|
Log-Analyse und Auswertung: Trojan-Dropper - Was tun?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.02.2005, 22:40 | #1 |
| Trojan-Dropper - Was tun? Hallo zusammen, habe von meinem Virenscanner eine Trojanermeldung bekommen, die ich als Screenshot angehängt habe. Ich bin leider mit dem Computerinnenleben und seiner Software nicht besonders bewandert, aber ein Freund empfahl mir dieses Forum. Ich hoffe hier Hilfe zu finden. Was tun? Hier noch mein Logfile: Logfile of HijackThis v1.99.0 Scan saved at 21:41:59, on 01.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMA32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMB32.EXE C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fssm32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FCH32.EXE C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FAMEH32.EXE C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsav32.exe C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\FWES\Program\fsdfwd.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\Program\BackWeb-154149.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\stickies\stickies.exe C:\Programme\ScanSoft\OmniPageSE\EregGer\NAVBrowser.exe C:\Dokumente und Einstellungen\Horst\Eigene Dateien\install\HijackThis\hijackthis199\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe O4 - Global Startup: Verknüpfung mit Mari.lnk = C:\Dokumente und Einstellungen\All Users\Mari.txt O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/act...pload_1115.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06a69b5f5ca9bc1...p/RdxIE601.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/aktenkoffer/act...load_11110.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54B5D9F0-FE23-4B05-B4C3-75B0F4E43D38}: NameServer = 192.168.0.1 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll O23 - Service: F-Secure Anti-Virus 2004 - WEB.DE Edition - Unknown - C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - Unknown - C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMA32.EXE O23 - Service: F-Secure Windows Security Center Legacy Detection Service - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke und Gruß Horst |
01.02.2005, 22:49 | #2 |
Trojan-Dropper - Was tun? ich sehe nichts allzu ungewöhliches..
__________________1.escan -lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit HijackThis diesen eintrag: O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06a69b5f5ca9bc...ip/RdxIE601.cab 3.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues HijackThis log |
02.02.2005, 18:22 | #3 |
Gast | Trojan-Dropper - Was tun? eScan ist nicht nötig, da dieser wie F-Secure die KAV-Signaturen enthält.
__________________Deaktiviere die Systemwiederherstellung -> Neustart -> aktiviere Systemwiederherstellung wieder. Das wars. XP2 installieren: www.windowsupdate.com |
02.02.2005, 18:23 | #4 |
Trojan-Dropper - Was tun? der auch? o.O naja gut zu wissen^^ dann passt das ganze ja so ziemlich. |
Themen zu Trojan-Dropper - Was tun? |
.inf, adobe, bho, dateien, einstellungen, excel, explorer, f-secure, firewall, google, hijack, hijackthis, hilfe, internet, internet explorer, logfile, meinem, microsoft, monitor, nicht, programme, scan, security, security center, software, system, system32, tcpip, trojan-dropper, was tun, web.de, windows, windows security, windows xp |