:\Users\Michael\Desktop\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Michael ->Temp folder emptied: 688 bytes ->Temporary Internet Files folder emptied: 1253954 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50216 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1,00 mb OTL by OldTimer - Version 3.2.61.3 log created on 09112012_170019 Files\Folders moved on Reboot... C:\Users\Michael\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.11.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Michael :: MICHAEL-VAIO [Administrator] Schutz: Deaktiviert 11.09.2012 17:04:57 mbam-log-2012-09-11 (17-04-57).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 196270 Laufzeit: 2 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter # AdwCleaner v2.001 - Datei am 09/11/2012 um 17:09:45 erstellt # Aktualisiert am 09/09/2012 von Xplode # Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits) # Benutzer : Michael - MICHAEL-VAIO # Bootmodus : Normal # Ausgeführt unter : C:\Users\Michael\Desktop\adwcleaner.exe # Option [Suche] **** [Dienste] **** ***** [Dateien / Ordner] ***** ***** [Registrierungsdatenbank] ***** Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780} ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16421 [OK] Die Registrierungsdatenbank ist sauber. ************************* AdwCleaner[R1].txt - [677 octets] - [11/09/2012 17:09:45] ########## EOF - C:\AdwCleaner[R1].txt - [736 octets] ########## Code:
ATTFilter # AdwCleaner v2.001 - Datei am 09/11/2012 um 17:14:13 erstellt # Aktualisiert am 09/09/2012 von Xplode # Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits) # Benutzer : Michael - MICHAEL-VAIO # Bootmodus : Normal # Ausgeführt unter : C:\Users\Michael\Desktop\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780} ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16421 Wiederhergestellt : [HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] ************************* AdwCleaner[R1].txt - [804 octets] - [11/09/2012 17:09:45] AdwCleaner[S1].txt - [1395 octets] - [11/09/2012 17:14:13] ########## EOF - C:\AdwCleaner[S1].txt - [1455 octets] ########## Geändert von Madmax136 (11.09.2012 um 16:18 Uhr) |
12.09.2012, 08:39 | #4 | |
/// Helfer-Team | Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg Das Fix-Log ist nicht das vom ersten Durchgang! Zitat:
|
12.09.2012, 17:14 | #5 |
| Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg Hi John! Tut mir leid aber das ist der einzige OTL Log den ich habe. Auch unter C:\_OTL\MovedFiles\ ist nur dieser Log gespeichert. Ups, das mit Malware war mein Fehler. Ich habe nur einen Quick-Scan gemacht Anbei der neue Log: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.12.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Michael :: MICHAEL-VAIO [Administrator] Schutz: Aktiviert 12.09.2012 17:27:19 mbam-log-2012-09-12 (17-27-19).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 314156 Laufzeit: 32 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
14.09.2012, 16:48 | #6 |
/// Helfer-Team | Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________ --> Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg |
15.09.2012, 09:32 | #7 |
| Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise wegCode:
ATTFilter Emsisoft Anti-Malware - Version 6.6 Letztes Update: 15.09.2012 10:03:57 Scan Einstellungen: Scan Methode: Detail Scan Objekte: Rootkits, Speicher, Traces, C:\ Archiv Scan: An ADS Scan: An Scan Beginn: 15.09.2012 10:04:15 c:\program files (x86)\ares\data gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\osthemes gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\chatconf.txt gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\blocked.txt.sample gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\chanlistfilter.txt gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\buttonsbitmap.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\chat.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\emotic.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\libbig.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\logo.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\mimesmall.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\mshareset.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\prefs.txt gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\searchpnl.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\searchstars.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\tabssmall.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\transfer.bmp gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\homepage.url gefunden: Trace.File.ares!E1 c:\program files (x86)\ares\data\p2pfilter.txt gefunden: Trace.File.ares!E1 Value: hkey_classes_root\arlnk --> url protocol gefunden: Trace.Registry.ares galaxy p2p plus!E1 Value: hkey_local_machine\software\classes\arlnk --> url protocol gefunden: Trace.Registry.ares galaxy p2p plus!E1 Value: hkey_current_user\software\ares\bounds --> main.maximized gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\columns\transfers --> upload gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\data --> ji.aresnet1 gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\columns\transfers --> queue gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\positions\transfers --> queue gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\columns\transfers --> download gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\positions\transfers --> download gefunden: Trace.Registry.ares!E1 Value: hkey_classes_root\clsid\{3e0fa044-926c-42d9-ba12-ef16e980913b}\inprocserver32 --> threadingmodel gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\positions\transfers --> upload gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> extra.showactivecaption gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> general.msnsongnotif gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> gui.lastchatroombrowse gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> gui.lastlibrary gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> gui.lastpmbrowse gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> gui.lastsearch gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> general.lastlibrarymode gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> network.dhtid gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> general.language gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> playlist.previousm3uapp gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> general.autostartup gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> privatemessage.awaymessage gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> hashing.priority gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cdnspeed gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cfrtime gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cavgtime gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> playlist.previouswaxapp gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> personal.guid gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.lstcaquery gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.lstcaqueryint gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.haslqca gefunden: Trace.Registry.ares!E1 Value: hkey_local_machine\software\classes\clsid\{3e0fa044-926c-42d9-ba12-ef16e980913b}\inprocserver32 --> threadingmodel gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cupspeed gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> transfer.serverport gefunden: Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> publisher gefunden: Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> uninstallstring gefunden: Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> displayversion gefunden: Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> urlupdateinfo gefunden: Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> displayname gefunden: Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> urlinfoabout gefunden: Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cttuptime gefunden: Trace.Registry.ares!E1 Gescannt 574074 Gefunden 63 Scan Ende: 15.09.2012 10:30:34 Scan Zeit: 0:26:19 Value: hkey_current_user\software\ares\bounds --> main.maximized Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\columns\transfers --> upload Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\data --> ji.aresnet1 Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\columns\transfers --> queue Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\positions\transfers --> queue Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\columns\transfers --> download Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\positions\transfers --> download Quarantäne Trace.Registry.ares!E1 Value: hkey_classes_root\clsid\{3e0fa044-926c-42d9-ba12-ef16e980913b}\inprocserver32 --> threadingmodel Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares\positions\transfers --> upload Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> extra.showactivecaption Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> general.msnsongnotif Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> gui.lastchatroombrowse Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> gui.lastlibrary Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> gui.lastpmbrowse Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> gui.lastsearch Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> general.lastlibrarymode Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> network.dhtid Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> general.language Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> playlist.previousm3uapp Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> general.autostartup Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> privatemessage.awaymessage Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> hashing.priority Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cdnspeed Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cfrtime Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cavgtime Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> playlist.previouswaxapp Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> personal.guid Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.lstcaquery Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.lstcaqueryint Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.haslqca Quarantäne Trace.Registry.ares!E1 Value: hkey_local_machine\software\classes\clsid\{3e0fa044-926c-42d9-ba12-ef16e980913b}\inprocserver32 --> threadingmodel Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cupspeed Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> transfer.serverport Quarantäne Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> publisher Quarantäne Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> uninstallstring Quarantäne Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> displayversion Quarantäne Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> urlupdateinfo Quarantäne Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> displayname Quarantäne Trace.Registry.ares!E1 Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ares --> urlinfoabout Quarantäne Trace.Registry.ares!E1 Value: hkey_current_user\software\ares --> stats.cttuptime Quarantäne Trace.Registry.ares!E1 Value: hkey_classes_root\arlnk --> url protocol Quarantäne Trace.Registry.ares galaxy p2p plus!E1 Value: hkey_local_machine\software\classes\arlnk --> url protocol Quarantäne Trace.Registry.ares galaxy p2p plus!E1 c:\program files (x86)\ares\data Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\osthemes Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\chatconf.txt Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\blocked.txt.sample Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\chanlistfilter.txt Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\buttonsbitmap.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\chat.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\emotic.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\libbig.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\logo.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\mimesmall.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\mshareset.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\prefs.txt Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\searchpnl.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\searchstars.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\tabssmall.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\gui\general\transfer.bmp Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\homepage.url Quarantäne Trace.File.ares!E1 c:\program files (x86)\ares\data\p2pfilter.txt Quarantäne Trace.File.ares!E1 Quarantäne 63 |
16.09.2012, 17:57 | #8 |
/// Helfer-Team | Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg Sehr gut! Deinstalliere: Emsisoft Anti-Malware ESET Online Scanner Vorbereitung
|
25.09.2012, 16:04 | #9 |
| Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg Anbei das Logfile: Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=6645a5cda570254c8143f68da0425d61 # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-09-25 02:57:47 # local_time=2012-09-25 04:57:47 (+0100, Mitteleuropäische Sommerzeit) # country="Austria" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=5893 16776573 100 94 14346 100209854 0 0 # compatibility_mode=8192 67108863 100 0 102 102 0 0 # scanned=132134 # found=0 # cleaned=0 # scan_time=5062 |
26.09.2012, 12:23 | #10 |
/// Helfer-Team | Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck |
26.09.2012, 13:27 | #11 |
| Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg PluginCheck_1: Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Internet Explorer 9.0 ist aktuell Flash (11,4,402,265) ist aktuell. Java (1,7,0,7) ist aktuell. Adobe Reader 10,1,0,0 ist veraltet! Aktualisieren Sie bitte auf die neueste Version: 10,1,3 ********************************************************** PluginCheck_2: Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Internet Explorer 9.0 ist aktuell Flash (11,4,402,265) ist aktuell. Java ist nicht Installiert oder nicht aktiviert. Adobe Reader 10,1,0,0 ist veraltet! Aktualisieren Sie bitte auf die neueste Version: 10,1,3 |
27.09.2012, 13:10 | #12 |
/// Helfer-Team | Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg Sehr gut! damit bist Du sauber und entlassen! adwCleaner entfernen
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Aufräumen mit CCleaner Lasse mit CCleaner (Download) (Anleitung) Fehler in der
Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html PC wird immer langsamer - was tun? |
Themen zu Polizeivirus eingefangen - Desktopsymbole und Taskleiste zeitweise weg |
avast, bleibe, datei, datein, desktop, desktopsymbole, eingefangen, erfolgreich, funktioniert, gefangen, gelöscht, gen, hängt, komplett, laptop, laufen, leere, leeren, leute, log, malware, polizei-virus, poste, taskleiste, tricks, versteckt |