| |
| |||||||
Log-Analyse und Auswertung: Trojaner im Recycler und LogfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.12.2004, 21:57
| #1 |
| |  Trojaner im Recycler und Logfile Als Neuling in der Runde wollt ich mal ein freundliche sHallo in die Runde schicken! ...und euch natürlich gleich mal um Hilfe bitten. Was PC-Technik und PC-Sicherheit angeht, hab ich mich bischer immer als "Poweruser" bezeichnet, aber nu ist das wohl doch anders...;-) Bei uns laufen täglich verschieden Scanner über die Platte (SpySweeper, A-Squared, eScan/mwav, Ad-Aware/Lavasoft und SpyBot), Spybot und Spysweeper auch mit ihren resistenten Parts und Antivir natürlich auch noch. War bisher die preisgünstigste und wie ich fand auch sicherste Methode. Doch heut gabs eine Meldung von eScan, dass wir einen Trojaner auf der Maschine haben und zwar im Recycled-Ordner/Mülleimer. Dieser ist aber weder dort zu finden noch durch Leeren des Mülleimers zu entfernen. Ich hoffe, Ihr könnt mir bei dieser "Herausforderung" helfen. eScan Meldung und HijackThis-Log wie folgt: eScan: File C:\Recycled\Q330995.exe infected by "Trojan-Downloader.Win32.Agent.ew" Virus. Action Taken: No Action Taken. HijackThis-Log : StartupList report, 27.12.2004, 21:58:22 StartupList version: 1.52.2 Started from : C:\basis\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe d:\Programme\Kerio\Personal Firewall\persfw.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\CpuIdle\cpuidle.exe D:\Programme\D-Tools\daemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\taskmgr.exe F:\emule\emule.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE d:\Programme\Winamp\Winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\PROGRA~1\MICROS~1\Office10\OUTLOOK.EXE D:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\basis\HijackThis.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run CpuIdle = D:\Programme\CpuIdle\cpuidle.exe DAEMON Tools-1033 = "D:\Programme\D-Tools\daemon.exe" -lang 1033 AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe SpybotSD TeaTimer = D:\Programme\Spybot - Search & Destroy\TeaTimer.exe -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\Programme\IE URL Spoofing Patch\IEWorkaround3.dll - {08442457-929D-4522-AE24-9D3E4664A0C1} (no name) - D:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Windows NT/2000/XP services Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart) AntiVir Service: C:\Programme\AVPersonal\AVGUARD.EXE (autostart) Ati HotKey Poller: %SystemRoot%\System32\Ati2evxx.exe (autostart) ATI Smart: C:\WINDOWS\system32\ati2sgag.exe (autostart) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) Kerio Personal Firewall: "d:\Programme\Kerio\Personal Firewall\persfw.exe" (autostart) Plug & Play: %SystemRoot%\system32\services.exe (autostart) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) StyleXPService: "C:\Programme\TGTSoft\StyleXP\StyleXPService.exe" (autostart) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart) -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 7.822 bytes Report generated in 0,100 seconds Vielen Dank für eure Unterstützung Gruß Paranoid3000 |
| Themen zu Trojaner im Recycler und Logfile |
| .exe, acroiehelper.dll, adobe, afd.sys, antivir, autostart, avg, browser, explorer, firewall, helper, hijack, hilfe, hotkey, infected, internet, internet explorer, logfile, microsoft, outlook express, pc-sicherheit, programme, registry, registry key, registry value, saver, scan, screensaver, software, system, system32, trojaner, userinit.exe, windows, windows xp |
Baum-Darstellung