| |
| |||||||
Log-Analyse und Auswertung: Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter ModusWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
12.05.2013, 16:54
| #1 |
| |  Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Hallo Trojaner-Boardteam, ich habe mir vor einigen Tagen den wohl schon recht bekannten Trojaner mit dem weißen Bildschirm als Hauptsymptom eingefangen. Als er sich beim ersten Mal bemerkbar machte, wurde mir noch angezeigt, dass mein PC angeblich von der Bundespolizei gesperrt wurde und ich die Sperre nur aufheben kann, wenn ich einen Haufen Geld bezahle. Wenn ich den Computer im abgesicherten Modus(einschließlich dem mit Netzwerktreibern) hochfahre, startet er sofort im normalen Modus neu. Ich hab mich ein wenig auf dieser Seite über das Problem informiert und erkannt, dass der Start immer der selbe war. Also habe ich OTLPE heruntergeladen, auf eine CD gebrannt und diese dann gebootet. Was beim Scan von OTL herauskam kommt in den Anhang. Da man sich ja nicht sicher sein kann ob es zu 100% der gleiche Virus wie bei den anderen ist, dachte ich mir, dass ich mal ein neues Thema erstelle. Mein Betriebssystem ist übrigens Windows 7(32 Bit), falls das relevant ist. Hoffe ihr könnt mir weiterhelfen, Gruß und danke im Voraus  |
|
12.05.2013, 17:04
| #2 |
| /// Malware-holic   | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Hi,
__________________auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code:
ATTFilter :OTL
O20 - HKU\Marcel_ON_D Winlogon: Shell - (C:\Users\Marcel\AppData\Roaming\skype.dat) - D:\Users\Marcel\AppData\Roaming\skype.dat ()
[2013/05/12 10:16:09 | 000,000,004 | ---- | M] () -- D:\Users\Marcel\AppData\Roaming\skype.ini
:Files
D:\Users\Marcel\AppData\Roaming\skype.dat
:Commands
[EMPTYFLASH]
[emptytemp]
dieses speicherst du auf nem usb stick als fix.txt nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die  + E Taste.
__________________ |
|
12.05.2013, 17:52
| #3 |
| | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Hat alles geklappt, auch der Upload wurde erfolgreich abgeschlossen. Die einzige txt, die sich geöffnet hat, ist auch die, die auch im Ordner enthalten ist...
__________________PC ist nach kleinen Startschwierigkeiten wieder entsperrt, wie solls weitergehen? |
|
12.05.2013, 17:53
| #4 |
| /// Malware-holic | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Hi, danke fürs hochladen Downloade dir bitte  TDSSKiller.exe und speichere diese Datei auf dem Desktop
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
12.05.2013, 18:13
| #5 |
| | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Hier ist das Ergebnis PHP-Code: |
|
13.05.2013, 12:59
| #6 |
| /// Malware-holic | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Hi, Scan mit Combofix
__________________ --> Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus |
|
13.05.2013, 21:37
| #7 |
| | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Das kam dabei heraus: Code:
ATTFilter ComboFix 13-05-13.01 - Marcel 13.05.2013 22:21:46.1.2 - x86
Microsoft Windows 7 Ultimate 6.1.7601.1.1252.49.1031.18.3071.2148 [GMT 2:00]
ausgeführt von:: c:\users\Marcel\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-04-13 bis 2013-05-13 ))))))))))))))))))))))))))))))
.
.
2013-05-12 23:18 . 2013-05-12 16:36 -------- d-----w- C:\_OTL
2013-05-05 19:17 . 2013-05-05 19:17 -------- d-----w- c:\programdata\Ralink
2013-04-21 12:54 . 2013-04-21 12:54 163504 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10144.bin
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-17 20:17 . 2010-09-25 17:38 138032 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2013-03-17 20:17 . 2011-01-06 17:19 281688 ----a-w- c:\windows\system32\PnkBstrB.xtr
2013-03-17 20:17 . 2010-09-25 17:38 281688 ----a-w- c:\windows\system32\PnkBstrB.exe
2013-03-10 00:31 . 2010-09-25 17:38 281688 ----a-w- c:\windows\system32\PnkBstrB.ex0
2013-02-26 19:45 . 2012-06-05 08:01 691568 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-02-26 19:45 . 2011-05-29 06:08 71024 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ProfilerU"="c:\program files\Saitek\SD6\Software\ProfilerU.exe" [2010-07-29 227840]
"SaiMfd"="c:\program files\Saitek\SD6\Software\SaiMfd.exe" [2010-07-29 123392]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2011-04-13 1298320]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"avgnt"="d:\neuer ordner 1.0\Avira\AntiVir Desktop\avgnt.exe" [2012-09-07 348664]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-09-17 254896]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
"LogMeIn Hamachi Ui"="d:\neuer ordner 1.0\Hamachi\hamachi-2-ui.exe" [2012-12-10 2254768]
.
c:\users\Marcel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
TP-LINK Drahtlos Tool.lnk - c:\program files\TP-LINK\COMMON\TWCU.exe [2011-4-18 1638400]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer3"=wdmaud.drv
.
R2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 musbehco;musbehco;c:\users\Marcel\AppData\Local\Temp\musbehco.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]
S2 AntiVirSchedulerService;Avira Planer;d:\neuer ordner 1.0\Avira\AntiVir Desktop\sched.exe [x]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;d:\neuer ordner 1.0\Hamachi\hamachi-2.exe [x]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [x]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]
S3 netr28u;TP-LINK Wireless USB Adapter;c:\windows\system32\DRIVERS\netr28u.sys [x]
S3 SaiK0CCC;SaiK0CCC;c:\windows\system32\DRIVERS\SaiK0CCC.sys [x]
S3 SaiU0CCC;SaiU0CCC;c:\windows\system32\DRIVERS\SaiU0CCC.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3185377161-463546844-3003989442-1000Core.job
- c:\users\Marcel\AppData\Local\Google\Update\GoogleUpdate.exe [2010-09-24 14:43]
.
2013-05-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3185377161-463546844-3003989442-1000UA.job
- c:\users\Marcel\AppData\Local\Google\Update\GoogleUpdate.exe [2010-09-24 14:43]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - d:\neuer ordner 1.0\ICQ7.5\ICQ.exe
Trusted Zone: clonewarsadventures.com
Trusted Zone: freerealms.com
Trusted Zone: soe.com
Trusted Zone: sony.com
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Marcel\AppData\Roaming\Mozilla\Firefox\Profiles\wonsesbp.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: browser.startup.homepage - hxxp://start.iminent.com/?appId=4D7522E6-5ED6-4B7B-AD5C-0A6FA0E33604
FF - prefs.js: browser.search.selectedEngine - StartWeb
FF - prefs.js: browser.startup.homepage -
FF - prefs.js: browser.search.selectedEngine -
user_pref('extensions.autoDisableScopes', 0);user_pref('security.csp.enable', false);user_pref('security.OCSP.enabled', 0);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
HKCU-Run-EA Core - d:\neuer ordner 1.0\EADM\Core.exe
HKLM-Run-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
AddRemove-1ClickDownload - c:\program files\hdvidcodec.com\uninst.exe
AddRemove-ArmA 2 - d:\spiele\Arma\UnInstall.exe
AddRemove-BattlEye A2 Free - d:\spiele\ArmaBattlEye\UnInstallBE.exe
AddRemove-Steamless Left4Dead Pack - c:\program files\Steamless Left4Dead Pack\uninstall.exe
AddRemove-Steamless Left4Dead2 Pack - c:\program files\Steamless Left4Dead2 Pack\uninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3185377161-463546844-3003989442-1000\Software\SecuROM\License information*]
"datasecu"=hex:d5,b4,0f,13,35,1d,8e,f2,c8,73,8f,54,28,98,e2,9d,0e,1f,ad,b9,60,
a7,f4,96,b3,fa,5a,ae,a6,2c,1e,6d,c3,f9,ac,ce,0a,52,49,51,a4,20,87,d4,9f,e0,\
"rkeysecu"=hex:11,9c,4c,78,ae,8b,6d,8a,54,42,86,c4,5d,48,53,fc
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-05-13 22:29:45
ComboFix-quarantined-files.txt 2013-05-13 20:29
.
Vor Suchlauf: 4.071.567.360 Bytes frei
Nach Suchlauf: 5.039.325.184 Bytes frei
.
- - End Of File - - 77B5C5A7A352537271DD74420532FAC1
|
|
14.05.2013, 11:30
| #8 |
| /// Malware-holic | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Hi,, malwarebytes: Downloade Dir bitte Malwarebytes
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
15.05.2013, 21:46
| #9 |
| | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus So Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.05.14.08 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Marcel :: MARCELS-PC [Administrator] Schutz: Aktiviert 15.05.2013 11:29:42 mbam-log-2013-05-15 (11-29-42).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 606142 Laufzeit: 1 Stunde(n), 25 Minute(n), 24 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\_OTL\MovedFiles.zip (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\_OTL\MovedFiles\05122013_191836\D_Users\Marcel\AppData\Roaming\skype.dat (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. D:\Neuer Ordner 1.0\RemoveWAT.exe (HackTool.Wpakill) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
|
15.05.2013, 21:49
| #10 |
| /// Malware-holic | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus hi D:\Neuer Ordner 1.0\RemoveWAT.exe (HackTool.Wpakill) -> Erfolgreich gelöscht und in Quarantäne gestellt. das ist leider eine illegale software (entfernung der echtheitsprüfung von windows) http://www.trojaner-board.de/95393-c...-software.html kann dir daher nur beim formatieren helfen. sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html[/LIST]2. Formatieren, Windows neu instalieren:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
15.05.2013, 23:14
| #11 |
| | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Oh verdammt, das wusste ich nicht. Ich hab den PC damals nem Bekannten angekauft, mit sowas hab ich nicht gerechnet. Kann man das Programm nicht einfach runterwerfen(bzw. hab ich es damit nicht schon gelöscht) und Windows wie jeder normale Mensch auch aktivieren? Das Ding scheint ja, mal ganz davon abgesehen, dass das illegal ist, auch schädlich zu sein |
|
16.05.2013, 16:27
| #12 |
| /// Malware-holic | Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus Die leute, die illegale Patches erstellen, sind nicht immer auf euer Wohlergehen aus, die verfolgen damit auch Ziehle. Die Regeln sind hier im Forum dazu klar, was meinst du, wie häufig ich solche Sprüche zu hören bekomme :-) also, nein kann dir nur beim neu aufsetzen helfen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Weißer Bildschirm(Bundespolizei) Virus, kein abgesicherter Modus |
| 100%, 32 bit, abgesicherten, anderen, angeblich, angezeigt, betriebssystem, bildschirm, bundespolizei, computer, erkannt, geld, gesperrt, kein abgesicherter modus, modus, netzwerk, neues, problem, recht, scan, seite, sperre, startet, thema, virus, weiße, weißer bildschirm, windows, windows 7 |
WARNUNG an die MITLESER: 
Linear-Darstellung
