| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner: Bundeskriminalamt InterpolWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.09.2013, 16:37
| #1 |
 |  Trojaner: Bundeskriminalamt Interpol Hallo liebes Trojaner-Team, mein Onkel hat sich auf seinen Windows 7 Rechner den "Bundeskriminalamt-Interpol-Trojaner" geholt. Booten ging zwar, aber nach der Anmeldung ist immer gleich eine Internetseite mit dem Text Bundeskriminalamt etc. erschienen, mit den Hintergrundsymbolen Interpol etc.. Mehr konnte man mit dem Rechner nicht anfangen. Ich bin jetzt nach Eurer Anleitung vorgegangen: http://www.trojaner-board.de/132035-...ml#post1026550 und poste hiermit den frst64-Code-Tag: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-09-2013
Ran by SYSTEM on MININT-F8TF7HM on 12-09-2013 17:08:44
Running from G:\
Windows 7 Professional (X64) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.
==================== Registry (Whitelisted) ==================
HKLM\...\Policies\Explorer: [NoActiveDesktop] 1
HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKU\Frank\...\Run: [RESTART_STICKY_NOTES] - C:\Windows\System32\StikyNot.exe [427520 2009-07-14] (Microsoft Corporation)
HKU\Frank\...\Winlogon: [Shell] explorer.exe,C:\Users\Frank\AppData\Roaming\cache.dat [59904 2011-11-17] () <==== ATTENTION
==================== Services (Whitelisted) =================
==================== Drivers (Whitelisted) ====================
S3 mvusbews; C:\Windows\System32\Drivers\mvusbews.sys [20480 2010-03-06] (Marvell Semiconductor, Inc.)
S3 RTL85n64; C:\Windows\System32\DRIVERS\RTL85n64.sys [2061856 2010-03-23] (Realtek Semiconductor Corporation )
S5 VWiFiFlt; C:\Windows\System32\Drivers\VWiFiFlt.sys [59904 2009-07-14] (Microsoft Corporation)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-09-11 18:27 - 2013-09-12 15:42 - 00000004 _____ C:\Users\Frank\AppData\Roaming\cache.ini
2013-09-11 11:55 - 2013-09-11 11:55 - 00003224 ____N C:\bootsqm.dat
2013-09-10 21:59 - 2013-09-10 21:59 - 00048736 _____ C:\Users\Frank\Downloads\video.hd (1).zip
2013-09-08 12:51 - 2013-09-08 12:51 - 00000359 _____ C:\Users\Frank\Downloads\Papierkorb - Verknüpfung.lnk
2013-09-05 22:36 - 2013-09-05 22:36 - 00142131 _____ C:\Users\Frank\Downloads\VID-20130902-WA0004.mp4
2013-09-02 10:00 - 2013-09-06 12:48 - 00000000 ____D C:\Program Files (x86)\Mozilla Thunderbird
2013-08-29 10:10 - 2013-08-29 10:10 - 00700787 _____ C:\Users\Frank\Downloads\VID-20130827-WA0005 (1) (1).mp4
==================== One Month Modified Files and Folders =======
2013-09-12 16:00 - 2009-07-14 06:08 - 00032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-09-12 16:00 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-09-12 16:00 - 2009-07-14 05:51 - 00130185 _____ C:\Windows\setupact.log
2013-09-12 15:42 - 2013-09-11 18:27 - 00000004 _____ C:\Users\Frank\AppData\Roaming\cache.ini
2013-09-12 15:42 - 2012-04-30 15:54 - 01209108 _____ C:\Windows\WindowsUpdate.log
2013-09-12 15:42 - 2009-07-14 05:45 - 00014448 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-12 15:42 - 2009-07-14 05:45 - 00014448 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-12 15:40 - 2013-04-07 13:09 - 00001104 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-09-11 18:29 - 2013-04-07 13:09 - 00001108 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-09-11 18:25 - 2012-04-30 16:17 - 00000000 ____D C:\Windows\System32\Macromed
2013-09-11 18:25 - 2012-04-30 15:58 - 00000000 ____D C:\users\Frank
2013-09-11 18:25 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\registration
2013-09-11 11:55 - 2013-09-11 11:55 - 00003224 ____N C:\bootsqm.dat
2013-09-10 21:59 - 2013-09-10 21:59 - 00048736 _____ C:\Users\Frank\Downloads\video.hd (1).zip
2013-09-10 07:53 - 2013-06-01 14:07 - 00012833 _____ C:\Users\Frank\Desktop\Ausgaben Ennahmen monatlich (1).xlsx
2013-09-09 18:16 - 2012-04-30 16:17 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-09-09 13:53 - 2013-03-22 08:54 - 02210013 _____ C:\Windows\IE10_main.log
2013-09-08 14:38 - 2009-07-14 18:58 - 00654150 _____ C:\Windows\System32\perfh007.dat
2013-09-08 14:38 - 2009-07-14 18:58 - 00130022 _____ C:\Windows\System32\perfc007.dat
2013-09-08 14:38 - 2009-07-14 06:13 - 01498742 _____ C:\Windows\System32\PerfStringBackup.INI
2013-09-08 12:51 - 2013-09-08 12:51 - 00000359 _____ C:\Users\Frank\Downloads\Papierkorb - Verknüpfung.lnk
2013-09-06 21:57 - 2013-08-06 20:48 - 00000000 ____D C:\Users\Frank\AppData\Roaming\vlc
2013-09-06 14:04 - 2013-05-07 16:09 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-09-06 12:48 - 2013-09-02 10:00 - 00000000 ____D C:\Program Files (x86)\Mozilla Thunderbird
2013-09-05 22:36 - 2013-09-05 22:36 - 00142131 _____ C:\Users\Frank\Downloads\VID-20130902-WA0004.mp4
2013-09-04 09:32 - 2013-04-10 19:38 - 00002183 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2013-08-29 10:10 - 2013-08-29 10:10 - 00700787 _____ C:\Users\Frank\Downloads\VID-20130827-WA0005 (1) (1).mp4
2013-08-20 21:16 - 2012-04-30 16:17 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-08-20 21:16 - 2012-04-30 16:17 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-08-20 21:16 - 2012-04-30 16:17 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-08-14 17:28 - 2013-07-28 22:24 - 00000000 ____D C:\Windows\System32\MRT
2013-08-14 17:27 - 2012-05-14 11:57 - 78161360 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
Files to move or delete:
====================
C:\Users\Frank\AppData\Roaming\cache.dat
C:\Users\Frank\AppData\Roaming\cache.ini
C:\Users\Frank\AppData\Local\Temp\AskSLib.dll
C:\Users\Frank\AppData\Local\Temp\ose00000.exe
C:\Users\Frank\AppData\Local\Temp\siinst.exe
C:\Users\Frank\AppData\Local\Temp\strings.dll
C:\Users\Frank\AppData\Local\Temp\stubhelper.dll
==================== Known DLLs (Whitelisted) ================
==================== Bamital & volsnap Check =================
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
Restore point made on: 2013-09-09 18:52:49
Restore point made on: 2013-09-09 19:56:39
Restore point made on: 2013-09-09 23:08:08
Restore point made on: 2013-09-10 07:53:32
Restore point made on: 2013-09-10 10:26:52
Restore point made on: 2013-09-10 17:29:00
Restore point made on: 2013-09-10 22:46:13
==================== Memory info ===========================
Percentage of memory in use: 24%
Total physical RAM: 2047.3 MB
Available physical RAM: 1550.46 MB
Total Pagefile: 2047.3 MB
Available Pagefile: 1532.86 MB
Total Virtual: 8192 MB
Available Virtual: 8191.88 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:59.96 GB) (Free:28.1 GB) NTFS
Drive e: (Daten) (Fixed) (Total:126.25 GB) (Free:76.56 GB) NTFS
Drive g: () (Removable) (Total:0.06 GB) (Free:0.05 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: () (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 186 GB) (Disk ID: 22132212)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=60 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=126 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (Size: 62 MB) (Disk ID: 012CAB30)
Partition 1: (Active) - (Size=62 MB) - (Type=06)
LastRegBack: 2013-09-01 10:57
==================== End Of Log ============================
Sonnige Grüße Nefatiri |
| Themen zu Trojaner: Bundeskriminalamt Interpol |
| adobe, adobe flash player, appdata, association, booten, explorer, explorer.exe, farbar recovery scan tool, flash player, internetseite, malware.builder.cd, microsoft, mozilla, realtek, rechner, registry, services.exe, svchost.exe, system, system32, temp, trojaner, windows, winlogon, winlogon.exe |
Baum-Darstellung