| |
| |||||||
Log-Analyse und Auswertung: Bitte um eure mithilfe!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
19.01.2005, 20:28
| #1 |
| |  Bitte um eure mithilfe! mein Vater hat sich irgendeinen Trojaner eingefangen, ich habe auch schon escan laufen lassen dieser hat eine Datei (wupdated.exe) als Trojaner identifiziert. Wenn ich diese lösche, auch in der Registry und neu Starte ist diese Datei wieder in der Registrierung vorhanden, was kann ich tun? Ich hab hier mal seine Logfile, vielleicht könnt ihr mir noch ein paar tipps geben was ich da machen kann. Ach ja, antivir und ad-aware haben auch nichts gefunden. Gruß Sebastian Logfile of HijackThis v1.99.0 Scan saved at 20:12:57, on 19.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\AVPersonal\AVGUARD.EXE C:\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\SCARDS32.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe C:\WINNT\system32\IEXPLORE.EXE C:\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [Microsoft Internet Explorer] IEXPLORE.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft Internet Explorer] IEXPLORE.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Microsoft Internet Explorer] IEXPLORE.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{0DA17077-2B50-4AD3-814B-927ABCD47D8C}: NameServer = 194.25.2.129,62.104.212.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{0DA17077-2B50-4AD3-814B-927ABCD47D8C}: NameServer = 194.25.2.129,62.104.212.82 O17 - HKLM\System\CS2\Services\Tcpip\..\{0DA17077-2B50-4AD3-814B-927ABCD47D8C}: NameServer = 194.25.2.129,62.104.212.82 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: CHIPDRIVE SCARD Service - TOWITOKO - German Technology - C:\WINNT\SCARDS32.EXE |
|
19.01.2005, 20:36
| #2 |
  | Bitte um eure mithilfe! Als was wurde die Datei denn identifiziert?
__________________Hat eScan wirklich nur diese beanstandet, ich kanns mir nicht wirklich vorstellen. |
|
19.01.2005, 20:40
| #3 |
| | Bitte um eure mithilfe! Die Datei wurde als Backdoor.Win32.SdBot.uk identifiziert.
__________________escan hat wirklich nur diese eine Datei im System Ordner gefunden, mehr nicht. ich fand dies allerdings auch sehr merkwürdig. |
|
19.01.2005, 20:44
| #4 | |
| | Bitte um eure mithilfe! Ich hab's mir eigentlich gedacht. Bei einer Infektion des Systems mit einem Backdoortrojaner, ist ein erneutes Aufsetzen zu empfehlen. => http://www.trojaner-board.de/showpos...28&postcount=2 Die Anleitung bitte genau befolgen! Lutz über Datensicherung (auf ausführbare Dateien solltest du jedoch ganz verzichten) Über die Entfernung von Schädlingen btw: Zitat:
|
|
| Themen zu Bitte um eure mithilfe! |
| ad-aware, administrator, adobe, antivir, antivir update, askbar, bho, button, desktop, drivers, einstellungen, escan, explorer, hijack, hijackthis, internet, internet explorer, logfile, microsoft, neu, programme, registry, software, system, system32, tcpip, trojaner, trojaner eingefangen, windows |
Linear-Darstellung
