|
Log-Analyse und Auswertung: trojaner eingefangenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.02.2005, 11:33 | #1 |
| trojaner eingefangen Hallo Leute, hab mit einen trojaner eingefangen, der immer wieder die Seite www.allwebseak.com aufruft und bestehende Internetverbindungen beendet. Ausserdem läuft das Internet schweine langsam. Antivir hat den trojaner benannt mit TR/Dldr.IstBar.DLL in C:\System Volume Information\Restore Hier das Logfile von HJthis vom 11.02.05 Logfile of HijackThis v1.99.0 Scan saved at 19:53:12, on 11.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\sstray.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\Yxdkt\Icufo.exe C:\WINDOWS\auuxv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\system32\hiden.exe C:\Programme\ISTsvc\istsvc.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe C:\Programme\WebWasher\wwasher.exe C:\WINDOWS\system32\telcmd.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\hicom.exe C:\Programme\eMule\emule.exe C:\Programme\Mozilla Firefox\firefox.exe F:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://allwebseek.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allwebseek.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://allwebseek.com R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] REM C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinFast Schedule] REM C:\Programme\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] REM "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneDVDElbyDelay] REM "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [CloneCDElbyCDFL] REM "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [HPDJ Taskbar Utility] REM C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [EPSON Stylus C84 Series] REM C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [RAM_DEFRAG] REM O4 - HKLM\..\Run: [Archive] REM C:\Programme\Archive\archive.exe O4 - HKLM\..\Run: [d5dC] REM C:\WINDOWS\auuxv.exe O4 - HKLM\..\Run: [pupgr] REM C:\WINDOWS\pupgr.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] REM "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Nwtrotgr] C:\Program Files\Yxdkt\Icufo.exe O4 - HKLM\..\Run: [- ] C:\WINDOWS\auuxv.exe O4 - HKLM\..\Run: [hiden.exe] hiden.exe O4 - HKLM\..\Run: [ieexec.exe] REM ieexec.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - Startup: WebWasher.lnk = C:\Programme\WebWasher\wwasher.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O4 - Global Startup: SATARaid.lnk = ? O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools\Buyertools Reminder\ReminderIE.exe O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105100635078 O17 - HKLM\System\CCS\Services\Tcpip\..\{C846A4B6-4C45-431B-B83E-BADB0CF42C6B}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Manageer Network Connections - Unknown - C:\WINDOWS\system32\telcmd.exe O23 - Service: Working Network Connections - Unknown - C:\WINDOWS\system32\hicom.exe Es wäre echt nett wenn mir jemand von Euch helfen könnte, da ich nicht mehr weiter weiss. Vielen Dank ! xxtriblexx |
12.02.2005, 11:41 | #2 |
trojaner eingefangen 1.escan
__________________-lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit HijackThis diese einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://allwebseek.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allwebseek.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://allwebseek.com R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll O4 - HKLM\..\Run: [d5dC] REM C:\WINDOWS\auuxv.exe O4 - HKLM\..\Run: [pupgr] REM C:\WINDOWS\pupgr.exe O4 - HKLM\..\Run: [Archive] REM C:\Programme\Archive\archive.exe O4 - HKLM\..\Run: [Nwtrotgr] C:\Program Files\Yxdkt\Icufo.exe O4 - HKLM\..\Run: [- ] C:\WINDOWS\auuxv.exe O4 - HKLM\..\Run: [hiden.exe] hiden.exe O4 - HKLM\..\Run: [ieexec.exe] REM ieexec.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O23 - Service: Manageer Network Connections - Unknown - C:\WINDOWS\system32\telcmd.exe (außer du kennst des) O23 - Service: Working Network Connections - Unknown - C:\WINDOWS\system32\hicom.exe (außer du kennst des) 3.dateien löschen -lösche die dateien auuxv.exe, pupgr.exe, hiden.exe und ieexec.exe im ordner c:\windows -lösche die dateien telcmd.exe und hicom.exe im ordner c:\windows\system32 (außer du kennst sie) -lösche den ordner C:\Programme\ISTsvc\ -lösche den ordner C:\Programme\Gemeinsame Dateien\GMT\ -lösche den ordner C:\Program Files\Yxdkt\ -lösche natürlich auch alle von escan beanstandeten dateien (alle infected) (falls die dateien nicht angezeigt werden gehe so vor: klicke auf extras, dann auf ordneroptionen klicke auf ansicht mach den haken bei "geschützte systemdateien ausblenden" weg mach nen haken bei "inhalte von systemordnern anzeigen" hin selektiere "alle dateien und ordner anzeigen") 4.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues HijackThis log nebenbei: Download Accelerator ist eine ad- und spywareschleuder. Besorge dir lieber einen anderen downloadmanager wie stardownloader |
12.02.2005, 12:22 | #3 |
| trojaner eingefangen Hallo Chris14,
__________________erstmal vielen Dank für Deine schnelle Hilfe. Escan (Version 4.8.7)läuft noch, und hat bereit jede Menge Trojaner gefunden. Da ich noch PC-Neuling bin, versteh ich Punkt2 bzw.3 nicht ganz. Was bedeutet mit HijackThis fixen? 3. im abgesicherten Modus diese Datein löschen? Hab leider keine Ahnung Vielen Dank! xxtriblexx |
12.02.2005, 12:28 | #4 |
trojaner eingefangen fixen heißt, hijackthis öffnen, vor die von mir genannten einträge haken machen und auf fix it klicken. dateien im abgeischerten modus löschen heißt, eben die von escan gefundenen dateien und die von mir genannten ordner einfach löschen. |
12.02.2005, 16:54 | #5 |
| trojaner eingefangen Hallo Chris, hat lange gedauert, aber hier nun das neue HijackThis log. uebrgens konnte bei der suche nach infected nichts gefunden werden.C:\WINDOWS\system32\sstray.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe C:\Programme\WebWasher\wwasher.exe F:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://allwebseek.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allwebseek.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://allwebseek.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] REM C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinFast Schedule] REM C:\Programme\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] REM "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneDVDElbyDelay] REM "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [CloneCDElbyCDFL] REM "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [HPDJ Taskbar Utility] REM C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [EPSON Stylus C84 Series] REM C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [RAM_DEFRAG] REM O4 - HKLM\..\Run: [DAEMON Tools-1033] REM "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [- ] C:\WINDOWS\auuxv.exe O4 - Startup: WebWasher.lnk = C:\Programme\WebWasher\wwasher.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O4 - Global Startup: SATARaid.lnk = ? O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools\Buyertools Reminder\ReminderIE.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105100635078 O17 - HKLM\System\CCS\Services\Tcpip\..\{C846A4B6-4C45-431B-B83E-BADB0CF42C6B}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE hoffe du kannst damit etwas anfangen. startseite allwebseak wird zumindest nicht mehr geöffnet. nochmal besten dank xxtriblexx |
Themen zu trojaner eingefangen |
adobe, antivir, antivir update, askbar, avg, bho, dateien, download, drivers, excel, explorer, firefox, helfen, hijack, hijackthis, hotkey, immer wieder, internet explorer, logfile, messenger, microsoft, mozilla, mozilla firefox, programme, software, system, system volume information, trojaner, trojaner eingefangen, urlsearchhook, usb, windows, windows messenger, windows xp |