Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bundespolizei-Trojaner shell.txt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.09.2011, 21:59   #1
firlefanz
 
Bundespolizei-Trojaner shell.txt - Standard

Bundespolizei-Trojaner shell.txt



herzlichen dank für srep.exe

brav habe ich die anweisungen aus dem nachbarthread (leicht modifiziert) befolgt und bräuchte nun eure hilfe bezüglich der auswertung... ich habe keine ahnung, was nun zu tun ist. dankesehr.

also hier das ergebnis:
WIN_XP X86

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\Systemroot\Anwendungsdaten\jashla.exe
File C:\Dokumente und Einstellungen\Systemroot\Anwendungsdaten\jashla.exe moved to F:\ infected or not found
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run[NeroFilterCheck] = C:\WINDOWS\system32\NeroCheck.exe
HKLM\..\Run[CoolSwitch] = C:\WINDOWS\system32\taskswitch.exe
HKLM\..\Run[ccApp] = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
HKLM\..\Run[vptray] = C:\PROGRA~1\SYMANT~1\VPTray.exe
HKLM\..\Run[Easy-PrintToolBox] = C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
HKLM\..\Run[SunJavaUpdateSched] = "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
HKLM\..\Run[PinnacleDriverCheck] = C:\WINDOWS\system32\\PSDrvCheck.exe
HKLM\..\Run[ISUSPM] = "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
HKLM\..\Run[QuickTime Task] = "C:\Programme\QuickTime\qttask.exe" -atboottime
HKLM\..\Run[RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run[Alcmtr] = ALCMTR.EXE
HKLM\..\Run[Adobe Reader Speed Launcher] = "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM\..\Run[WD Button Manager] = WDBtnMgr.exe
HKLM\..\Run[TkBellExe] = "c:\programme\real\realplayer\update\realsched.exe" -osboot
HKLM\..\Run[igfxtray.exe] = C:\Programme\Media\Poker\Patch.exe

HKCU\..\Run[CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run[MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background
HKCU\..\Run[] =
HKCU\..\Run[StartCCC] = C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
HKCU\..\Run[Nokia.PCSync] = "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
HKCU\..\Run[PC Suite Tray] = "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray

HKU\.DEFAULT\Winlogon; Shell =
HKU\S-1-5-20\Winlogon; Shell =
HKU\S-1-5-20_Classes\Winlogon; Shell =
HKU\S-1-5-21-73586283-1417001333-839522115-500\Winlogon; Shell =
HKU\S-1-5-21-73586283-1417001333-839522115-500_Classes\Winlogon; Shell =
HKU\S-1-5-18\Winlogon; Shell =

hallo,
lasse gerade malewarebytes laufen und würde danach ESET laufen lassen wollen, bin aber überfordert bezüglich der folgenden anweisung: "Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten."
ich weiß gar nicht, wie das geht... glaube, mein router hat eine firewall... deaktiviere ich scriptblocking im browser (firefox)?
bitte um antwort. danke.

lg

und was bitte ist OTL? *verzweifel*

habe inzwischen ein ESET-log erstellt:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=a5eb6128d511804596d200cc318394e6
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-04 11:14:49
# local_time=2011-09-05 01:14:49 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 97221705 97221705 0 0
# compatibility_mode=8192 67108863 100 0 243 243 0 0
# scanned=148542
# found=5
# cleaned=0
# scan_time=7132
C:\Dokumente und Einstellungen\Systemroot\Eigene Dateien\Downloads\DivX Pro (incl. DivX Player) 6.6.2 for Windows Incl Keygen\divX pro 6.6.2.iso a variant of Win32/Keygen.AJ application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Systemroot\Eigene Dateien\Downloads\Keygens,Cracks,Registry Cracks And Serials Pack\Encore DVD 2.0.exe.vir a variant of Win32/Keygen.AO application (unable to clean) 00000000000000000000000000000000 I
C:\personal\download\s2k_serials2k71.zip.vir a variant of Win32/Dialer.StarDialer application (unable to clean) 00000000000000000000000000000000 I
C:\personal\download\install\fxsound_plugin\cr-dx5wp.zip.vir probably a variant of Win32/Agent.IIGNGFJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\personal\download\install\fxsound_plugin\Gmwz.DFX_v5.0_For_Winamp_cr-dx5wp.zip.vir probably a variant of Win32/Agent.IIGNGFJ trojan (unable to clean) 00000000000000000000000000000000 I

(und eines über malwarebytes, da aber auch gleich alles löschen lassen:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7651

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

04.09.2011 23:02:42
mbam-log-2011-09-04 (23-02-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|F:\|)
Durchsuchte Objekte: 329130
Laufzeit: 46 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{E81CF86B-F683-422A-B742-3F2427EA9D6A} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{99C6D1BB-7555-474C-91DA-D8FB62A9CC75} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{00476C87-A276-49BF-86BC-FF005732430B} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{892B2785-B0D0-4AA2-AE6A-0ED60B00A979} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99C6D1BB-7555-474C-91DA-D8FB62A9CC75} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99C6D1BB-7555-474C-91DA-D8FB62A9CC75} (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\systemroot\eigene dateien\downloads\keygens,cracks,registry cracks and serials pack\acrobat 8 pro keygen.exe.vir (RiskWare.Tool.CK) -> No action taken.
c:\dokumente und einstellungen\systemroot\eigene dateien\downloads\keygens,cracks,registry cracks and serials pack\paralells desktop v2.2.2166.exe (Trojan.Dropper.PGen) -> No action taken.
c:\dokumente und einstellungen\systemroot\eigene dateien\downloads\keygens,cracks,registry cracks and serials pack\audition 2.0.exe.vir (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\systemroot\eigene dateien\downloads\keygens,cracks,registry cracks and serials pack\golive cs3 keygen.exe (Trojan.Downloader) -> No action taken.
c:\dokumente und einstellungen\systemroot\eigene dateien\downloads\keygens,cracks,registry cracks and serials pack\premiere pro cs3 keygen +activation.exe (RiskWare.Tool.CK) -> No action taken.
c:\dokumente und einstellungen\systemroot\eigene dateien\downloads\keygens,cracks,registry cracks and serials pack\zonealarm internet security suite 7.0.722 + keygen\zonealarm internet security suite 7.0.722 keygen.exe (Riskware.Tool.CK) -> No action taken.
c:\dokumente und einstellungen\systemroot\lokale einstellungen\temp\coud.exe.vir (Trojan.Lukisel) -> No action taken.
c:\dokumente und einstellungen\systemroot\lokale einstellungen\temp\_1f6.tmp.vir (Trojan.FakeAV) -> No action taken.
c:\dokumente und einstellungen\systemroot\lokale einstellungen\temporary internet files\content.ie5\aruzet2f\yhbdd92febv03f01236002r96284c3d102tf12b3d86q000002c0901801f0035010aj07000601l00073290[1].vir (Trojan.Lukisel) -> No action taken.
c:\dokumente und einstellungen\systemroot\lokale einstellungen\temporary internet files\Content.IE5\GNZB19J8\calc[1].exe (Rootkit.0Access.XGen) -> No action taken.
c:\system volume information\_restore{02d2610d-6e35-4c10-911b-4ca88dd0ca7f}\RP952\A0086747.exe (Rootkit.0Access.XGen) -> No action taken.
c:\WINDOWS\cmdow.exe.vir (PUP.Tool) -> No action taken.
f:\infected\jashla.exe (Rootkit.0Access.XGen) -> No action taken.
c:\programme\bib.dll (Spyware.OnlineGames) -> No action taken.
c:\programme\hotkdl21.dll (Spyware.OnlineGames) -> No action taken.
c:\programme\kapkey.dll (Spyware.OnlineGames) -> No action taken.
c:\programme\KDHook.dll (Spyware.OnlineGames) -> No action taken.
c:\programme\KDMod.dll (Spyware.OnlineGames) -> No action taken.
c:\WINDOWS\system32\6d4o0yjd.exe.a_a (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\6vw1jd7a.exe.a_a (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\crt.dat (Malware.Trace) -> No action taken.
)

BITTE sagt mir doch wenigstens, an wen ich mich damit wenden kann

danke.

Alt 05.09.2011, 07:06   #2
firlefanz
 
Bundespolizei-Trojaner shell.txt - Standard

Bundespolizei-Trojaner shell.txt



OTL und Extras sind anscheinend zu lang... datei-upload geht auch nicht...

was könnte ich tun? u.a.w.g. danke.
__________________


Alt 05.09.2011, 16:16   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Trojaner shell.txt - Standard

Bundespolizei-Trojaner shell.txt



Zitat:
C:\Dokumente und Einstellungen\Systemroot\Eigene Dateien\Downloads\Keygens,Cracks,Registry Cracks And Serials Pack\Encore DVD 2.0.exe.vir a variant of Win32/Keygen.AO application


Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________
__________________

Antwort

Themen zu Bundespolizei-Trojaner shell.txt
adobe, boot, bräuchte, bundespolizei trojaner shell.txt, bundespolizei-trojaner, button, c:\windows, ccc, dateien, einstellungen, ergebnis, eset-log, file, gen, infected, manager, messenger, moved, not, programme, pup.tool, realplayer, riskware.tool.ck, shell, shell.txt, spyware.onlinegames, suite, symantec, system32, toolbox, trojan.dropper.pgen, win32/keygen.aj, win32/keygen.ao, windows, winlogon



Ähnliche Themen: Bundespolizei-Trojaner shell.txt


  1. Srep.exe - shell.txt - was nun?
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (17)
  2. BKA Trojaner/keine shell-Datei?
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (10)
  3. ukash trojaner nur in der shell ist ganz normal explorer.exe?
    Plagegeister aller Art und deren Bekämpfung - 12.10.2012 (2)
  4. Trojaner Weißer Bildschirm - Mit Shell.txt
    Log-Analyse und Auswertung - 23.09.2012 (3)
  5. Bundespolizei Trojaner Shell ist explorer.exe
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (1)
  6. BKA-Trojaner (Shell = Explorer.exe)
    Log-Analyse und Auswertung - 18.06.2012 (1)
  7. Bundespolizei Trojaner mit shell = explorer.exe
    Log-Analyse und Auswertung - 29.03.2012 (21)
  8. Bundespolizei virus shell = explorer.exe
    Plagegeister aller Art und deren Bekämpfung - 22.01.2012 (24)
  9. Bundespolizei Trojaner mit Shell = Explorer.exe
    Plagegeister aller Art und deren Bekämpfung - 12.01.2012 (22)
  10. GEMA - Trojaner ...shell.text bereits erstellt
    Plagegeister aller Art und deren Bekämpfung - 10.01.2012 (91)
  11. Bundespolizei-Trojaner - Shell Datei ist aber sauber!
    Log-Analyse und Auswertung - 12.12.2011 (24)
  12. Bundespolizei Trojaner mit shell = explorer.exe
    Log-Analyse und Auswertung - 12.12.2011 (2)
  13. Trojaner TR/Crypt.XPACK.Gen3 und TR/Agent.aym.2 in svchost.exe und shell.exe
    Plagegeister aller Art und deren Bekämpfung - 18.10.2010 (1)
  14. LSA Shell U
    Plagegeister aller Art und deren Bekämpfung - 14.05.2008 (0)
  15. MB Shell Spy - HILFE!
    Plagegeister aller Art und deren Bekämpfung - 21.01.2005 (1)
  16. SHELL.DLL verschwunden
    Log-Analyse und Auswertung - 23.09.2004 (9)
  17. F0 - system.ini: Shell=
    Log-Analyse und Auswertung - 19.07.2004 (2)

Zum Thema Bundespolizei-Trojaner shell.txt - herzlichen dank für srep.exe brav habe ich die anweisungen aus dem nachbarthread (leicht modifiziert) befolgt und bräuchte nun eure hilfe bezüglich der auswertung... ich habe keine ahnung, was nun zu - Bundespolizei-Trojaner shell.txt...
Archiv
Du betrachtest: Bundespolizei-Trojaner shell.txt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.