Trojaner-Board - Bundespolizei-Trojaner in Explorer.exe?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei-Trojaner in Explorer.exe? (https://www.trojaner-board.de/131204-bundespolizei-trojaner-explorer-exe.html)

Avira-Funde:

Code:

Exportierte Ereignisse:
 

22.02.2013 17:36 [System Scanner] Malware gefunden

      Die Datei 'C:\Qoobox\Quarantine\C\ProgramData\roorukwt.exe.vir'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Weelsof.afs' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56c93153.qua' 

      verschoben!
 

22.02.2013 17:36 [System Scanner] Malware gefunden

      Die Datei 'C:\ProgramData\Microsoft\Windows 

      Defender\LocalCopy\{058053CD-7F7F-56BF-FFD0-0EBEAE58D13A}-syshost.exe'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Necurs.A.893' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '571d375c.qua' 

      verschoben!
 

22.02.2013 17:35 [Echtzeit Scanner] Malware gefunden

      In der Datei 'C:\Qoobox\Quarantine\C\ProgramData\roorukwt.exe.vir'

      wurde ein Virus oder unerwünschtes Programm 'TR/Weelsof.afs' [trojan] gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

22.02.2013 17:35 [Echtzeit Scanner] Malware gefunden

      In der Datei 'C:\ProgramData\Microsoft\Windows 

      Defender\LocalCopy\{058053CD-7F7F-56BF-FFD0-0EBEAE58D13A}-syshost.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Necurs.A.893' [trojan] gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

30.01.2013 22:40 [System Scanner] Malware gefunden

      Die Datei 

      'C:\$Recycle.Bin\S-1-5-21-1432394747-3649653104-1402316645-1003\$4309f9b0ac5cf96

      c6244ad96382ab73f\n'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Sirefef.AH' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '540f3d0c.qua' 

      verschoben!
 

30.01.2013 22:39 [Echtzeit Scanner] Malware gefunden

      In der Datei 

      'C:\$Recycle.Bin\S-1-5-21-1432394747-3649653104-1402316645-1003\$4309f9b0ac5cf96

      c6244ad96382ab73f\n'

      wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.AH' [trojan] gefunden.

      Ausgeführte Aktion: Übergeben an Scanner

Das sind Funde aus der Quarantaenen, also harmlos.

Downloade dir bitte

Farbar Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
- Other Services
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hier der Scan:

Code:

Farbar Service Scanner Version: 20-02-2013

Ran by Kevin (ATTENTION: The logged in user is not administrator) on 25-02-2013 at 17:28:27

Running from "D:\Christian\Downloads"

Windows 7 Professional Service Pack 1 (X64)

Boot Mode: Normal

****************************************************************
 

Internet Services:

============
 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Google IP is accessible.

Google.com is accessible.

Yahoo IP is accessible.

Yahoo.com is accessible.
 
 

Windows Firewall:

=============
 

Firewall Disabled Policy: 

==================
 
 

System Restore:

============

SDRSVC Service is not running. Checking service configuration:

The start type of SDRSVC service is OK.

The ImagePath of SDRSVC service is OK.

The ServiceDll of SDRSVC service is OK.
 

VSS Service is not running. Checking service configuration:

The start type of VSS service is OK.

The ImagePath of VSS service is OK.
 
 

System Restore Disabled Policy: 

========================
 
 

Action Center:

============
 

Windows Update:

============
 

Windows Autoupdate Disabled Policy: 

============================
 
 

Windows Defender:

==============
 

Other Services:

==============
 
 

File Check:

========

C:\Windows\System32\nsisvc.dll => MD5 is legit

C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit

C:\Windows\System32\dhcpcore.dll => MD5 is legit

C:\Windows\System32\drivers\afd.sys => MD5 is legit

C:\Windows\System32\drivers\tdx.sys => MD5 is legit

C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit

C:\Windows\System32\dnsrslvr.dll => MD5 is legit

C:\Windows\System32\mpssvc.dll => MD5 is legit

C:\Windows\System32\bfe.dll => MD5 is legit

C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit

C:\Windows\System32\SDRSVC.dll => MD5 is legit

C:\Windows\System32\vssvc.exe => MD5 is legit

C:\Windows\System32\wscsvc.dll => MD5 is legit

C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\System32\wuaueng.dll => MD5 is legit

C:\Windows\System32\qmgr.dll => MD5 is legit

C:\Windows\System32\es.dll => MD5 is legit

C:\Windows\System32\cryptsvc.dll => MD5 is legit

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit

C:\Windows\System32\ipnathlp.dll => MD5 is legit

C:\Windows\System32\iphlpsvc.dll => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\rpcss.dll => MD5 is legit
 
 

**** End of log ****

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Button "Bereinigung"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.