Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bundespolizei XP (https://www.trojaner-board.de/103989-bundespolizei-xp.html)

mikaluno 09.10.2011 09:17
Bundespolizei XP
 
Hallo Zusammen,

mein Notebook hat ihn auch. Ich habe ihn nun im abgesichtereten Modus gestartet und das srep.exe von usb gestartet und folgenden Text erhalten. Leider meldet sich die Bundespolizei immer noch. Mit der Suche kam ich jetzt leider nicht weiter. Kann mir bitte jemand helfen. Was muss ich verändern bzw. löschen um den Virus zu entfernen und kein Datenverlust zu erleiden.

Besten Dank

WIN_XP X86Service Pack 3

HKLM\..\Winlogon; Shell = Explorer.exe
No action taken
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run [MsmqIntCert] = regsvr32 /s mqrt.dll
HKLM\..\Run [SoundMAX] = C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
HKLM\..\Run [SynTPEnh] = C:\Programme\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [hpWirelessAssistant] = %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
HKLM\..\Run [QlbCtrl] = %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
HKLM\..\Run [Recguard] = C:\WINDOWS\Sminst\Recguard.exe
HKLM\..\Run [Reminder] = C:\WINDOWS\Creator\Remind_XP.exe
HKLM\..\Run [Scheduler] = C:\WINDOWS\SMINST\Scheduler.exe
HKLM\..\Run [Cpqset] = C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
HKLM\..\Run [WatchDog] = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
HKLM\..\Run [SSBkgdUpdate] = "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
HKLM\..\Run [PaperPort PTD] = C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
HKLM\..\Run [IndexSearch] = C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
HKLM\..\Run [SetDefPrt] = C:\Programme\Brother\Brmfl06b\BrStDvPt.exe
HKLM\..\Run [ControlCenter3] = C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
HKLM\..\Run [Easy-PrintToolBox] = C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
HKLM\..\Run [PCSuiteTrayApplication] = C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
HKLM\..\Run [PTHOSTTR] = C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
HKLM\..\Run [IFXSPMGT] = C:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon
HKLM\..\Run [CognizanceTS] = rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
HKLM\..\Run [AccelerometerSysTrayApplet] = C:\WINDOWS\system32\AccelerometerSt.exe
HKLM\..\Run [AppleSyncNotifier] = C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
HKLM\..\Run [F-Secure Manager] = "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
HKLM\..\Run [F-Secure TNB] = "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
HKLM\..\Run [HP Software Update] = C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
HKLM\..\Run [] =
HKLM\..\Run [SoundMAXPnP] = C:\Programme\Analog Devices\Core\smax4pnp.exe
HKLM\..\Run [IgfxTray] = C:\WINDOWS\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\WINDOWS\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\WINDOWS\system32\igfxpers.exe
HKLM\..\Run [PMBVolumeWatcher] = C:\Programme\Sony\PMB\PMBVolumeWatcher.exe
HKLM\..\Run [DataCardMonitor] = C:\Programme\T-Mobile\web'n'walk Manager\DataCardMonitor.exe
HKLM\..\Run [Adobe ARM] = "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\..\Run [QuickTime Task] = "C:\Programme\QuickTime\qttask.exe" -atboottime
HKLM\..\Run [iTunesHelper] = "C:\Programme\iTunes\iTunesHelper.exe"

HKCU\..\Run [LightScribe Control Panel] = C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
HKCU\..\Run [swg] = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKCU\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run [vasja] = C:\Dokumente und Einstellungen\sch.mi\Desktop\0.1139118074480876.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Winlogon; Shell =
HKU\S-1-5-21-1336738750-2344169985-694698398-1005_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\.DEFAULT\..\Run [Nokia.PCSync] = C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
HKU\.DEFAULT\..\Run [DWQueuedReporting] = "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Run [LightScribe Control Panel] = C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Run [swg] = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-1336738750-2344169985-694698398-1005\..\Run [vasja] = C:\Dokumente und Einstellungen\sch.mi\Desktop\0.1139118074480876.exe
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-18\..\Run [Nokia.PCSync] = C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
HKU\S-1-5-18\..\Run [DWQueuedReporting] = "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t

==== FINISH 09.10-09.48 ====

mikaluno 09.10.2011 12:14
Zwischenbericht:

Nun konnte ich im abgesicherten Modus über regedit unter (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)
durch Löschen der [vasja]0.1139118074480876.exe folgenden Start verhindern:
HKCU\..\Run [vasja] = C:\Dokumente und Einstellungen\sch.mi\Desktop\0.1139118074480876.exe
Danach konnte ich normal neustarten und jetzt ein kompletten Virenscan mit F-Secure starten. Danach werde ich noch ein Antimalware laufen lassen und hoffe letztendlich, dass es damit erledigt ist. :stirn:

Für die Schreiber und Verbreiter dieser Viren, wäre lebenslänglich noch zu wenig! :aufsmaul:

cosinus 10.10.2011 15:03
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


mikaluno 10.10.2011 21:31
Der anschliessende Vollscan mit F-Secure zeigte keine schädlichen Programme. Malwarebyte hatte ich gerade noch aktualisiert und nochmals den Rechner damit gescant. Tatsächlich hat es noch etwas gefunden. siehe aktuelle Log
Aus Sicherheitsgründen werde ich nun die Vollversion der Antimalware kaufen. Nun habe ich den Schreck überwunden und kehre zu meiner eigentlichen Funktion als Anwender zurück. Das mit dem ESET-Scanner könnte mich überfordern und schenke ich mir deshalb. Sollte der Rechner jetzt nochmals infiziert werden und streiken, schmeisse ich ihn gegen die Wand und lass mir ein neuen aufbauen. :kloppen:

Vielen Dank für die gefundenen Infos und vielleicht hilft meine Leidengeschichte einen weiteren Opfer der Verbrecher.

Gruss

Datenbank Version: 7918

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.XXXXXX

10.10.2011 21:57:00
mbam-log-2011-10-10 (21-57-00).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 252588
Laufzeit: 11 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 11.10.2011 09:53
Zitat:
Aus Sicherheitsgründen werde ich nun die Vollversion der Antimalware kaufen
Nett, dass du das Team unterstützen willst, aber die Vollversion extra kaufen ist unnötig.

Zitat:
Art des Suchlaufs: Quick-Scan
Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131