| |
| |||||||
Log-Analyse und Auswertung: TR/PSW.LdPinch.jm1 und HTML/Exploit.MhtmlWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
19.09.2005, 09:19
| #1 |
| |  TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hallo liebe Helferlein eine Freundin öffnete gestern einen Link zu einer vermeindlichen Grußkarte auf meinem Rechner und ich bekam den Trojaner TR/PSW.LdPinch.jm1 und den HTML Scriptvirus HTML/Exploit.Mhtml geschenkt. Hier mein Logfile Logfile of HijackThis v1.99.1 Scan saved at 09:57:58, on 19.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\winampa.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\KeirNet\K9\K9.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\kittylie\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095669545015 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe Was soll ich tun? Ich hoffe es ist noch nicht allzu schlimm ... Ganz vielen Dank für eure Hilfe im Vorraus! Estrela  |
|
19.09.2005, 09:39
| #2 | |
 |  TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hi Estrela,
__________________Zitat:
Trotzdem Bitte auf die Experten, Admins und Moderatoren Meinungen abwarten. Ansonsten sieht es meiner Meinung nach sehr sauber aus. Das sauberste was ich bis jetzt gesehen habe. mfG Alpay PS: scheint so dass HTML/Exploit.Mhtml nichts angerichtet hat. |
|
19.09.2005, 09:44
| #3 |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hallo Alpay
__________________ganz vielen Dank für die super schnelle Antwort! Dann bin ich schonmal beruhigt... wie gesagt es war gestern abend.. vielleicht weil ich ihn so schnell bemerkt hab..muss ich dann nichts "bereiningen"? Ich warte dann noch auf die Antworten! Danke danke!!!  |
|
19.09.2005, 15:42
| #4 | ||
  | TR/PSW.LdPinch.jm1 und HTML/Exploit.MhtmlZitat:
Wo wurde der Trojaner gefunden (z.B. C:\Windows\abcd.exe)? Zitat:
Ansonsten kann ich '!alpay!' nur zustimmen, das Log schaut sauber aus.  |
|
19.09.2005, 18:17
| #5 |
| |  TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hallo lieber Haui also hab alle Temp Files wie befohlen gelöscht, dann eScan ordenltlich entpackt, der erzählt mir eine lange Geschichte von Viren (18), die er findet: Hier ein Ausschnitt Object gain.gator Spyware/Adware found in File System. No action taken Object claria Spyware/Adware found in File System. No action taken Object EverAd Spyware/Adware found in File System. No action taken Object gain.gator Spyware/Adware found in File System. No action taken Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModulUsage"refers to invalid object"C:\Windows\System32\iuvtl.dll."No action taken Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Windows\System32\iuctl.dll. No action taken Das geht dann immer so weiter.... Entry "HKCU.. Entry"HKCR.. DAnn am Ende sagt er noch File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as "not a virus: AdWare Gator.6041" No action taken File C:\Programme\Gemeinsame Dateien\GMT\eglEEngine.dll tagged as "not-a-virus.Gator6041." No avtion taken File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll tagges as "not-a-virus:AdWare Gator 6041 No action taken File C:\Programme\Gemeinsame Dateien\GMT\Guninstaller.exe tagged as "not-a-virus: adWare.Gator6041" No action taken. Ja das war also nur der Anfang und das Ende vom eScan.... Jedenfalls findet eScan was, AntiVir jedoch nicht mehr  Vielen vielen Dank nochmal für die schnelle Hilfe!! Super das es so ein Forum gibt! (Hoffentlich werdet ihr ordentlich entlohnt dafür;-)) |
|
19.09.2005, 18:50
| #6 |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hallo, kannst du das Ergebnis bitte noch mal mit der Find.bat posten? Lösche diese Ordner: C:\Programme\Gemeinsame Dateien\CMEII\ C:\Programme\Gemeinsame Dateien\GMT Scanne mit Spybot Search&Destroy und Ad-Aware. Lass' alle Probleme beheben. |
|
19.09.2005, 19:13
| #7 |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hallo Haui45 ich hab irgendwie keine mwav.log Datei in meinem C:\bases_X Ordner. Hm.. ich mache noch mal einen eScan. Bis gleich Estrela |
|
19.09.2005, 21:14
| #8 |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hallo Haui45 hier nun meine eScan Auswertung mit find.bat: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Sep 19 20:29:30 2005 => System found infected with gain.gator Spyware/Adware ({21ffb6c0-0da1-11d5-a9d5-00500413153c})! Action taken: No Action Taken. Mon Sep 19 20:40:33 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Mon Sep 19 21:36:01 2005 => Scanning Folder: D:\kitty_alte_dateien\Software\AVPersonal\INFECTED\*.* Mon Sep 19 21:52:16 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Sep 19 20:43:34 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:43:34 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:43:34 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:43:35 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken. Mon Sep 19 20:43:35 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:43:35 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:43:35 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:43:35 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:43:35 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:43:35 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:43:35 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:44:57 2005 => File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:44:57 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. Mon Sep 19 20:44:58 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe tagged as "not-a-virus:AdWare.Gator.6041". Action Taken: No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Sep 19 20:29:32 2005 => Offending Folder found: C:\DOKUME~1\ALLUSE~1.WIN\STARTM~1\PROGRA~1\GAIN Publishing Mon Sep 19 20:29:32 2005 => Offending Folder found: C:\DOKUME~1\kittylie\ANWEND~1\everad Mon Sep 19 20:29:32 2005 => Offending Folder found: C:\PROGRA~1\gator.com Mon Sep 19 21:52:16 2005 => Total Virus(es) Found: 18 Mon Sep 19 21:52:17 2005 => Total Errors: 251 Mon Sep 19 21:52:17 2005 => Time Elapsed: 01:23:39 Mon Sep 19 21:52:16 2005 => Total Objects Scanned: 79845 Mon Sep 19 20:27:58 2005 => Virus Database Date: 2005/09/09 Mon Sep 19 21:52:17 2005 => Virus Database Date: 2005/09/09 Mon Sep 19 21:54:46 2005 => Virus Database Date: 2005/09/09 Die Dateien sind gelöscht ich muss noch mit den von Dir angegeben Programmen scannen.. Hoffentlich isser dann wech..:-) DANKE  |
|
19.09.2005, 22:14
| #9 |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Wenn du die Ordner gelöscht hast und mit den beiden Programmen gescannt hast: Lösche C:\bases_x\mwav.log C:\DOKUME~1\ALLUSE~1.WIN\STARTM~1\PROGRA~1\GAIN Publishing C:\PROGRA~1\gator.com Suche den Schlüssel 21ffb6c0-0da1-11d5-a9d5-00500413153c in der Registry (Start-> Ausführen-> "regedit" -> [Enter]) und lösche ihn, oder richte dich am besten gleich nach der Beschreibung von Trendmicro. Überprüfe um was für einen Ordner es sich bei C:\DOKUME~1\kittylie\ANWEND~1\everad handelt bzw. welche Dateien er enthält. Führe die Datei c:\bases_x\kavupd.exe bei bestehender Internetverbindung aus. Starte den PC im abgesicherten Modus und scanne erneut mit eScan. Neustart u. eScan-Ergebnisse posten. |
|
20.09.2005, 16:43
| #10 |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hallo Haui45 leider existieren diese Ordner nicht. C:\DOKUME~1\ALLUSE~1.WIN\STARTM~1\PROGRA~1\GAIN Publishing C:\PROGRA~1\gator.com Den Schlüssel in der Registry kann ich ebenso nicht finden, das von Dir empfohlene Programm kann ich zwar runterladen, aber nicht entpacken... Hm. Bin ich zu blöd? Oder sind die Dateien schon durch die vorherigen Scans gelöscht worden die ich durchgeführt hab? Estrela |
|
20.09.2005, 17:35
| #11 | |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.MhtmlZitat:
Was hat der erneute eScan ergeben? |
|
20.09.2005, 18:46
| #12 |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hallo Haui45 hier mein neuer eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Sep 20 18:17:39 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Tue Sep 20 18:27:51 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Sep 20 19:21:55 2005 => Scanning Folder: D:\kitty_alte_dateien\Software\AVPersonal\INFECTED\*.* Tue Sep 20 19:37:39 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Sep 20 18:17:39 2005 => Offending file found: C:\DOKUME~1\kittylie\LOKALE~1\Temp\insthelp.dll Tue Sep 20 19:37:39 2005 => Total Virus(es) Found: 1 Tue Sep 20 19:37:39 2005 => Total Errors: 256 Tue Sep 20 19:37:39 2005 => Time Elapsed: 01:20:56 Tue Sep 20 19:37:39 2005 => Total Objects Scanned: 78953 Tue Sep 20 18:16:23 2005 => Virus Database Date: 2005/09/20 Tue Sep 20 19:37:39 2005 => Virus Database Date: 2005/09/20 Tue Sep 20 19:37:50 2005 => Virus Database Date: 2005/09/20 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Schaut schon besser aus, oder? Trotzdem immer noch 1 Virus.. Mit dem Programm welches ich nicht entpacken (oder bedienen) kann meine ich ADW_GATOR.A von trendmicro.com, das ich anstelle des Schlüssel-Suchens in der Registry verwenden sollte...hmpf... Danke Estrela |
|
20.09.2005, 18:54
| #13 |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Du brauchst von der Seite nichts herunterzuladen, ich habe sie nur als zusätzliche Info gepostet. Start-> Ausführen-> "%temp%" -> Eingabetaste und dann alle Dateien [1] löschen, am besten im abgesicherten Modus. Alternativen Browser wählen und Surfverhalten anpassen. [1] Die Ordneroptionen bitte so setzen: Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Gruß Haui |
|
20.09.2005, 19:37
| #14 |
| |  TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Hallo Haui45 gut hab alles gemacht! Nochmal eScan? Das mit dem Surfverhalten und anderem Browser lese ich mir mal in Ruhe durch:-) Ich danke Dir nochmal ganz herzlich! Gruß Estrela |
|
20.09.2005, 20:20
| #15 |
| | TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml Bitte Ein erneuter eScan wird wohl nicht nötig sein. Trotzdem kann es nicht schaden, wenn du das System in regelmäßigen Abständen damit überprüfst. Vorher aber bitte immer updaten. |
|
| Themen zu TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml |
| .com, adobe, antivir, bho, canon, computer, dll, explorer, heulen, hijack, hijackthis, html/exploit.mhtml, icq, internet, internet explorer, launch, logfile, microsoft, programme, rundll, software, system, temp, trojaner, usb, vielen dank, virus, windows, windows xp |
Linear-Darstellung
