![]() |
bundespolizei verschlüsselungs-Trojaner explorer.exe Hallo, ich habe mir vor ein paar Tagen den Bundespolizei Verschlüsselungs-Trojaner durch wegklicken einer Anzeige auf einer internetseite eingefangen.. Im abgesicherten Modus kann ich noch alle Dateien öffnen (Bilder, Musik, etc.) Eine Internetverbindung lässt er nicht zu. Ich habe Windows7. Ich habe im Netz mal geschaut was es dazu gibt. Dabei habe ich diese Seite gefunden: hxxp://www.redirect301.de/bundespolizei-trojaner-entfernen.html Wie empfohlen habe ich zunächst im Abgesicherten Modus mit Eingabeaufforderung in der Windows-Registry geschaut. Dort soll man sich bis zu diesem Verzeichnis durchklicken: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Im Shell Schlüssel steht hier: explorer.exe Für diesen Fall wird empfohlen, die explorer.exe auszutauschen. Bevor ich mich allerdings daran mache, möchte ich gerne wissen ob das für meine Trojaner Version so korrekt ist. Ich habe nun die hier im Forum angegebenen Schritte durchgeführt und einen Scan mit Malwarebytes Anti-Malware gemacht. Es wurde 1 Trojaner gefunden. Diesen habe ich in Qarantäne geschoben. Hier ist das dazugehörende Logfile: Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.04.08 Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus) Internet Explorer 8.0.7601.17514 marco :: MS1 [Administrator] 16.06.2012 18:14:28 mbam-log-2012-06-16 (18-14-28).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 189933 Laufzeit: 8 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\marco\9.014712278232473E-5.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Was empfehlt ihr mir zu tun? Vielen Dank. Viele Grüße, msuess |
Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Abgesicherter Modus zur Bereinigung
|
Hallo Arne, Ja, habe ich eben ausprobiert. Die Internetverbindung im abgesicherten Modus mit Netzwerktreibern funktioniert ausgezeichnet. Hmmm, hätte ich mir ne Menge Arbeit sparen können.. :-) Was schlägst Du vor? Grüße, Marco |
Wenn dieser Modus funktioniert, kannst du erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Gut, alles gescannt. Hier sind die Logs. Malwarebytes Vollscan: [code] Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.30.05 Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 8.0.7601.17514 marco :: MS1 [Administrator] 30.06.2012 22:00:55 mbam-log-2012-06-30 (22-00-55).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 322295 Laufzeit: 59 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|igpxipqexwnfres (Trojan.WinLock) -> Daten: C:\ProgramData\igpxipqe.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\ProgramData\igpxipqe.exe (Trojan.WinLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\crtsumek.exe (Trojan.WinLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\xrcneeqr.exe (Trojan.WinLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) [\code] Hier der ESET Online Scanner: [code] ESETSmartInstaller@High as downloader log: all ok [\code] Und hier noch der erste Malwarebytes Qick Scan, den ich zu Beginn gemacht habe und weiter oben gepostet hatte: [code] Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.04.08 Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus) Internet Explorer 8.0.7601.17514 marco :: MS1 [Administrator] 16.06.2012 18:14:28 mbam-log-2012-06-16 (18-14-28).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 189933 Laufzeit: 8 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\marco\9.014712278232473E-5.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) [\code] Grüße, Marco |
Abschließende Tags werden mit einem Slash und nicht einem Backslash geschrieben ESET hast du wahrscheinlich falsch gemacht, da gab es extra einen dicken Hinweis zu Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen |
Ok, next try. ESET hatte ich falsch ausgeführt, stimmt. Hier noch einmal die logs. Ich hoffe so passt alles.. Malwarebytes Code:
Code: ESET Code: Viele Grüße, Marco |
Beträgt deine Reaktionszeit immer zwei Wochen, hast du so wenig Zeit? :confused: |
Hahahaha. nee, ganz so schlimm ist es nicht.. :-) Ich war im Urlaub, musste auch mal sein. Aber gut wieder hier zu sein, war eh viel zu heiß.. ;-) Was sagst Du denn zu den logs? Grüße, Marco |
Nach fast drei Wochen würde ich gern neue Vollscans mit Malwarebytes und ESET sehen |
Ok, alles klar. Hab nochmal Malwarebytes durchlaufen lassen.. Der ESET scan ist von Sonntag, also von vor 3 Tagen. ESET, 15.7.: Code:
Hier der Malwarebytes Scan von heute, 18.7.: Code:
Hier nochmal die ältere Malwarebytes Version vom 30.6.: Code:
Danke nochmal für die Unterstützung. Grüße, Marco |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board