Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.01.2012, 13:58   #1
Tamu
 
Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun? - Standard

Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun?



Servus Trojaner-Board-Team,

mein Avira Free Antivirus hat gemeldet, dass es "TR/ATRAPS.Gen2" gefunden hat, worauf hin ich auf "entfernen" geklickt habe. Die Meldung kommt aber alle 5-10 Minuten erneut.

Hier mal nen Log dazu:

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 6. Januar 2012 13:10

Es wird nach 3029016 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : TAMU-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 19.10.2011 15:55:49
AVSCAN.DLL : 12.1.0.17 65744 Bytes 19.10.2011 15:56:10
LUKE.DLL : 12.1.0.17 68304 Bytes 19.10.2011 15:55:59
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 17:03:44
AVREG.DLL : 12.1.0.27 227536 Bytes 09.12.2011 20:47:40
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 16:19:30
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 16:21:28
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 16:21:43
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 16:22:09
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 16:22:30
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 16:22:45
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 16:23:11
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 16:23:37
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 16:23:52
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 16:24:18
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 16:24:44
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 16:25:20
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 16:10:02
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 16:09:15
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 16:09:20
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 16:25:20
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 17:22:41
VBASE019.VDF : 7.11.20.140 2048 Bytes 04.01.2012 17:22:41
VBASE020.VDF : 7.11.20.141 2048 Bytes 04.01.2012 17:22:41
VBASE021.VDF : 7.11.20.142 2048 Bytes 04.01.2012 17:22:41
VBASE022.VDF : 7.11.20.143 2048 Bytes 04.01.2012 17:22:41
VBASE023.VDF : 7.11.20.144 2048 Bytes 04.01.2012 17:22:41
VBASE024.VDF : 7.11.20.145 2048 Bytes 04.01.2012 17:22:41
VBASE025.VDF : 7.11.20.146 2048 Bytes 04.01.2012 17:22:41
VBASE026.VDF : 7.11.20.147 2048 Bytes 04.01.2012 17:22:41
VBASE027.VDF : 7.11.20.148 2048 Bytes 04.01.2012 17:22:42
VBASE028.VDF : 7.11.20.149 2048 Bytes 04.01.2012 17:22:42
VBASE029.VDF : 7.11.20.150 2048 Bytes 04.01.2012 17:22:42
VBASE030.VDF : 7.11.20.151 2048 Bytes 04.01.2012 17:22:42
VBASE031.VDF : 7.11.20.171 137728 Bytes 05.01.2012 17:22:41
Engineversion : 8.2.8.18
AEVDF.DLL : 8.1.2.2 106868 Bytes 11.11.2011 19:09:06
AESCRIPT.DLL : 8.1.3.95 479612 Bytes 28.12.2011 16:11:52
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 22:46:02
AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 19:37:40
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 16:25:23
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 16:09:46
AEHEUR.DLL : 8.1.3.14 4260216 Bytes 30.12.2011 16:09:45
AEHELP.DLL : 8.1.18.0 254327 Bytes 11.11.2011 19:07:56
AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 20:47:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.24.3 201079 Bytes 28.12.2011 16:10:51
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 17:03:41
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f06dc67\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 6. Januar 2012 13:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanlu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'THXAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DAODx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Tamu\AppData\Local\1bcf01ff\U\800000cb.@'
C:\Users\Tamu\AppData\Local\1bcf01ff\U\800000cb.@
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ad74902.qua' verschoben!


Ende des Suchlaufs: Freitag, 6. Januar 2012 13:10
Benötigte Zeit: 00:04 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
17 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
16 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Hab mal darauf hin im Internet nbisl gestöbert und mir Malware runtergeladen und laufen lassen. Die Infizierten Fälle die gefunden wurden hab ich dann löschen/bereinigen lassen und hab den Pc neugestartet.

Zitat:
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.06.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Tamu :: TAMU-PC [Administrator]

06.01.2012 12:17:00
mbam-log-2012-01-06 (12-17-00).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 286170
Laufzeit: 16 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\Tamu\AppData\Local\1bcf01ff\X -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Tamu\AppData\Local\Temp\ICReinstall_PDFCreatorSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Downloads\PDFCreatorSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Downloads\Unreal_World_v3_04_keygen_by_Obscure\Unreal_World_v3_04_keygen_by_Obscure.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Programme\CPUCooL\instser.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Da mir Avira immer noch die Meldung raushaut bin ich beim weiteren Suchen auf die Seite hier gestoßen.

Bin dann den Anweisungen in diesem Thread gefolgt:



Hab dann ESET laufen lassen, mit folgendem Ergebnis:

Zitat:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b0f779916c76824b98c7e9a7b2118b97
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-06 12:43:39
# local_time=2012-01-06 01:43:39 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 4817491 4817491 0 0
# compatibility_mode=5893 16776574 66 94 76837 77482037 0 0
# compatibility_mode=8192 67108863 100 0 3743 3743 0 0
# scanned=122206
# found=4
# cleaned=0
# scan_time=1631
C:\Users\Tamu\AppData\Local\1bcf01ff\X Win64/Sirefef.Q trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tamu\AppData\Local\1bcf01ff\U\80000000.@ Win64/Sirefef.P trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tamu\AppData\Local\1bcf01ff\U\800000cf.@ Win64/Sirefef.O trojan (unable to clean) 00000000000000000000000000000000 I
D:\Downloads\SweetImSetup.exe a variant of Win32/SweetIM.B application (unable to clean) 00000000000000000000000000000000 I
Und nun weiß ich nich was ich machen soll, da der nächste Schritt in dem oben genannten Thread nur für das Problem des Erstellers gedacht war.

Ich bedank mich im Vorraus schon mal für jede Form der Hilfe.

Mit freundlichem Gruß

Tamu

Geändert von Tamu (06.01.2012 um 14:04 Uhr)

Alt 06.01.2012, 23:56   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun? - Standard

Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun?



Zitat:
D:\Downloads\Unreal_World_v3_04_keygen_by_Obscure\Unreal_World_v3_04_keygen_by_Obscure.exe


Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________

__________________

Antwort

Themen zu Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun?
.dll, 800000cb.@, administrator, antivirus, autostart, avira, backdoor.agent, dateisystem, desktop, downloader, entfernen, escan, explorer, heuristiks/extra, heuristiks/shuriken, icreinstall, infizierte, internet, keygen, log, malware, malwarebytes, microsoft, modul, namen, nt.dll, problem, programm, prozesse, software, temp, win32/sweetim.b, windows




Ähnliche Themen: Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun?


  1. Malwarebytes meldet "Trojan.Agent.Ed"
    Plagegeister aller Art und deren Bekämpfung - 18.04.2015 (17)
  2. Mein Laptop soll vom "Dealfinder" und vom "HolenMediaPlayer" bereinigt werden
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (7)
  3. SPAM-Vorwurf durch Internet-Anbieter / "Malwarebytes Anti-Malware"-Abstürze / Nachfrage zu "Secunia PSI"
    Log-Analyse und Auswertung - 30.08.2013 (17)
  4. "csrss.exe" und "winlogon.exe" möglicherweise Infiziert
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (3)
  5. Malwarebytes findet "Trojan.Agent" - dieser ist aber nach löschen jedesmal wieder da
    Plagegeister aller Art und deren Bekämpfung - 01.01.2013 (14)
  6. Backdoor-Server "BDS/Agent.58368.3"
    Plagegeister aller Art und deren Bekämpfung - 06.11.2012 (1)
  7. Backdoor.Agent in HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell
    Plagegeister aller Art und deren Bekämpfung - 28.01.2012 (13)
  8. Malwarebytes kann Winlogon\Shell (Backdoor.Agent) nicht löschen
    Log-Analyse und Auswertung - 30.10.2011 (22)
  9. Malwarebytes Antimalware findet "Trojan.Agent", MBAM/OTL Logs mit dabei
    Log-Analyse und Auswertung - 24.06.2011 (1)
  10. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  11. "Recovery"- und"Bundeskriminalamt"-Malware; Rkill und Malwarebytes öffnen sich nicht
    Plagegeister aller Art und deren Bekämpfung - 29.05.2011 (9)
  12. "Recovery"- und"Bundeskriminalamt"-Malware; Rkill und Malwarebytes öffnen sich nicht
    Antiviren-, Firewall- und andere Schutzprogramme - 29.05.2011 (2)
  13. Wie soll ich "HTML/Rce.gen" in "\Firefox\Profiles\p2hadvdz.default\Cache" entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2011 (1)
  14. Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor"
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (9)
  15. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  16. Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
    Plagegeister aller Art und deren Bekämpfung - 25.03.2008 (22)
  17. "Backdoor BDS/Agent.AY"
    Log-Analyse und Auswertung - 13.12.2004 (4)

Zum Thema Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun? - Servus Trojaner-Board-Team, mein Avira Free Antivirus hat gemeldet, dass es "TR/ATRAPS.Gen2" gefunden hat, worauf hin ich auf "entfernen" geklickt habe. Die Meldung kommt aber alle 5-10 Minuten erneut. Hier mal - Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun?...
Archiv
Du betrachtest: Malwarebytes hat "Winlogon|Shell (Backdoor.Agent)" - Was soll ich tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.