Interpol - Virus -Rechnerzugriff ist nicht mehr möglich

timsche · 07.03.2014, 12:51

Hallo zusammen,
ich habe es geschafft das Notebook meiner Freundin mit dem Interpol - Virus zu infizieren.

Ich erhalte nach der Systemanmeldung einen Bildschirm mit dem Himweis 100€ zu zahlen etc.
Es handelt sich um ein 64Bit Windows7 System.
Meine Freundin reist mir den Kopf ab, wenn ich das Teil neu aufsetzen muß. Gibt es eine andere Möglichkeit???
Für eine Hilfestellung möchte ich mich vorab bedanken!
timsche

schrauber · 07.03.2014, 13:08

hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

timsche · 07.03.2014, 13:25

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 07-03-2014
Ran by SYSTEM on MININT-I014J3O on 07-03-2014 12:14:37
Running from F:\
Windows 7 Professional (X64) OS Language: Spanish Modern Sort
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.




==================== Registry (Whitelisted) ==================

HKLM-x32\...\Run: [ATKOSD2] - C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [6998656 2009-10-26] (ASUS)
HKLM-x32\...\Run: [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe [170624 2009-08-19] (ASUS)
HKLM-x32\...\Run: [HControlUser] - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe [105016 2009-06-19] (ASUS)
HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [689744 2014-02-20] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKU\Cel\...\Run: [DAEMON Tools Pro Agent] - C:\Program Files (x86)\DAEMON Tools Pro\DTAgent.exe [3108480 2012-10-23] (DT Soft Ltd)
HKU\Cel\...\Run: [Akamai NetSession Interface] - "C:\Users\Cel\AppData\Local\Akamai\netsession_win.exe"
Startup: C:\Users\Cel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9bni24o.lnk
ShortcutTarget: 9bni24o.lnk -> C:\ProgramData\o42inb9.cpp (Microsoft Corporation)

==================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
S2 Winmgmt; C:\ProgramData\9bni24o.zvv [332540 2014-03-07] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [303616 2014-01-01] ()
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-18] (Avira Operations GmbH & Co. KG)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-18] (Avira Operations GmbH & Co. KG)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-11-28] (Avira Operations GmbH & Co. KG)
S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2012-11-06] (DT Soft Ltd)
S2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [35328 2014-01-01] ()
S3 SNP2UVC; C:\Windows\System32\DRIVERS\snp2uvc.sys [1799680 2009-08-12] ()
S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [X]
S3 catchme; \??\C:\Users\Cel\AppData\Local\Temp\catchme.sys [X]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-03-07 12:14 - 2014-03-07 12:14 - 00000000 ____D () C:\FRST
2014-03-07 11:06 - 2014-03-07 11:08 - 95027928 ____T () C:\ProgramData\9bni24o.fee
2014-03-07 11:06 - 2014-03-07 11:06 - 00332540 ____T (Microsoft Corporation) C:\ProgramData\9bni24o.zvv
2014-03-07 11:06 - 2014-03-07 11:06 - 00146473 _____ (Microsoft Corporation) C:\ProgramData\o42inb9.cpp
2014-03-05 17:43 - 2014-03-05 17:43 - 00000726 _____ () C:\Users\Cel\.recently-used.xbel
2014-03-05 07:47 - 2014-03-05 11:14 - 09991218 _____ () C:\Users\Cel\Desktop\Absolute measurement of the polarization5.pptx
2014-03-05 00:24 - 2014-03-05 07:01 - 09343395 _____ () C:\Users\Cel\Downloads\Absolute measurement of the polarization4.pptx
2014-03-03 11:39 - 2014-03-03 11:41 - 10299352 _____ (Design Science, Inc.) C:\Users\Cel\Downloads\InstallMTW6.9.exe
2014-03-02 20:26 - 2014-03-02 20:26 - 00000000 ____D () C:\Users\Cel\Desktop\2014
2014-03-02 18:20 - 2014-03-02 18:31 - 00000000 ____D () C:\Users\Cel\Desktop\Altweiber 2014
2014-03-02 17:06 - 2014-03-02 17:06 - 00000000 ___RD () C:\Program Files (x86)\Skype
2014-03-02 17:06 - 2014-03-02 17:06 - 00000000 ____D () C:\Users\Cel\AppData\Local\Skype
2014-02-15 11:40 - 2014-02-15 11:40 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox

==================== One Month Modified Files and Folders =======

2014-03-07 12:14 - 2014-03-07 12:14 - 00000000 ____D () C:\FRST
2014-03-07 11:36 - 2009-07-14 05:45 - 00014032 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-03-07 11:36 - 2009-07-14 05:45 - 00014032 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-03-07 11:34 - 2012-11-05 14:01 - 01589995 _____ () C:\Windows\WindowsUpdate.log
2014-03-07 11:28 - 2013-06-09 00:00 - 00024316 _____ () C:\Windows\setupact.log
2014-03-07 11:28 - 2013-03-31 11:45 - 00001100 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2014-03-07 11:28 - 2012-11-05 14:09 - 00000000 ____D () C:\ProgramData\NVIDIA
2014-03-07 11:28 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-03-07 11:10 - 2013-03-31 11:45 - 00001104 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2014-03-07 11:08 - 2014-03-07 11:06 - 95027928 ____T () C:\ProgramData\9bni24o.fee
2014-03-07 11:06 - 2014-03-07 11:06 - 00332540 ____T (Microsoft Corporation) C:\ProgramData\9bni24o.zvv
2014-03-07 11:06 - 2014-03-07 11:06 - 00146473 _____ (Microsoft Corporation) C:\ProgramData\o42inb9.cpp
2014-03-07 10:54 - 2012-11-06 06:32 - 00000838 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-03-07 09:36 - 2012-11-08 04:12 - 00000000 ____D () C:\Users\Cel\AppData\Roaming\vlc
2014-03-07 07:41 - 2009-07-14 10:31 - 00735312 _____ () C:\Windows\System32\perfh00A.dat
2014-03-07 07:41 - 2009-07-14 10:31 - 00157422 _____ () C:\Windows\System32\perfc00A.dat
2014-03-07 07:41 - 2009-07-14 06:13 - 01671268 _____ () C:\Windows\System32\PerfStringBackup.INI
2014-03-05 17:43 - 2014-03-05 17:43 - 00000726 _____ () C:\Users\Cel\.recently-used.xbel
2014-03-05 17:43 - 2012-11-05 14:05 - 00000000 ____D () C:\users\Cel
2014-03-05 11:14 - 2014-03-05 07:47 - 09991218 _____ () C:\Users\Cel\Desktop\Absolute measurement of the polarization5.pptx
2014-03-05 07:01 - 2014-03-05 00:24 - 09343395 _____ () C:\Users\Cel\Downloads\Absolute measurement of the polarization4.pptx
2014-03-03 11:41 - 2014-03-03 11:39 - 10299352 _____ (Design Science, Inc.) C:\Users\Cel\Downloads\InstallMTW6.9.exe
2014-03-02 20:33 - 2012-11-06 21:50 - 00002024 ____H () C:\Users\Cel\Documents\Default.rdp
2014-03-02 20:26 - 2014-03-02 20:26 - 00000000 ____D () C:\Users\Cel\Desktop\2014
2014-03-02 19:28 - 2012-11-05 20:02 - 00000000 ____D () C:\Users\Cel\AppData\Roaming\Skype
2014-03-02 19:12 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\System32\NDF
2014-03-02 18:32 - 2014-01-18 14:37 - 00000000 ____D () C:\Users\Cel\Downloads\Great Writing,Grammar, Words, Phrases, Sentences, and Paragraphs (Books Pack)-Mantesh
2014-03-02 18:31 - 2014-03-02 18:20 - 00000000 ____D () C:\Users\Cel\Desktop\Altweiber 2014
2014-03-02 17:06 - 2014-03-02 17:06 - 00000000 ___RD () C:\Program Files (x86)\Skype
2014-03-02 17:06 - 2014-03-02 17:06 - 00000000 ____D () C:\Users\Cel\AppData\Local\Skype
2014-03-02 17:06 - 2012-11-05 20:02 - 00000000 ____D () C:\ProgramData\Skype
2014-02-21 08:28 - 2012-11-06 06:32 - 00003776 _____ () C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-02-21 08:28 - 2012-11-05 15:00 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-02-21 08:28 - 2012-11-05 15:00 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-02-21 07:05 - 2013-03-31 11:45 - 00004100 _____ () C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2014-02-21 07:05 - 2013-03-31 11:45 - 00003848 _____ () C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore
2014-02-18 11:05 - 2012-11-17 11:53 - 00000000 ____D () C:\Program Files (x86)\Steam
2014-02-16 20:18 - 2012-11-06 06:27 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2014-02-15 11:40 - 2014-02-15 11:40 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox

Files to move or delete:
====================
C:\ProgramData\9bni24o.fee
C:\ProgramData\9bni24o.zvv


Some content of TEMP:
====================
C:\Users\Cel\AppData\Local\Temp\AcDeltree.exe
C:\Users\Cel\AppData\Local\Temp\avgnt.exe
C:\Users\Cel\AppData\Local\Temp\FNP_ACT_InstallerCA.dll
C:\Users\Cel\AppData\Local\Temp\jre-7u25-windows-i586-iftw.exe
C:\Users\Cel\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
C:\Users\Cel\AppData\Local\Temp\sdanircmdc.exe
C:\Users\Cel\AppData\Local\Temp\sdapskill.exe
C:\Users\Cel\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Cel\AppData\Local\Temp\Uninstall.exe


==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2014-01-18 15:50:02
Restore point made on: 2014-01-26 11:41:22
Restore point made on: 2014-02-21 09:09:47

==================== Memory info =========================== 

Percentage of memory in use: 14%
Total physical RAM: 4095.27 MB
Available physical RAM: 3518.13 MB
Total Pagefile: 4093.42 MB
Available Pagefile: 3515.05 MB
Total Virtual: 8192 MB
Available Virtual: 8191.86 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:283.44 GB) (Free:130.24 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive e: () (Removable) (Total:1.84 GB) (Free:1.67 GB) FAT
Drive f: () (Removable) (Total:0.96 GB) (Free:0.77 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: 76692CA8)
Partition 1: (Not Active) - (Size=15 GB) - (Type=1C)
Partition 2: (Active) - (Size=283 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 2 GB) (Disk ID: 00000000)

Partition: GPT Partition Type.

========================================================
Disk: 2 (Size: 980 MB) (Disk ID: A9C5CC99)

Partition: GPT Partition Type.


LastRegBack: 2014-02-21 09:02

==================== End Of Log ============================

--- --- ---

schrauber · 08.03.2014, 13:23

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

Startup: C:\Users\Cel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9bni24o.lnk
ShortcutTarget: 9bni24o.lnk -> C:\ProgramData\o42inb9.cpp (Microsoft Corporation)
S2 Winmgmt; C:\ProgramData\9bni24o.zvv [332540 2014-03-07] (Microsoft Corporation)
2014-03-07 11:06 - 2014-03-07 11:08 - 95027928 ____T () C:\ProgramData\9bni24o.fee
2014-03-07 11:06 - 2014-03-07 11:06 - 00332540 ____T (Microsoft Corporation) C:\ProgramData\9bni24o.zvv
2014-03-07 11:06 - 2014-03-07 11:06 - 00146473 _____ (Microsoft Corporation) C:\ProgramData\o42inb9.cpp

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Rechner normal starten.

timsche · 10.03.2014, 11:13

Hallo Schrauber, hier ist der gewünschte Logfile,
Beste Grüße, timsche

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 07-03-2014
Ran by SYSTEM at 2014-03-10 11:11:54 Run:1
Running from E:\
Boot Mode: Recovery
==============================================

Content of fixlist:
*****************
Startup: C:\Users\Cel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9bni24o.lnk
ShortcutTarget: 9bni24o.lnk -> C:\ProgramData\o42inb9.cpp (Microsoft Corporation)
S2 Winmgmt; C:\ProgramData\9bni24o.zvv [332540 2014-03-07] (Microsoft Corporation)
2014-03-07 11:06 - 2014-03-07 11:08 - 95027928 ____T () C:\ProgramData\9bni24o.fee
2014-03-07 11:06 - 2014-03-07 11:06 - 00332540 ____T (Microsoft Corporation) C:\ProgramData\9bni24o.zvv
2014-03-07 11:06 - 2014-03-07 11:06 - 00146473 _____ (Microsoft Corporation) C:\ProgramData\o42inb9.cpp
*****************

C:\Users\Cel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9bni24o.lnk => Moved successfully.
C:\ProgramData\o42inb9.cpp => Moved successfully.
Winmgmt => Service restored successfully.
C:\ProgramData\9bni24o.fee => Moved successfully.
C:\ProgramData\9bni24o.zvv => Moved successfully.
"C:\ProgramData\o42inb9.cpp" => File/Directory not found.

==== End of Fixlog ====

schrauber · 11.03.2014, 08:44

Startet der Rechner normal?

11.03.2014, 08:44	#6
schrauber /// the machine /// TB-Ausbilder	Interpol - Virus -Rechnerzugriff ist nicht mehr möglich Startet der Rechner normal? __________________ --> Interpol - Virus -Rechnerzugriff ist nicht mehr möglich

Interpol - Virus -Rechnerzugriff ist nicht mehr möglich

Log-Analyse und Auswertung: Interpol - Virus -Rechnerzugriff ist nicht mehr möglich