| |
| |||||||
Log-Analyse und Auswertung: wieder Trojaner?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
25.02.2005, 07:43
| #1 |
 |  wieder Trojaner? Hallo, mein Schutzprogramm meldet laufend Eindringungsversuche von Sinit Trojan. Habe e-Scan durchgeführt und folgendes Ergebnis erhalten: File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. File C:\System Volume Information\_restore{343E0FBC-05F2-4084-8128-81C5C33FB0DE}\RP193\A0135895.dll infected by "not-a-virus:AdWare.TimeSink.c" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{343E0FBC-05F2-4084-8128-81C5C33FB0DE}\RP247\A0175130.exe infected by "not-a-virus: Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. das habe ich mittels Hijack automatisch auswerten lassen und bekomme dies: File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken Unbekannt Laufender Prozess. (autoload.exetaggedasnot-a-virus:Tool.Win32.Autoloader.NoActionTaken.) Dies ist ein unbekannter Prozess. File C:\WINDOWS\Priggle[pgg-10240,de,13f409891f97793a30dcec4cbe71d49a].exe infected by "not-a-virus: Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken Unbekannt Laufender Prozess. (Priggle[pgg-10240,de,13f409891f97793a30dcec4cbe71d49a].exeinfectedby"not-a-virus: Dialer.Win32.Intexdial"Virus.ActionTaken:NoActionTaken.) Dies ist ein unbekannter Prozess. File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. Mein Problem ist nun, dass ich mit dem Windows Suchprogramm diese "Priggle"-Datei nicht finden kann um sie zu löschen. Was kann ich machen?? Ich denke, trotz Anzeige No Action Taken ist sie der Störfaktor. Wie komme ich an die Datei ran?? Lieben Dank für Eure Hilfe im voraus may |
|
25.02.2005, 09:49
| #2 |
  | wieder Trojaner? Poste doch mal bitte ein aktuelles Log von HijackThis, damit wir uns das mal anschauen können.
__________________BTW: Hast Du im WindowsExplorer eingestellt, dass unter 'Versteckte Dateien' alle Dateien angezeigt werden und Dateinamenerweiterungen bei bekannten Dateien nicht ausgeblendet werden?
__________________ |
|
25.02.2005, 10:30
| #3 |
| | wieder Trojaner? Hallo Lutz,
__________________versteckte Ordner und Dateien ausblenden ist aktiviert mein Log: Logfile of HijackThis v1.99.1 Scan saved at 10:28:19, on 25.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe C:\Programme\Personal Security Service\Anti-Virus\FSGK32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Personal Security Service\Common\FSM32.EXE C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\Personal Security Service\Common\FSMA32.EXE C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Personal Security Service\Anti-Virus\fssm32.exe C:\Programme\Personal Security Service\backweb\2581593\Program\fspex.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Personal Security Service\Common\FSMB32.EXE C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe C:\Dokumente und Einstellungen\Birgitt\Eigene Dateien\Eigene eBooks\PostDa\PostDa.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Personal Security Service\Common\FCH32.EXE C:\Programme\Personal Security Service\Common\FAMEH32.EXE C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe C:\Programme\Personal Security Service\Anti-Virus\fsav32.exe C:\Programme\Personal Security Service\FSGUI\fsguiexe.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Birgitt\Eigene Dateien\Eigene eBooks\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.1 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C64 Series (Kopie 1)" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Personal Security Service\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [News Service] "C:\Programme\Personal Security Service\FSGUI\ispnews.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EPSON Stylus C64 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C64 Series (Kopie 1)" /M "Stylus C64" /EF "HKCU" O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O4 - Global Startup: Verknüpfung mit PostDa.exe.lnk = C:\Dokumente und Einstellungen\Birgitt\Eigene Dateien\Eigene eBooks\PostDa\PostDa.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/288b1ed2...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093079138109 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{43D9BC13-746D-4783-99AF-6464677161F6}: NameServer = 192.168.2.1 O23 - Service: T-TeleSec Personal Security Service (BackWeb Plug-in - 2581593) - Unknown owner - C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Personal Security Service\Common\FSMA32.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe nochmal Danke |
|
25.02.2005, 10:39
| #4 | |
| | wieder Trojaner?Zitat:
Das Log schaue ich mir gleich mal näher an...
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
25.02.2005, 10:42
| #5 |
| | wieder Trojaner? sorry, hab was vergessen: " Erweiterung bei bekannten Dateitypen ausblenden" ist nicht aktiviert |
|
25.02.2005, 10:46
| #6 |
| | wieder Trojaner? Also die Log-Datei ist imho unverdächtig. Ich konnte nichts ungewöhnliches entdecken...
__________________ --> wieder Trojaner? |
|
25.02.2005, 11:05
| #7 |
| | wieder Trojaner? hmmm.... habe nochmal suchen lassen: gefunden in der MWAV.LOG - logisch frage mich nur, wenn e-Scan sie auflistet, wo sie dann ist????? kann ich sie im LOG löschen? macht das überhaupt Sinn?? |
|
25.02.2005, 11:28
| #8 |
| | wieder Trojaner? Dort sollte sie sein -> File C:\WINDOWS wie gesagt, deaktiviere mal die Option 'Versteckte Ordner und Dateien ausblenden' Falls die Datei nur noch hier gefunden wird -> C:\System Volume Information\_restore, deaktiviere mal die Systemwiederherstellung (http://www.tu-berlin.de/www/software/virus/sysres.shtml) boote den Rechner neu und aktiviere anschließend die Systemwiederherstellung. Lösche dann mal die Datei C:\bases\MWAV.LOG und scanne danach noch einmal neu mit Escan. Poste anschließend noch einmal den Inhalt der MWAV.LOG.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
25.02.2005, 12:37
| #9 |
| | wieder Trojaner? Danke Lutz, falls ich es heute nicht mehr schaffe, melde ich mich am Montag wieder ich wünsche Dir ein schönes Wochenende - bis dann Gruß may |
|
28.02.2005, 08:11
| #10 |
| | wieder Trojaner? @ Lutz habe deine Tipps erledigt, habe mich auch im System Volume.... umgesehen, konnte die entsprechenden Dateien dort aber nicht finden. Ergebnis vom neuen eScan: File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. diese Datei ist 23,5 KB groß und vom 31.10.2003 Die Angriffe gehen weiter..... weiß jetzt nicht, was ich noch machen soll  Gruß may |
|
28.02.2005, 09:30
| #11 |
  | wieder Trojaner? Mach auch einen Haken bei: "Inhalte von Systemordnern anzeigen"... cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
02.03.2005, 06:52
| #12 |
| | wieder Trojaner? gibt es vielleicht noch ein anderes Scan-Programm (nicht e-Scan) welches ich benutzen könnte? stehe hier unter "Dauerbeschuß"  |
|
| Themen zu wieder Trojaner? |
| .dll, anzeige, auswerten, automatisch, c:\windows, durchgeführt, ergebnis, erhalte, folge, folgendes, hijack, infected, information, meldet, not-a-virus, problem, system, system volume information, trojaner, trojaner?, trotz, unbekannter, windows, _restore |
Linear-Darstellung
