Trojaner-Board - Bundespolizeitrojaner besteht trotz Löschen in Autostart

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bundespolizeitrojaner besteht trotz Löschen in Autostart (https://www.trojaner-board.de/111247-bundespolizeitrojaner-besteht-trotz-loeschen-autostart.html)

Bundespolizeitrojaner besteht trotz Löschen in Autostart

Hallo liebes Trojaner-board Team,

ich gehöre leider auch zu denjenigen, die dem Bundespolizeitrojaner zum Opfer gefallen sind. Ich habe mich natürlich schon belesen und auch die Datei im Ordner Autostart gelöscht, die ziemlich viele Zahlen enthält. Habe sie anschließend auch aus dem Papierkorb gelöscht. Trotzdem öffnet sich bei mir immer wieder dieses Fenster. Ich gehöre zu denen, die leider so gar keine Ahnung von Computer haben, deswegen hoffe ich, dass Ihr mir helfen könnt.

Ich habe auch schon die otl.exe ausgeführt und poste einfach mal die extras und otl files

Danke schonmal im Voraus!

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

F3 - HKCU WinNT: Load - (C:\Users\diana\LOCALS~1\Temp\msegavkyh.exe) - C:\Users\diana\LOCALS~1\Temp\msegavkyh.exe (The GTK developer community)

O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{4ef1930c-4329-11e1-8e18-0c6076a30753}\Shell - "" = AutoRun

O33 - MountPoints2\{4ef1930c-4329-11e1-8e18-0c6076a30753}\Shell\AutoRun\command - "" = C:\Windows\explorer.exe -- [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation)

O33 - MountPoints2\{4ef1930c-4329-11e1-8e18-0c6076a30753}\Shell\explorer\Command - "" = C:\Windows\explorer.exe -- [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation)

:Commands

[purity]

[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Also soll ich den otl fix noch einmal mit gefüllter Textbox im gesichterten Modus beginnen? Wenn ich es im ungesicherte mache,dann erscheint sofort der "Trojaner" und ich kann nicht mehr auf das Programm zugreifen.

Ja genau im abgeischerten Modus.

Jea also geöffnet hat sich diese Seite schon mal nicht. Hier schon mal das Ergebnis vom Fix:
All processes killed
========== OTL ==========
C:\Users\diana\LOCALS~1\Temp\msegavkyh.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\Users\diana\LOCALS~1\Temp\msegavkyh.exe deleted successfully.
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4ef1930c-4329-11e1-8e18-0c6076a30753}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4ef1930c-4329-11e1-8e18-0c6076a30753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4ef1930c-4329-11e1-8e18-0c6076a30753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4ef1930c-4329-11e1-8e18-0c6076a30753}\ not found.
Item C:\Windows\explorer.exe is whitelisted and cannot be moved.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4ef1930c-4329-11e1-8e18-0c6076a30753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4ef1930c-4329-11e1-8e18-0c6076a30753}\ not found.
Item C:\Windows\explorer.exe is whitelisted and cannot be moved.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: diana
->Temp folder emptied: 7380221 bytes
->Temporary Internet Files folder emptied: 41688720 bytes
->Java cache emptied: 141231 bytes
->FireFox cache emptied: 50599454 bytes
->Flash cache emptied: 486 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 17322270 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 112,00 mb

OTL by OldTimer - Version 3.2.36.2 log created on 03102012_233707

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Hm also hier der Logfile von Malwarebytes. Er hat aber nichts gefunden.

Malwarebytes Anti-Malware (Test) 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.03.10.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
diana :: DIANA-PC [Administrator]

Schutz: Aktiviert

10.03.2012 23:45:28
mbam-log-2012-03-10 (23-45-28).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 175632
Laufzeit: 11 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Nun noch Schritt 2 :)

Das war doch Schritt 2 oder? Also Malwarebytes runterladen,aktualisieren, 1xscanen lassen und das Ergebnis hier reinkopieren oder? :)

Jup habs gesehen. Und kannst Du normal starten?

Juhu. Es hat geklappt. Wiederholtes Neustarten führte nicht zu einem Rückfall in alte Terror-Abzock-Warnungen :-)
Ich danke dir 10000x und wünsche dir ein schönes Wochenende :-) Du warst meine Rettung!

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png.
Klicke http://billy-oneal.com/Canned%20Spee...esetExport.png und speichere das Logfile als ESET.txt auf dem Desktop.
Klicke Back und Finish

Bitte poste die Logfile hier.

Hallo,
entschuldige bitte die späte Antwort. Hier das Ergebnis

D:\_OTL\MovedFiles\03102012_233707\C_Users\diana\LOCALS~1\Temp\msegavkyh.exe a variant of Win32/Kryptik.ACDO trojan

Was soll ich jetzt mit dem machen?

Das ist in OTL in Quarantäne. Werden wir noch löschen.

Noch Probleme sonst.

Also an sich ist sonst fast alles in Ordnung. Ich habe nur das Problem, dass wenn ich Musik über die Lautsprecher meines Netbooks oder über Boxen, Kopfhörer etc. höre die Musik manchmal für einen Bruchteil einer Sekunde wie hängen bleibt und ein komisches Geräuch ertönt. Ich glaube, dass das vor dem Trojaner noch nicht war. Kann das irgendwie zusammen hängen?
Danke noch mal für die kompentene Hilfe bisher. Hat mir wirklich super geholfen.
Liebe Grüße

Das kann ich leider nicht sagen. Ist das immer und egal ob es ab CD oder ab PC läuft?