Trojaner-Board - Polizei-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Polizei-Trojaner (https://www.trojaner-board.de/120209-polizei-trojaner.html)

Polizei-Trojaner

Auf meinem PC wurde heute (23.Juli) der „Polizei-Trojaner“ sichtbar (durch eine sich öffnende Seite mit Aussagen wie: Computer gesperrt, 100 € durch Ukash zahlen …).

Mein PC ist „zweigeteilt“ – vom anderen Teil aus kann ich arbeiten, ins Internet gehen, und auch auf die Dateien des „gesperrten“ Teils zugreifen.

Das hier empfohlene Programm Anti-Malware aktualisierte ich jetzt, dieses scannte alles – aber der Trojaner scheint noch immer hier zu sein. Es wurde entdeckt und in Quarantäne gestellt: Trojan.Agent.Gen, File, C:\Users\***\0.8… lange Zahl! … .exe - und noch ein zweiter, müsste ich komplizierter nachsehen, um ihn anzugeben.)

Ich machte die Schritte in der Anleitung „für alle Hilfesuchenden …“, und lege die gewünschten Logfiles bei: Von Defogger bekam ich nur eine kurze Mitteilung (defogger_disable.log) – eine Fehlermeldung? Hochladen konnte ich sie nicht ("ungültige Datei"), darin steht Folgendes:
fogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:48 on 23/07/2012 (***)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-

Namen ersetzte ich durch *** - aber könnte es sein, dass hier nur der ohnehin nicht „gesperrte“ Teil des PC untersucht wurde? Ich finde hier nur den Namen des „nicht befallenen“ Teils.

Für Hilfe wäre ich sehr dankbar!

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

SRV - [2012.07.18 18:26:06 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MyGuard\MyGuard\MyGuardLpc.SYS -- (MyGuardLpc) 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 

IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

FF - prefs.js..browser.startup.homepage: "about:home" 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 

FF - user.js - File not found 

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found 

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) 

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 

O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 

O32 - HKLM CDRom: AutoRun - 1 
 

[2012.07.23 08:03:20 | 000,000,000 | ---D | C] -- C:\ProgramData\uuhkauueqgziekh 

[2012.07.23 08:03:21 | 000,053,248 | ---- | C] () -- C:\ProgramData\zhncshmw.exe 

[2012.07.23 08:03:17 | 000,000,051 | ---- | C] () -- C:\ProgramData\xmdbpzsjitejdhp 
 

 

:Files
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Vielen Dank für deine Antwort!

Mein Problem scheint bereits behoben zu sein. Ein kompetenter Freund, bei dem ich nicht wusste, ob und wann ich ihn erreichen kann, reagierte noch gestern Abend und bearbeitete über "Team-Viewer".

Ich werde ihn auf deine Antwort hinweisen.

In meinem Fall war die "Zweiteilung" des PC (Aufteilung auf 2 "Benutzer") wertvoll, denn es war nur der eine Teil befallen, und vom anderen Teil aus konnte man gut überall hin "vordringen".

Also bist du weiterhin mit einem verseuchten PC unterwegs?

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.