Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.04.2012, 10:13   #1
beppo65
 
Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe - Standard

Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe



Hallo zusammen,
ich habe mir den Bundespolizei-Virus eingefangen und mittlerweile wieder beseitigt, bekomme aber noch Fehlermeldungen und Bedrohungsanzeigen.

Ich habe einen Rechner mit Windows XP prof, der auch als Windows Terminal Server an an einem Server mit Winows Server 2003 angeschlossen ist. Zum Zeitpunkt, als ich den Virus eingefangen habe, war ich nicht am Server angemeldet. Auf dem Rechner sind neben APL7.FISCHER noch der Administrator und ein weiterer User eingerichtet. Als Sicherheitssoftware war und ist Trend Micro CLient Server Security Agent installiert.

Ich habe mich zunächst unter dem anderen Benutzer angemeldet und hatte dann wieder Zugriff auf den Rechner. Ein Scan mit Trend Micro ergab folgende Funde im Pfad
C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployement\6.0\....
Verzeichnis\Dateiname Virusname
...4\d1b7144-4c7b8b44(ER.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(Inc.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(c.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(a.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(b.class) JAVA_BLACOLE.ECD
...4\d1b7144-4c7b8b44(t.class) JAVA_BLACOLE.ECD
...50\2e66b72-26818df5(a.class) JAVA_BLACOLE.DRW
...50\2e66b72-26818df5(b.class) JAVA_BLACOLE.DRW
...50\2e66b72-26818df5(Photo.class) JAVA_BLACOLE.DRW
...59\3963883b-3857aba8(E.class) JAVA_EXPLT.NN
jeweils mit dem Zusatz, dass ein Virus endeckt wurde, die infizierte Datei aber nicht gesäubert werden kann.

Daraufhin habe ich mir AVG herundergeladen und installiert. Ein Scan ergab die Funde
"Scan ""Gesamten Computer scannen"" wurde beendet."
"Infektionen";"1";"1";"0"
"Warnungen";"2";"2";"0"
"Ausgewählte Ordner:";"Gesamten Computer scannen"
"Start des Scans:";"Dienstag, 3. April 2012, 21:42:39"
"Ende des Scans:";"Dienstag, 3. April 2012, 22:33:17 (50 Minute(n) 37 Sekunde(n))"
"Gescannter Objekte:";"664278"
"Benutzer:";"APL7"

"Infektionen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0AU995G4\main[1].htm";"Virus gefunden: Script/Exploit.Kit";"In Virenquarantäne verschoben"

"Warnungen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\Dokumente und Einstellungen\APL7\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P46DG2R7\avg_free_x86_all_2012_2126a4890[2].exe";"Beschädigte ausführbare Datei";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P46DG2R7\avg_free_x86_all_2012_2126a4890[1].exe";"Beschädigte ausführbare Datei";"In Virenquarantäne verschoben"

Ein zweiter, eingeschränkter Scan ergab folgendes Ergebnis:

"Scan ""Bestimmte Dateien/Ordner scannen"" wurde beendet."
"Infektionen";"6";"6";"0"
"Ausgewählte Ordner:";"C:\Dokumente und Einstellungen\APL7.FISCHER\;"
"Start des Scans:";"Dienstag, 3. April 2012, 22:34:28"
"Ende des Scans:";"Dienstag, 3. April 2012, 22:49:32 (15 Minute(n) 3 Sekunde(n))"
"Gescannter Objekte:";"57316"
"Benutzer:";"APL7"

"Infektionen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\3963883b-3857aba8:\N.class";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\3963883b-3857aba8";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38\3754a6e6-7e222a48:\a.class";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38\3754a6e6-7e222a48";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\59748f0f-640231c2:\K.class";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\APL7.FISCHER\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\59748f0f-640231c2";"Virus gefunden: Java/Exploit";"In Virenquarantäne verschoben"

Neun weitere Scans waren O.K.der zwöfte Scan brachte folgende Funde:

"Scan ""Gesamten Computer scannen"" wurde beendet."
"Infektionen";"8";"4";"4"
"Ausgewählte Ordner:";"Gesamten Computer scannen"
"Start des Scans:";"Dienstag, 3. April 2012, 23:40:14"
"Ende des Scans:";"Mittwoch, 4. April 2012, 00:55:22 (1 Stunde(n) 15 Minute(n) 7 Sekunde(n))"
"Gescannter Objekte:";"655206"
"Benutzer:";"APL7"

"Infektionen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\WINDOWS\system32\rundll32.exe (3924)";"Trojaner: Delf.ADWX";"Gelöscht"
"";"C:\WINDOWS\system32\notepad.exe (5656)";"Trojaner: Delf.ADWX";"Gelöscht"
"";"C:\WINDOWS\system32\notepad.exe (504)";"Trojaner: Delf.ADWX";"Gelöscht"
"";"C:\Programme\Internet Explorer\iexplore.exe (2316)";"Trojaner: Delf.ADWX";"Gelöscht"
"";"C:\WINDOWS\system32\rundll32.exe (3924):\memory_00a70000";"Trojaner: Delf.ADWX";"Infiziert"
"";"C:\WINDOWS\system32\notepad.exe (5656):\memory_009c0000";"Trojaner: Delf.ADWX";"Infiziert"
"";"C:\WINDOWS\system32\notepad.exe (504):\memory_009c0000";"Trojaner: Delf.ADWX";"Infiziert"
"";"C:\Programme\Internet Explorer\iexplore.exe (2316):\memory_02720000";"Trojaner: Delf.ADWX";"Infiziert"

Das Icon dieses Scans ist in der Liste der Scan-Ergebnis ist zur Zeit noch rot.
Die als infiziert gemeldeten Dateien lassen sich über die angezeigten Buttons in der AVG-Übersicht nicht löschen.

Weitere Scans blieben ergebnislos

Anschließende habe ich Malwarebytes installiert. Hier die logfile vom ersten Komplett-Scan:

Malwarebytes Anti-Malware (Trial) 1.60.1.1000
www.malwarebytes.org

Database version: v2012.04.04.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
APL7 :: PC07 [administrator]

Protection: Enabled

04.04.2012 11:09:47
mbam-log-2012-04-04 (11-09-47).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 220515
Time elapsed: 5 minute(s), 16 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and repaired successfully.

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Ein weiterer Komplett- und ein Quick-Scan blieben ergebnislos.

Folgende Probleme bestehen noch:

Beim Neustart / Anmelden unter APL7.FISCHER öffnet sich ein Fenster
RUNDLL32 mit der Meldung: C:\DOKUME~1\APL7~1.FIS\LOKALE~1\TEMP\ch8l0.exe Das angegebene Modul wurde nicht gefunden. Nach Bestätigung mit OK fährt der Rechner weiter hoch.

Gelegentlich kommt meist kurz ( 2-3 min.) nach dem Anmelden eine Bedrohungsmeldung von AVG Identy Protection:
C:\Programme\Trend Micro\Client Server Security Agent\Temp\VSLQ163.O07
oder ...\VSUQH638.G07
Art der Bedrohung IDP.Generic.D3E7EBBF ist bei den Dateien gleich. Ich habe die Dateien immer in Quarantäne verschoben und die Meldung erhalten, dass Sie gelöscht wurden.
Der Pfad ist bei den Meldungen immer gleich, die Dateinamen ändern sich.

Malwarebytes hat noch einen Virus "PUM.Hijack.TaskManager in Quarantäne.

Die Dateien dds.txt, attach.txt und Gmer.txt habe ich im Anhang hochgeladen.


Wie bekomme ich die beschriebenen Probleme weg und kann ich danach sicher sein, dass der Rechner sauber ist.
Kann der Server auch befallen sein?

Vielen Dank schonmal für die Hilfe.
Angehängte Dateien
Dateityp: txt attach.txt (16,8 KB, 172x aufgerufen)
Dateityp: txt dds.txt (12,2 KB, 181x aufgerufen)
Dateityp: txt Gmer.txt (2,9 KB, 159x aufgerufen)

Alt 06.04.2012, 17:02   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe - Standard

Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe



Zitat:
Ich habe einen Rechner mit Windows XP prof, der auch als Windows Terminal Server an an einem Server mit Winows Server 2003 angeschlossen ist. Zum Zeitpunkt, als ich den Virus eingefangen habe, war ich nicht am Server angemeldet. Auf dem Rechner sind neben APL7.FISCHER noch der Administrator und ein weiterer User eingerichtet. Als Sicherheitssoftware war und ist Trend Micro CLient Server Security Agent installiert.
Bist du da der Admin der Firma oder darfst du das jetzt nur ausbaden?
Normalerweise bereinigen wir hier nämlich keine gewerblich genutzten Rechner => http://www.trojaner-board.de/108422-...-anfragen.html
__________________

__________________

Alt 11.04.2012, 17:41   #3
beppo65
 
Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe - Standard

Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe



Hallo Arne,
danke für die schnelle Antwort und den Hinweis.
Ich habe mich entschlossen, den Rechner neu aufzusetzen.
__________________

Antwort

Themen zu Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe
administrator, avg, bundespolizei-virus, computer, dll, einstellungen, entfernen, explorer, iexplore.exe, infizierte, infizierte datei, internet, internet explorer, logfile, neustart, programme, registry, rundll, scan, security, server, system, trojaner, virenquarantäne, windows, windows xp, ändern, öffnet



Ähnliche Themen: Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe


  1. Bundespolizei Trojaner, Probleme mit Kaspersky Rescue Disk.....
    Log-Analyse und Auswertung - 18.02.2013 (3)
  2. Probleme während der Beseitigung des Bundespolizei Verschlüsselungs-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (37)
  3. Bundespolizei Trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.09.2012 (10)
  4. Bundespolizei Trojaner 1.13 auf XP SP 3 entfernen
    Plagegeister aller Art und deren Bekämpfung - 10.09.2012 (14)
  5. Bundespolizei-Trojaner 1.13 entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.08.2012 (3)
  6. Bundespolizei Trojaner - weg nach Systemwiederherstellung?
    Plagegeister aller Art und deren Bekämpfung - 19.06.2012 (1)
  7. Bundespolizei Virus ch8l0.exe in C:\User\USERNAME\Appdata\Local\Temp\ch810.exe
    Log-Analyse und Auswertung - 21.04.2012 (10)
  8. Bundespolizei Virus ch8l0.exe in C:\User\USERNAME\Appdata\Local\Temp\ch810.exe
    Log-Analyse und Auswertung - 11.04.2012 (22)
  9. Bundespolizei Virus ch8l0.exe in C:\User\USERNAME\Appdata\Local\Temp\ch810.exe
    Log-Analyse und Auswertung - 06.04.2012 (34)
  10. Bundespolizei-Trojaner entfernt(?) trotzdem Probleme auf dem Desktop/Firefox
    Plagegeister aller Art und deren Bekämpfung - 25.02.2012 (9)
  11. Malware-log nach Bundespolizei-trojaner
    Log-Analyse und Auswertung - 01.09.2011 (5)
  12. Bundespolizei-Trojaner nach Systemwiederherstellung
    Log-Analyse und Auswertung - 12.08.2011 (34)
  13. Metropolitan Police Trojaner mit Win 7 / Probleme nach Entfernen durch Spyware Terminator
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (0)
  14. Probleme nach entfernen des BKA 100 € Trojaners
    Log-Analyse und Auswertung - 28.04.2011 (12)
  15. Weiterhin Probleme nach Entfernen von Ultimate Defragger
    Log-Analyse und Auswertung - 21.11.2010 (35)
  16. Probleme mit Videos nach entfernen von trojanern durch MWB
    Plagegeister aller Art und deren Bekämpfung - 18.11.2010 (16)
  17. Probleme nach Entfernen von Security Tool mit Combofix.exe
    Plagegeister aller Art und deren Bekämpfung - 25.10.2009 (4)

Zum Thema Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe - Hallo zusammen, ich habe mir den Bundespolizei-Virus eingefangen und mittlerweile wieder beseitigt, bekomme aber noch Fehlermeldungen und Bedrohungsanzeigen. Ich habe einen Rechner mit Windows XP prof, der auch als Windows - Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe...
Archiv
Du betrachtest: Probleme nach entfernen von Bundespolizei-Trojaner ch8l0.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.