|
Log-Analyse und Auswertung: Bundespolizei TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.12.2011, 14:34 | #1 |
| Bundespolizei Trojaner Mein Problem ist folgendes: Habe den Bundespolizei-Trojaner auf meinem Notebook. Betriebssystem ist Windows 7. Habe einen zweiten Rechner für Downloads zur Verfügung. Habe bereits srep.exe durchgeführt und das ist die shell.txt: WIN_7 X64 Running from G:\ HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ] . . . HKCU\..\Winlogon; Shell not found . [System Process] System smss.exe csrss.exe wininit.exe csrss.exe winlogon.exe services.exe lsass.exe lsm.exe svchost.exe svchost.exe svchost.exe svchost.exe svchost.exe svchost.exe cmd.exe conhost.exe ctfmon.exe srep.exe HKLM\..\Run [GrooveMonitor] = "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" HKLM\..\Run [NeroFilterCheck] = C:\Windows\SysWOW64\NeroCheck.exe HKLM\..\Run [Adobe ARM] = "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" HKLM\..\Run [NokiaMServer] = C:\Program Files (x86)\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup HKLM\..\Run [CanonSolutionMenuEx] = C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE /logon HKLM\..\Run [APSDaemon] = "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" HKLM\..\Run [avgnt] = "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min HKLM\..\Run [QuickTime Task] = "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime HKCU\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun HKCU\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" HKCU\..\Run [DAEMON Tools Lite] = "E:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun HKCU\..\Run [Total CMA Pack] = E:\Programme\Dodatki\Total CMA Pack\Total CMA Pack.exe HKU\.DEFAULT\..\Winlogon; Shell = HKU\S-1-5-19\..\Winlogon; Shell = HKU\S-1-5-20\..\Winlogon; Shell = HKU\S-1-5-21-107336669-2272466626-270968728-1001\..\Winlogon; Shell = HKU\S-1-5-21-107336669-2272466626-270968728-1001_Classes\..\Winlogon; Shell = HKU\S-1-5-18\..\Winlogon; Shell = HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-107336669-2272466626-270968728-1001\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun HKU\S-1-5-21-107336669-2272466626-270968728-1001\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" HKU\S-1-5-21-107336669-2272466626-270968728-1001\..\Run [DAEMON Tools Lite] = "E:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-107336669-2272466626-270968728-1001\..\Run [Total CMA Pack] = E:\Programme\Dodatki\Total CMA Pack\Total CMA Pack.exe x64 HKLMx64\..\Winlogon; Shell = explorer.exe [ 2870272- ] No action taken HKCUx6464\..\Winlogon; Shell = No action taken HKLMx64\..\Winlogon, Shell = explorer.exe HKCUx64\..\Winlogon, Shell = ==== FINISH 01.12-14.20 ==== Gruß Mary |
01.12.2011, 15:26 | #2 |
/// Malware-holic | Bundespolizei Trojaner Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:
__________________Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD. Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Bebilderte Anleitung: OTLpe-Scan
__________________ |
01.12.2011, 17:47 | #3 |
| Bundespolizei Trojaner Also ich bin ja nicht völlig auf den Kopf gefallen, jedoch kann ich weder mit Active Iso Burn, noch mit CDBurnerXP, die OTLPENet.exe, als .iso brennen, da es eine .exe und keine .iso ist. dadurch erkennen beide brennprogramme es nicht als .iso an. Was mache ich nun, wie bekomme ich die OTLPENet.exe in eine .iso umgewandelt?
__________________Der CDBurnerXP kann zwar in .iso konvertieren, jedoch nur .bin und .nrg. Habe durch nen Tipp nun ein Programm gefunden, mit dem ich .iso erstellen kann. Weiter geht's. Geändert von MaryJay (01.12.2011 um 18:15 Uhr) |
01.12.2011, 18:15 | #4 |
/// Malware-holic | Bundespolizei Trojaner einfach die OTLPENet.exe doppelklicken, isoburner öffnet sich, dann die datei brennen und es sollte passen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
01.12.2011, 18:30 | #5 | |
| Bundespolizei TrojanerZitat:
Versuche es nochmal zu brennen und melde mich dann, wie es aussieht. --> REATOGO-X-PE läuft :-) Geändert von MaryJay (01.12.2011 um 18:37 Uhr) |
01.12.2011, 18:31 | #6 |
/// Malware-holic | Bundespolizei Trojaner hi, drücke mal beim start f12, dort solltest du ins boot menü kommen dort cd bzw dvd laufwerk wählen und dann sollte es gehen
__________________ --> Bundespolizei Trojaner |
01.12.2011, 19:00 | #7 |
| Bundespolizei Trojaner Habe nun den REATOGO-X-PE Desktop, wenn ich jedoch das OTLPE Icon anklicke, möchte er von mir wissen "Browese for Folder" --> "Choose Windows Directory". Was muss ich da nun auswählen? |
01.12.2011, 19:05 | #8 |
/// Malware-holic | Bundespolizei Trojaner arbeitsplatz bzw computer, dort nacheinander die laufwerke aufklappen und den ordner windows wählen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
01.12.2011, 19:16 | #9 |
| Bundespolizei Trojaner Wie bekomme ich den CODE von einem PC auf den Infizierten kopiert? Vielleicht hast du nen schnellen Tipp. Habe auf dem infizierten Notebook keine Internetverbindung. |
01.12.2011, 19:18 | #10 |
/// Malware-holic | Bundespolizei Trojaner mit nem stick, dort als txt speichern, am infizierten pc öffnen und den code dann einfügen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
01.12.2011, 19:31 | #11 |
| Bundespolizei Trojaner Dsa System zeigt mir keinen Stick oder irgendein anderes Speichermedium (SD Card) an, obwohl der rechner die erkennt. Habe ein bisschen rumgetrickst. Über Notepad hat er den Zielordner dann doch gefunden. |
01.12.2011, 19:49 | #12 |
| Bundespolizei Trojaner Wie lange dauert so ein SCAN? Ähnlich lange, wie eine kompletter System-Scan mit Antivir? |
01.12.2011, 19:49 | #13 |
/// Malware-holic | Bundespolizei Trojaner kommt drauf an, kann aber ne weile dauern
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
01.12.2011, 20:20 | #14 |
| Bundespolizei Trojaner Also wenn der Scan heute nochmal fertig wird, poste ich es hier und ich denke, dann geht's morgen weiter...!? |
01.12.2011, 21:02 | #15 |
| Bundespolizei Trojaner Der Scan läuft nun schon fast 1 1/2 Stunden. ist das noch NORMAL? Wann wäre der Punkt erreicht das abzubrechen UND ist das ok das abzubrechen und nochmal zu versuchen? |
Themen zu Bundespolizei Trojaner |
adobe, antivir, avg, avgnt, avira, betriebssystem, boot, c:\windows, desktop, explorer.exe, files, folge, lib, microsoft, nmbgmonitor.exe, office, problem, process, programme, rechner, shell.txt, sidebar, srep.exe, tools, total, trojane, trojaner, windows, winlogon |