|
Log-Analyse und Auswertung: Trojaner - Hilfe erwünscht!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.08.2005, 08:18 | #1 |
| Trojaner - Hilfe erwünscht! Ich habe mir eine Reihe von Trojanern eingefangen. Nach diversen Säuberungsversuchen sehen die Logs von HJT und escan nun wie unten angezeigt aus. Was muss ich tun, um den verbleibenden Trojaner loszuwerden? Danach ist dann wohl erst einmal ein Updaten des Systems angesagt. Danke im Voraus für die Hilfe! Logfile of HijackThis v1.99.1 Scan saved at 17:52:47, on 14.08.2005 Platform: Windows XP SP1 MSIE: Internet Explorer v6.00 SP1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.***.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: talk&surf 6.0 - Monitor.lnk = C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe Escanlog: -------------------------------------------------- -------------------- INFECTED -------------------- -------------------------------------------------- 1: Sun Aug 14 13:57:07 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* 2: Sun Aug 14 14:21:27 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0011788.exe infected by "Trojan-Dropper.Win32.Vidro.p" Virus! Action Taken: No Action Taken. 3: Sun Aug 14 14:21:29 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0012786.exe infected by "Trojan-Dropper.Win32.Vidro.p" Virus! Action Taken: No Action Taken. 4: Sun Aug 14 14:21:30 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0012801.exe infected by "Trojan-Dropper.Win32.Vidro.p" Virus! Action Taken: No Action Taken. -------------------------------------------------- --------------------- TAGGED --------------------- -------------------------------------------------- 1: Sun Aug 14 14:21:01 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0007033.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 2: Sun Aug 14 14:21:01 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008055.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 3: Sun Aug 14 14:21:02 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008079.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 4: Sun Aug 14 14:21:02 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008093.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 5: Sun Aug 14 14:21:03 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008140.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 6: Sun Aug 14 14:21:04 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008183.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 7: Sun Aug 14 14:21:08 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0008247.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 8: Sun Aug 14 14:21:08 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0008288.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 9: Sun Aug 14 14:21:09 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0009305.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 10: Sun Aug 14 14:21:10 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0009362.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 11: Sun Aug 14 14:21:12 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0009426.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. 12: Sun Aug 14 14:21:28 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0011797.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken. |
15.08.2005, 11:36 | #2 |
| Trojaner - Hilfe erwünscht! Hi,
__________________abgesehen davon, daß Dein System nicht auf dem neuesten Stand ist (SP2 fehlt), ist auch das HJT-Logfile unvollständig. Bitte ganz posten! Dann leere mal den Quarantäne-Ordner von Deinem Antivir. Außerdem Systemwiederherstellung deaktivieren, Rechner ausschalten, Rechner an und dann wieder die Systemwiederherstellung aktivieren, um den Recycler leerzukriegen. cacatoa
__________________ |
16.08.2005, 08:19 | #3 |
| Trojaner - Hilfe erwünscht! Hallo,
__________________ich habe die Ratschläge befolgt. Das vollständige HJT-LOG sieht jetzt wie folgt aus: Logfile of HijackThis v1.99.1 Scan saved at 07:21:39, on 16.08.2005 Platform: Windows XP SP1 MSIE: Internet Explorer v6.00 SP1 Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\SerExt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***p://www.***.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: talk&surf 6.0 - Monitor.lnk = C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe Escan sagt trotz lt. Statistik 1 gefundenen Virus, dass keine Dateien zum Löschen existieren und gibt daher kein Log aus. Ist mein System jetzt "clean"? Danke! |
16.08.2005, 08:53 | #4 | ||
| Trojaner - Hilfe erwünscht! Zitat von Thorsten19: Zitat:
Zitat:
Was hat eScan gefunden? Pfad und Bezeichnung angeben! cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
16.08.2005, 09:10 | #5 |
| Trojaner - Hilfe erwünscht! O.K., habe ich nicht geschrieben: XP SP2 packe ich auf das System, bevor ich das nächste Mal online gehe. Erst einmal wollte ich allerdings das System virenfrei bekommen. Bzgl. Escan: Es wurde eben nichts gefunden, lediglich in der Statistik-Zusammenfassung am Ende gibt es als Auswertung 1 Virus. Escan weigert sich aber beharrlich, die übliche Logauswertung ("infected", "tagged") zu machen, und zwar unter dem Hinweis "es wurden keine Dateien zum Löschen gefunden". |
16.08.2005, 12:11 | #6 |
| Trojaner - Hilfe erwünscht! Hallo@Thorsten19 wenn du die Systemwiederherstellung deaktivierst, sie dann wieder aktivierst, SP2 laedst, dann ist alles in Ordnung ansonsten: Onlinescans http://nikita.eddys-domain.de/onlinescan.html
__________________ --> Trojaner - Hilfe erwünscht! Geändert von Sabina (16.08.2005 um 12:17 Uhr) Grund: hat sich erlaedig ;) |
Themen zu Trojaner - Hilfe erwünscht! |
antivir, avgnt.exe, besitzer, dateien, diverse, escan, explorer, helper, hijack, hijackthis, infected, internet, internet explorer, microsoft, nvidia, programme, software, system volume information, system32, temp, trojaner, update, virus, windows, windows xp |