|
Log-Analyse und Auswertung: Bundespolizei XPWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.10.2011, 09:17 | #1 |
| Bundespolizei XP Hallo Zusammen, mein Notebook hat ihn auch. Ich habe ihn nun im abgesichtereten Modus gestartet und das srep.exe von usb gestartet und folgenden Text erhalten. Leider meldet sich die Bundespolizei immer noch. Mit der Suche kam ich jetzt leider nicht weiter. Kann mir bitte jemand helfen. Was muss ich verändern bzw. löschen um den Virus zu entfernen und kein Datenverlust zu erleiden. Besten Dank WIN_XP X86Service Pack 3 HKLM\..\Winlogon; Shell = Explorer.exe No action taken HKCU\..\Winlogon; Shell not found No action taken HKLM\..\Run [MsmqIntCert] = regsvr32 /s mqrt.dll HKLM\..\Run [SoundMAX] = C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray HKLM\..\Run [SynTPEnh] = C:\Programme\Synaptics\SynTP\SynTPEnh.exe HKLM\..\Run [hpWirelessAssistant] = %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe HKLM\..\Run [QlbCtrl] = %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start HKLM\..\Run [Recguard] = C:\WINDOWS\Sminst\Recguard.exe HKLM\..\Run [Reminder] = C:\WINDOWS\Creator\Remind_XP.exe HKLM\..\Run [Scheduler] = C:\WINDOWS\SMINST\Scheduler.exe HKLM\..\Run [Cpqset] = C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe HKLM\..\Run [WatchDog] = C:\Programme\InterVideo\DVD Check\DVDCheck.exe HKLM\..\Run [SSBkgdUpdate] = "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot HKLM\..\Run [PaperPort PTD] = C:\Programme\ScanSoft\PaperPort\pptd40nt.exe HKLM\..\Run [IndexSearch] = C:\Programme\ScanSoft\PaperPort\IndexSearch.exe HKLM\..\Run [SetDefPrt] = C:\Programme\Brother\Brmfl06b\BrStDvPt.exe HKLM\..\Run [ControlCenter3] = C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun HKLM\..\Run [Easy-PrintToolBox] = C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon HKLM\..\Run [PCSuiteTrayApplication] = C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup HKLM\..\Run [PTHOSTTR] = C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start HKLM\..\Run [IFXSPMGT] = C:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon HKLM\..\Run [CognizanceTS] = rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule HKLM\..\Run [AccelerometerSysTrayApplet] = C:\WINDOWS\system32\AccelerometerSt.exe HKLM\..\Run [AppleSyncNotifier] = C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe HKLM\..\Run [F-Secure Manager] = "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash HKLM\..\Run [F-Secure TNB] = "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW HKLM\..\Run [HP Software Update] = C:\Programme\Hp\HP Software Update\HPWuSchd2.exe HKLM\..\Run [] = HKLM\..\Run [SoundMAXPnP] = C:\Programme\Analog Devices\Core\smax4pnp.exe HKLM\..\Run [IgfxTray] = C:\WINDOWS\system32\igfxtray.exe HKLM\..\Run [HotKeysCmds] = C:\WINDOWS\system32\hkcmd.exe HKLM\..\Run [Persistence] = C:\WINDOWS\system32\igfxpers.exe HKLM\..\Run [PMBVolumeWatcher] = C:\Programme\Sony\PMB\PMBVolumeWatcher.exe HKLM\..\Run [DataCardMonitor] = C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe HKLM\..\Run [Adobe ARM] = "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" HKLM\..\Run [QuickTime Task] = "C:\Programme\QuickTime\qttask.exe" -atboottime HKLM\..\Run [iTunesHelper] = "C:\Programme\iTunes\iTunesHelper.exe" HKCU\..\Run [LightScribe Control Panel] = C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden HKCU\..\Run [swg] = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" HKCU\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe HKCU\..\Run [vasja] = C:\Dokumente und Einstellungen\sch.mi\Desktop\0.1139118074480876.exe HKU\.DEFAULT\..\Winlogon; Shell = HKU\S-1-5-20\..\Winlogon; Shell = HKU\S-1-5-20_Classes\..\Winlogon; Shell = HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Winlogon; Shell = HKU\S-1-5-21-1336738750-2344169985-694698398-1005_Classes\..\Winlogon; Shell = HKU\S-1-5-18\..\Winlogon; Shell = HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE HKU\.DEFAULT\..\Run [Nokia.PCSync] = C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog HKU\.DEFAULT\..\Run [DWQueuedReporting] = "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Run [LightScribe Control Panel] = C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Run [swg] = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Run [vasja] = C:\Dokumente und Einstellungen\sch.mi\Desktop\0.1139118074480876.exe HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE HKU\S-1-5-18\..\Run [Nokia.PCSync] = C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog HKU\S-1-5-18\..\Run [DWQueuedReporting] = "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t ==== FINISH 09.10-09.48 ==== |
09.10.2011, 12:14 | #2 |
| Bundespolizei XP Zwischenbericht:
__________________Nun konnte ich im abgesicherten Modus über regedit unter (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) durch Löschen der [vasja]0.1139118074480876.exe folgenden Start verhindern: HKCU\..\Run [vasja] = C:\Dokumente und Einstellungen\sch.mi\Desktop\0.1139118074480876.exe Danach konnte ich normal neustarten und jetzt ein kompletten Virenscan mit F-Secure starten. Danach werde ich noch ein Antimalware laufen lassen und hoffe letztendlich, dass es damit erledigt ist. Für die Schreiber und Verbreiter dieser Viren, wäre lebenslänglich noch zu wenig! |
10.10.2011, 15:03 | #3 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei XP Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
__________________ |
10.10.2011, 21:31 | #4 |
| Bundespolizei XP Der anschliessende Vollscan mit F-Secure zeigte keine schädlichen Programme. Malwarebyte hatte ich gerade noch aktualisiert und nochmals den Rechner damit gescant. Tatsächlich hat es noch etwas gefunden. siehe aktuelle Log Aus Sicherheitsgründen werde ich nun die Vollversion der Antimalware kaufen. Nun habe ich den Schreck überwunden und kehre zu meiner eigentlichen Funktion als Anwender zurück. Das mit dem ESET-Scanner könnte mich überfordern und schenke ich mir deshalb. Sollte der Rechner jetzt nochmals infiziert werden und streiken, schmeisse ich ihn gegen die Wand und lass mir ein neuen aufbauen. Vielen Dank für die gefundenen Infos und vielleicht hilft meine Leidengeschichte einen weiteren Opfer der Verbrecher. Gruss Datenbank Version: 7918 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.XXXXXX 10.10.2011 21:57:00 mbam-log-2011-10-10 (21-57-00).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 252588 Laufzeit: 11 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
11.10.2011, 09:53 | #5 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei XPZitat:
Zitat:
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Bundespolizei XP |
adobe, canon, check, dateien, desktop, dvd, einstellungen, entfernen, fsm, google, ics, internet, launch, löschen, notebook, programme, rundll, rundll32.exe, security, software, srep.exe, suche, system, system32, t-mobile, usb, virus, windows, winlogon |