Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: 2 Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.08.2005, 21:52   #1
fetzi
 
2 Trojaner - Standard

2 Trojaner



Hallo,
habe leider ein Problem mit meinem Pc...

hier mal mein Logfile von HiJackThis

Logfile of HijackThis v1.99.1
Scan saved at 22:39:20, on 14.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\GetRight\getright.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\GetRight\getright.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla1.7.8\mozilla.exe
C:\DOKUME~1\meinName\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://www.attbdvtqprwlstfeew.com/akvwubiKh5bsqEwo3xFfYxnmtci2dls15QCQ9QvwUgKbAVn/2FGLzhL7igHYC7/M.jsp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.vgjgoebirpgzbohc.com/akvwubiKh5aHAA7GAvL_3Ww238zvQ9kxdWmdpPAm7FM.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8B6570F4-7446-FE51-351E-D913720BD1F5} - C:\DOKUME~1\meinName\ANWEND~1\MEALFO~1\FLAG DEFAULT.exe
O2 - BHO: (no name) - {D0A68552-E998-FA09-6327-C2F5B6DE4939} - C:\DOKUME~1\meinName\ANWEND~1\MEALFO~1\two cake.exe (file missing)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ball Grey Ping The] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Exit Info Ball Grey\Exit Gpl.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bendpile] C:\DOKUME~1\meinName\ANWEND~1\BYTEDU~1\TypeInterHope.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: CPUCooL.lnk = C:\Programme\CPUCooL\CPUCooL.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - h*tp://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {9136782F-72B1-40CA-BD14-BF6F2271E0FE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {9136782F-72B1-40CA-BD14-BF6F2271E0FE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: h*tp://ad.adnet.biz
O16 - DPF: {27834373-546F-47C4-B71A-4FD4DEFE2F4B} (m2webalizer 1.62) - h*tps://www6.inode.at/config/webchecker16.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120290500796
O17 - HKLM\System\CCS\Services\Tcpip\..\{43248334-3538-4A68-BD17-2531B16705DD}: NameServer = 195.58.160.194 195.58.161.122
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Groove Games Licensing Service - Groove Games - C:\Programme\Gemeinsame Dateien\Groove Games Shared\Service\ggameslicsvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Noch ne Anmerkung ich habe auch mit Antivir, Spybot, Stinger und echeck mein System gescannt... Ich kann natürlich auch alle Logfiles posten aber das wird dann schon ganz schön lang, weil echeck ein ewiges logfile hat...

Antivir lieferte auch 2 Trojaner mit den Namen:
TR/Drop.Agent.co.2
TR/Spy.ProAgen.20.B
Beide in C:\Windows\system32
Von Antivir aufgespürt...

Am meisten stört der Prozess: services.exe mit Dauerbelastung von 5-7 Prozent... dadurch gehen auch Spiele nicht mehr flüssig...
keine Ahnung wieso es läuft ja sonst auch jedes Game mit Winamp, Icq... etc.

danke

mfg fetzi

Geändert von fetzi (14.08.2005 um 22:41 Uhr) Grund: Nachtrag

Alt 14.08.2005, 23:14   #2
Haui45
 
2 Trojaner - Standard

2 Trojaner



Hallo,

auf deinem System befindet/befand sich dieser Schädling.

=> Das System als kompromittiert anzusehen und sollte von dir asap neu aufgesetzt werden.
__________________


Alt 14.08.2005, 23:14   #3
dartus
 
2 Trojaner - Standard

2 Trojaner



Hallo fetzi,

Dein System siehtt ziemlich mitgenommen aus, u.a. war/ist der in Deinem System aktiv:
http://www.sophos.de/virusinfo/analy...ojproratn.html

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

EDIT: Hallo Haui45
__________________
__________________

Alt 15.08.2005, 18:17   #4
fetzi
 
2 Trojaner - Standard

2 Trojaner



Okay also es bringt anscheinend wenig noch irgendwas von meiner C:\ Partition zu behalten ausser die ganzen dateien die noch nicht entzipp worden sind.

Gut Vielen Dank an beide... kann ich wiedermal einen schönen Abend mit Neuaufsetzen und anschließender Treiberinstallation verbringen...

Ha und ich hab noch einen Gefunden... TR/Dldr.Swizzor oder so...

Yeah ich nehms gelassen

Nochmals danke für die schnelle Hilfe

mfg fetzi

Antwort

Themen zu 2 Trojaner
adobe, antivir, avgnt.exe, bho, browser, computer, einstellungen, excel, explorer, firewall, hijack, icqtoolbar, internet, internet explorer, logfile, monitor, mozilla, problem, programme, prozess, rundll, software, system, temp, trojane, trojaner, urlsearchhook, windows, windows xp




Zum Thema 2 Trojaner - Hallo, habe leider ein Problem mit meinem Pc... hier mal mein Logfile von HiJackThis Logfile of HijackThis v1.99.1 Scan saved at 22:39:20, on 14.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) - 2 Trojaner...
Archiv
Du betrachtest: 2 Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.