Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mit einem Trojan Downloader fing alles an...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 26.11.2004, 13:27   #1
Wunderwerktechnik
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Hallo!
Nach vielem selbstständigen aber auch relativ planlosen Herumdoktern, komme ich jetzt mal mit meinen Problemen zu Euch und hoffe, dass wer Zeit und Lust hat, mit seinem/ ihrem Wissen weiterzuhelfen.

Zuerst habe ich mir (wohl) beim Filesharing unter Windows XP einen <b>Trojan Downloader Java Open Connection f</b> (soll das Gleiche wie Exploit_ByteVerify sein) eingefangen. Das meldete mir zuverlässig AntiVir, ich habe es in Quarantäne geschickt. Danach folgten innerhalb kurzer Zeit

- Korgo.U
- Rbot.Hy (= Backdoor Rbot.gen)
- Rbot.Pl
- Korgo.Q
- Trojan Downloader Wren.F

Ich habe selber so gut es ging versucht, mich nach Registrierungseinträgen und Removal tools zu erkundigen und habe damit auch schon einige Seltsamkeiten beheben können.
Ein Freund riet mir zu XP Service Pack 2, habe ich dann installiert, woraufhin mein DSL nicht mehr funktionierte (trotz mehrerer Stunden Support vom Provider...). - Also kein Service Pack 2 mehr, aber alle neuesten Hotfixes. Zum Thema Firewall (derzeit bei mir probeweise Norton) will ich hier nicht ausschweifen, muss ich mich mal woanders schlau machen, wie das optimal für filesharing (schareaza/emule) und browsen per mozilla eingestellt werden sollte.

f-prot, ad-aware, Antivir, hijackthis (alles neueste Versionen) verhalten sich alle unauffällig und melden mir keine Verseuchung. Aber mit so etwas wie der log bin ich eh leider zu blöd umzugehen, es sei denn da steht böservirus.exe oder so drin.... :-)

Ich habe jetzt mal im abgesicherten Modus HijackThis laufen lassen. Dies ist das Ergebnis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIRENBEKÄMPFUNG\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lehrerbibliothek.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] REM C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunOnce: [T-DSL SpeedMgr] grpconv /o
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /L*v C:\DOKUME~1\Michael\LOKALE~1\Temp\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Yahoo! Chat - http://cs5.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101330682345
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_04) -

Vielleicht entdeckt ja jemand gleich die malware oder auch die nichtsnutzigen Anwendungen.

Ich glaube derzeit einfach noch nicht, dass ich bisher allein mit den 6 verschiedenen Bösewichten klar gekommen sein sollte. Ich denke mal, da versteckt sich noch allerhand...?

Für Hilfe jetzt schon ein herzliches DANKESCHÖN!

Michael

Alt 26.11.2004, 13:48   #2
chaosman
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



@Wunderwerktechnik
mehrere antivirenprogramme gleichzeitig laufen zu lassen nach dem motto"viel hilft viel" funktioniert leider nicht.
das gibt viele fehlalarme und sie behindern sich gegenseitig
allein schon wegen die 2 hier
Rbot.Hy (= Backdoor Rbot.gen)
http://www.sophos.de/virusinfo/analyses/w32rbothy.html
Rbot.Pl
http://www.sophos.de/virusinfo/analyses/w32rbotpl.html
kann man dich nur das empfehlen
dein system dürfte mehr als kompromittiert sein
http://www.mathematik.uni-marburg.de...ompromise.html

chaosman
__________________

__________________

Alt 26.11.2004, 20:22   #3
Wunderwerktechnik
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



@Chaosman
Danke für die prompte Antwort und die links. Mmh, das ist natürlich irgendwie worst case für mich. Ich bereite mich jetzt mental und technisch darauf vor und versuche mal alles mögliche auf cds zu brennen (hoffentlich brenne ich mir da keine Viren-CDs...). Insofern ist es keine gute Nachricht.
Schönes Wochenende!
__________________

Alt 26.11.2004, 20:29   #4
cacatoa
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Hi,
alles, was Du brennen willst, mußt du vorher scannen, sonst wars wieder nix!
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 27.11.2004, 12:00   #5
Wunderwerktechnik
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Danke für den Tipp. Doch wenn unterschiedliche Virenscanner jetzt schon auf meinem PC nichts mehr finden können, können sie ja auch nicht sehen, ob die Daten, die ich von Festplatte auf CD brenne, verseucht sind, oder?

Haben eigentlich irgendwelche bestimmten Dateien aus dem Hijackthis.log Euren Verdacht erweckt, oder resultiert die Empfehlung, das Windows XP neu auzusetzen aus meiner Beschreibung mit den verschiedenen Trojanern, die ich hatte?

Schönes Wochenende,

Wunderwerktechnik

P.S.: Was ist das eigentlich für ein Smiley hier, den kann ich irgendwie nicht richtig einordnen:


Alt 27.11.2004, 12:22   #6
Cidre
Administrator, a.D.
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Zitat:
resultiert die Empfehlung, das Windows XP neu auzusetzen aus meiner Beschreibung mit den verschiedenen Trojanern, die ich hatte?
Aufgrund deiner Beschreibung, denke ich, resultiert die Empfehlung von chaosman.
Zitat:
Danach folgten innerhalb kurzer Zeit

- Korgo.U
- Rbot.Hy (= Backdoor Rbot.gen)
- Rbot.Pl
- Korgo.Q
- Trojan Downloader Wren.F
War die oben genannte Malware jemals aktiv? Wo wurde die Malware erkannt (genaue Pfadangabe)?

Zitat:
beim Filesharing unter Windows XP einen <b>Trojan Downloader Java Open Connection f</b>
Sowas passiert, wenn man aus nicht vertrauenswürdigen und unseriösen Quellen Downloads tätigt.

Les dir dazu folgende Links mal durch:
http://faq.underflow.de/#SECTION000110000000000000000
http://www.mathematik.uni-marburg.de...ompromise.html
__________________
--> Mit einem Trojan Downloader fing alles an...

Alt 27.11.2004, 18:20   #7
Wunderwerktechnik
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Ob die erwähnte Malware jemals aktiv war und unter welcher Pfadangabe die gesteckt hat, weiss ich peinlicherweise gar nicht mehr genau. Ich kenn mich halt auch leider nicht aus. Die Meldungen kamen halt alle von Antivir, ich habe die Files dann vorsichtshalber nur in Quarantäne geschickt, bei weiteren Scans sind sie dann wiederentdeckt worden (diesmal im Quarantäneverzeichnis), so dass ich die infizierten files dann relativ genervt ganz gelöscht habe. Das Protokoll habe ich auch nicht mehr (kann man AntiVir so einstellen, dass es die Protokolle länger aufbewahrt oder muss man die jeweils manuell speichern?). Da waren schon einige im C:/Windows/System- und System32-Ordner...

Die links zu den un-/seriösen Filesharing-Quellen lese ich mir gleich mal durch. Danke. Ich glaube, dass hing irgendwie mit Java zusammen, da ich gerade den mit Java arbeitenden Azureus client in Betrieb genommen hatte und die meine Sicherheit nicht ausreichend gewährleistet war. Jetzt habe ich zusätzlich zu den ganzen Patches und Antivir eine Norton-Firewall, die mein Surfen blockiert: "Verbindungsaufbau verweigert" kommt dann immer, obwohl ich die PFW auf Mozilla "alle Verbindungen zulassen" gestellt habe... Das heisst, der schlichte und unbedarfte User kann sowieso offenbar nicht ausreichend für seine Sicherheit ohne Hilfe (wie die Eure) nicht aufkommen. Schade.... Aber wie gesagt: Ich will hier nicht auch noch mit dem Firewall-Thema nerven.

Alt 27.11.2004, 18:24   #8
cacatoa
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Na, dann schick doch mal ein neues Logfile zum abchecken.
__________________
Der Mensch sollte eine Hundeseele haben

Alt 27.11.2004, 22:22   #9
Wunderwerktechnik
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Naja, dann woll'n wir mal. Das ich den log immer im abgesicherten Modus erstelle ist korrekt oder unnötig?

Logfile of HijackThis v1.98.2
Scan saved at 22:12:13, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIRENBEKÄMPFUNG\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lehrerbibliothek.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] REM C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Yahoo! Chat - http://cs5.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101330682345
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_04) -

Alt 27.11.2004, 22:31   #10
Passat2002
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



hi
ein hijackthis-logfile im abgesicherten modus bringt eigentlich nichts
__________________
lg
HijackThis, Security-Tool

Alt 27.11.2004, 23:38   #11
Wunderwerktechnik
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Dann hier halt mal nicht abgesichert:

Logfile of HijackThis v1.98.2
Scan saved at 23:31:01, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\S3tray2.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\VIRENBEKÄMPFUNG\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lehrerbibliothek.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] REM C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Yahoo! Chat - http://cs5.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101330682345
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_04) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A9C4F7F-1F03-4938-A5EF-709455A697C8}: NameServer = 217.237.151.97 217.237.150.33

Gut, dann hoffe ich mal, dass das so ok ist (und dass mit solchen log's nicht auch die Bösewichte etwas anfangen können...?! Hab ich noch gar nicht dran gedacht.... Ist echt ätzend, wenn man von dem Ganzen kaum Ahnung hat *Seufz*)

Alt 28.11.2004, 00:22   #12
Passat2002
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



hi

hier ist schon ein wenig mehr zu sehen
das logfile asugewertet
eigentlich schon recht schön, aber
S3tray2.exe --> suchen und mit dem jotti onlinescan überprüfen, bitte ergebnis hier posten
__________________
lg
HijackThis, Security-Tool

Alt 28.11.2004, 14:01   #13
Wunderwerktechnik
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Toll, Danke für die Auswertung!

Unnötige Einträge wurden jetzt gelöscht, unbekannte überprüft (O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe ist O.K.).

Wie hoch ist eigentlich die Wahrscheinlichkeit, dass infizierte files von highjackthis nicht erkannt werden? Gering oder "kommt drauf an"? Kann man denn auch den system- und system32-Ordner auf diese Weise erfassen?

Tschüs!

Alt 28.11.2004, 15:10   #14
cacatoa
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Na, schau Dir doch Dein eigenes Logfile mal an: Du siehst doch die Teilchen aus dem System32 Ordner?
Außerdem erfaßt HJT vieles, aber eben nicht alles. Man muß auch außer der automatischen Auswertung die Äuglein offen halten; man übersieht gerne mal was.
Außerdem scannt HJT nicht die files, sondern laufende Prozesse und Progs.
Anhand derer kann man rausfinden, ob etwas nicht in Ordnung ist (aber auch nicht immer )
Grüße cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 29.11.2004, 11:20   #15
Wunderwerktechnik
 
Mit einem Trojan Downloader fing alles an... - Standard

Mit einem Trojan Downloader fing alles an...



Ja, so habe ich mir das in etwa auch gedacht.

Mmmh, sollte ich jetzt mein System als immer noch so korrumpiert betrachten, dass ich es besser jetzt als später neu installiere? Hijackthis und diverse AV-Scannings sind ja in Ordnung...

Gute Woche!

Antwort

Themen zu Mit einem Trojan Downloader fing alles an...
abgesicherten modus, ad-aware, adobe, antivir, avgnt.exe, backdoor, bho, browse, downloader, dsl, excel, file missing, firewall, hijack, hijackthis, hilfe, internet, internet explorer, malware, monitor, mozilla, msiexec.exe, quara, software, symantec, system, temp, trojan, trojan downloader, träge, unter, unter windows xp, versteckt sich, windows, windows xp




Ähnliche Themen: Mit einem Trojan Downloader fing alles an...


  1. Alles in einem scanner?
    Antiviren-, Firewall- und andere Schutzprogramme - 01.08.2015 (4)
  2. Nach einem Firefox-Update geht hier alles drunter und drüber
    Plagegeister aller Art und deren Bekämpfung - 09.07.2014 (5)
  3. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  4. Windows7:Kapersky findet HEUR:Trojan.Win32.generic und Trojan.Downloader.Win32MultiDL (Arbeitspc!)
    Log-Analyse und Auswertung - 15.11.2013 (9)
  5. Hartnäckige Tasks (Trojan.FraudPack & Trojan.Downloader lt. Malwarebytes Anti-Malware)
    Log-Analyse und Auswertung - 23.09.2013 (16)
  6. Trojan.Downloader, Riskware.tool.ck, exploit.drop.gs & Trojan.Ransom.SUGen in different locations!
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (1)
  7. Trojan.Downloader, Trojan.Agent.VGENX, Trojan.Agent, PUP.Pantsoff.PasswordFinder, TR/spy.banker.gen5
    Log-Analyse und Auswertung - 27.10.2012 (1)
  8. Trojan.Dropper & Trojan.FakeAlert & Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 14.10.2012 (17)
  9. Malwarebytes findet mehrere Trojan.Agents und Trojan.Downloader
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  10. Mit HTML/IFrame.aho fing alles an... EyeSpy? System eingeschränkt nutzbar
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (3)
  11. Firefox langsam, u.a. Trojan.Inject und Trojan.Downloader gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.02.2011 (15)
  12. Spyware.Zbot/Trojan Downloader/Trojan.Hiloti Viren Problem!
    Plagegeister aller Art und deren Bekämpfung - 04.10.2010 (3)
  13. Malewarebytes meldet 2 verschiedene Trojaner (Trojan.Downloader und Trojan.FakeAlert)
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (0)
  14. Trojan.Win32.Agent.acra, Trojan-Downloader.JS.gen und noch ein paar weitere
    Log-Analyse und Auswertung - 09.09.2008 (3)
  15. Trojan.Vundo/Trojan.Downloader/Trojan.Agent/Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 02.08.2008 (2)
  16. Brauche Hilfe! trojan-agent-winlogonhook, trojan-downloader-zlob, ...
    Plagegeister aller Art und deren Bekämpfung - 05.02.2008 (0)
  17. HILFEEEE!!!trojan-downloader-ruin, trojan-downloader-wareout
    Log-Analyse und Auswertung - 16.09.2005 (1)

Zum Thema Mit einem Trojan Downloader fing alles an... - Hallo! Nach vielem selbstständigen aber auch relativ planlosen Herumdoktern, komme ich jetzt mal mit meinen Problemen zu Euch und hoffe, dass wer Zeit und Lust hat, mit seinem/ ihrem Wissen - Mit einem Trojan Downloader fing alles an......
Archiv
Du betrachtest: Mit einem Trojan Downloader fing alles an... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.