|
Log-Analyse und Auswertung: trojaner spreda???Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.03.2005, 17:13 | #1 |
| trojaner spreda??? heute wurde ich beim serven gewarnt, in etwa so: trojaner " W32.HLLP.SPREDA.B.spy v2.016 " versucht, Ihre Passwörter auszuspionieren. Von IP 244 253 163 44 aus, in Nigeria, über Port 443 hijachthis file : Logfile of HijackThis v1.99.0 Scan saved at 16:54:50, on 22.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe D:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\oodag.exe C:\WINDOWS\system32\devldr32.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WinRAR\WinRAR.exe D:\temp\Rar$EX00.718\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - Global Startup: Microsoft Office.lnk = D:\Programme\frontpage\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1019293468724 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe jetzt lass ich grad noch escan drüberlaufen, reicht das oder brauchts das noch im abgesicherten Modus? Wie soll ich weiter verfahren? Nachdem ich nicht weiß, woher die Warnung kam, hab ich den Verdacht, daß sie selbst eine Finte war. Es kam auch die Frage, ob ich mehr über den Trojaner wissen wolle, hab ich mit ja angeklickt und bin auf einer Seite gelandet, die ein Antivirenprogramm anbieten mit kurzer Erklärung, weis aber nicht mehr, was f eine Seite. Danke Gruß Christof edit: bei mir läuft immer Antivir mit! |
22.03.2005, 17:29 | #2 |
| trojaner spreda??? Hallo!
__________________Scan das ganze System im abges. Modus mit escan, nachher wirst du Klarheit haben. Kann mir gut vorstellen dass es eine Finte war, hat ja nicht Antivir gemeldet, oder? Die wollten doch nur dass du dir dieses AV-Prog saugst=) |
22.03.2005, 19:45 | #3 |
| trojaner spreda??? tx,
__________________hab mit escan normal gescannt, war nix, jetzt nochmal mit abgesichert. C |
22.03.2005, 21:53 | #4 |
| trojaner spreda??? wenn escan nichts findet ist gut, aber mach bitte dennoch n HJT-Logfile mit der neusten HijackThis Version! (v1.99.1) |
23.03.2005, 21:22 | #5 |
| trojaner spreda??? dieses Logfile bei HijackThis ausgewertet ergibt bei "O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" etwas, was mir nicht ganz klar ist, schaut doch mal bitte, ich weiss nicht, was das ist. Wenn ich auf Resultate gehe, kommen so viele Ergebnisse mit "böse" . ??? Danke Christof Logfile of HijackThis v1.99.1 Scan saved at 21:16:00, on 23.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\oodag.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe D:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\system32\devldr32.exe C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe D:\Programme\AVPersonal\INETUPD.EXE C:\Programme\Opera\Opera.exe C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WinRAR\WinRAR.exe D:\temp\Rar$EX00.930\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - Global Startup: Microsoft Office.lnk = D:\Programme\frontpage\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1019293468724 O17 - HKLM\System\CCS\Services\Tcpip\..\{811C9671-E969-49AC-82C4-5E73D5DE0D6E}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe |
24.03.2005, 21:14 | #6 |
| trojaner spreda??? @engl guckst du hier http://www.kephyr.com/filedb/index.p...rnelFaultCheck ansonsten sehe ich nichts besonderes im logfile chaosman
__________________ --> trojaner spreda??? |
25.03.2005, 20:50 | #7 |
| trojaner spreda??? Danke! hier steht dann : Windows Error Reporting Dump Reporting Tool. Found on Windows XP/2003. It shows as a startup item whose execution line usually reads as "KernelFaultCheck" %systemroot%\system32\dumprep 0 –k. DUMPREP creates memory dump reports that you can send to Microsoft if you answer "Yes" when prompted to send such reports. In our experience this entry only shows up for the first time after your PC has experienced a Windows XP "dump" crash, or an Office XP or Internet Explorer 6 crash where you were prompted about sending the crash results to Microsoft. Recommendation : It is our experience that having Error Reporting set to ON only causes more crashes. The mind boggles at this : in both Netscape and Internet Explorer our experience shows that if you turn error reporting ON, you will crash often in either browser, if not sometimes always !! You’ve guessed it, avoid Error Reporting like the plague. In both Windows XP and Windows 2003 turn it OFF by opening the SYSTEM icon in the Control Panel, choosing the ADVANCED tab, and then clicking on Error Reporting. Die letzten 3 Zeilen: -the SYSTEM icon in the Control Panel -choosing the ADVANCED tab -Error Reporting. Kann mir bitte jemand ausdeutschen, welche Icons das bei XP in der deutschen Version sind? edit : systemeigenschaften,starten und wiederherstellen,systemfehler,aber was dann einstellen? bei mir sind dann alle 3 angeklickt,?richtiger weg oder eher nicht? Geändert von engl (25.03.2005 um 21:10 Uhr) |
Themen zu trojaner spreda??? |
abgesicherten modus, antivir, antivir update, avg, bho, escan, explorer, file, frage, hijack, hijackthis, internet, internet explorer, messenger, microsoft, nigeria, port, programme, realplayer, serve, server, software, sun java, system, temp, trojaner, warnung, windows, windows xp, yahoo |