|
Log-Analyse und Auswertung: trojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.01.2005, 23:22 | #1 |
| trojaner Bitte um Hilfe. Es hat sich ein Trojaner eingenistet o.ä. Der Antivir-Guard meldet ständig so etwas. Hier im abgesicherten Modus das Hijack-Logfile: ogfile of HijackThis v1.99.0 Scan saved at 23:20:24, on 16.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\berger\Eigene Dateien\Internet\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe" O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe O4 - Startup: winupdate21436383[1].exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097242930656 O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Wer kann helfen? Habe schon verschiedene löschversuche mit ad-aware und e-scan durch, leider erfolglos. |
16.01.2005, 23:40 | #2 |
Administrator, a.D. | trojaner Hallo,
__________________poste nochmal ein Log-File aus dem "normalen Modus". Was hat eScan beanstandet? Diese Eintrag kannst auf jeden Fall mal fixen und danach die Datei (C:\WINDOWS\System32\netdc.exe) manuell entfernen: F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe
__________________ |
17.01.2005, 07:43 | #3 |
| trojaner Hallo,
__________________hier der letzte logfile: Logfile of HijackThis v1.99.0 Scan saved at 07:41:34, on 17.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\explorer.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe C:\Programme\FRITZ!\FriWeb32.exe C:\Dokumente und Einstellungen\Timo Berger\Startmenü\Programme\Autostart\winupdate21436383[1].exe C:\WINDOWS\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\berger\Eigene Dateien\Internet\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe" O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe O4 - Startup: winupdate21436383[1].exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097242930656 O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe |
17.01.2005, 07:49 | #4 |
| trojaner und hier der letzte e-scan: File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken. File C:\WINDOWS\svchost.exe infected by "Trojan-Downloader.Win32.Small.acd" Virus. Action Taken: No Action Taken. File C:\WINDOWS\svchost.exe infected by "Trojan-Downloader.Win32.Small.acd" Virus. Action Taken: No Action Taken. File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken. File D:\Temp\tmp1.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. |
18.01.2005, 17:29 | #5 |
| trojaner Bitte um Auswertung der unten aufgeführten Logfiles. Danke im Voraus |
18.01.2005, 17:32 | #6 |
| trojaner Also der escan Logfile kommt nicht ganz hin! Unter den O4 Einträgen befindet sich mindestens ein Backdoor,solltest den Scan nochmal machen! |
18.01.2005, 18:08 | #7 |
| trojaner Da ich gestern keine Antworten erhielt, habe ich die Datei svchost.exe im Verzeichnis C:\Windows gelöscht, denn die hatte immer die Virenwarnungen. Danach war der escan ohne Virenmeldung. Sobald ich im Normalmodus ins Netz gehe, meldet sich Antivir sofort. Danach ist die datei svchost wieder im o.g. Verzeichnis. |
18.01.2005, 18:10 | #8 |
| trojaner Es bringt nichts einen Backdoor einfach zu löschen,lies dazu auch den Thread von Cidre genau,und geh danach vor,das bedeutet neu aufsetzen! http://trojaner-board.de/showthread.php?t=12154 Gruss |
Themen zu trojaner |
abgesicherten modus, ad-aware, adobe, antivir update, avg, bho, ctfmon.exe, dateien, einstellungen, excel, explorer, helfen, hijackthis, internet, internet explorer, microsoft, nvcpl.dll, nvidia, office, programme, rundll, rundll32.exe, software, system, system32, t-online, trojane, trojaner, update, userinit, windows, windows xp |