|
Log-Analyse und Auswertung: antivir gehackt??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.09.2005, 09:47 | #1 |
| antivir gehackt?? moin zusammen, hab da seit einer woche ein kleines prob. mit meinem antivir. jetzt findet tauscan seit neustem einigen mist auf meinem rechner, den ich auch nicht weg bekomme. für vorschläge wäre ich echt dankbar. gefunden wurden u.a. tequila bandita 1.3b2.a, back orifice 2000 plugin blowfish a und b und arsd. alles hängt in den antivir dateien und wird zwar gefunden, ist aber nicht löschbar. was kann ich tun? gruß maethes |
27.09.2005, 09:53 | #2 |
| antivir gehackt?? Servus, maethes!
__________________Poste doch mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Dann sehen wir weiter! Bis dann, stupormundi |
27.09.2005, 10:07 | #3 |
| antivir gehackt?? oki, mach ich gerne.
__________________also: Logfile of HijackThis v1.99.1 Scan saved at 11:03:38, on 27.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Agnitum\Tauscan 1.7\Taumon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\The Cleaner\tca.exe C:\Programme\The Cleaner\tcm.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NotePad.exe C:\Programme\Windows NT\Zubehör\wordpad.exe C:\DOKUME~1\MTHES~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Windows Update System Shell] svhostcs32.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Tau Monitor] C:\Programme\Agnitum\Tauscan 1.7\Taumon.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4587/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{84461835-A02B-477A-B9EC-F6EC42997325}: NameServer = 81.173.194.68 194.8.194.60 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe [edit] links entfernt [/edit] Geändert von GUA (27.09.2005 um 19:29 Uhr) |
27.09.2005, 10:11 | #4 | |
| antivir gehackt?? Servus, maethes! Zitat:
Ein Backdoor-Trojaner! Da hilft Dir sinnvollerweise nur noch neu Aufsetzen nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154 Warum ein bloßes Entfernen der Schaddateien nicht ausreicht, ist hier ebenfalls ausführlich beschrieben/verlinkt! Viel Glück dabei, stupormundi |
27.09.2005, 10:19 | #5 |
| antivir gehackt?? ich sach mal danke und mach mich an die arbeit... cu maethes |
27.09.2005, 18:38 | #6 |
| antivir gehackt?? ich hab da ein neues log, allerdings hab ich nun eine fehlermeldung von hjt bekommen, die ich nicht deuten konnte und die nicht in cidres anleitung vermerkt stand. hier mein log nach neuaufbau... Logfile of HijackThis v1.99.1 Scan saved at 19:34:10, on 27.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\WINDOWS\System32\wpabaln.exe C:\Dokumente und Einstellungen\nur netz\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\nur netz\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.internetcologne.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127839512736 O17 - HKLM\System\CCS\Services\Tcpip\..\{35F6C7BD-BACB-42C6-B421-6DAC6D6B4B43}: NameServer = 81.173.194.68 194.8.194.60 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ich hoffe nunmehr clean zu sein, sonst muss ich doch die festplatte erneuern. so long maethes [edit] links entfernt [/edit] Geändert von GUA (27.09.2005 um 19:29 Uhr) |
27.09.2005, 18:44 | #7 |
Administrator, a.D. | antivir gehackt?? Hallo maethes, welche Fehlermeldung hast du denn bekommen? Es wäre für uns schon hilfreich, wenn... btw: Warum wurde das SP2 nicht installiert? Warum wurde HJT nur temporär entpackt? Die Produkt Aktivierung von MS steht noch aus. |
28.09.2005, 09:48 | #8 |
| antivir gehackt?? moin! so sorry! ich weiss jetzt warum ich ne fehlermeldung bekommen habe. ich depp geb hier den computerrookie... wenn hjt nicht als admin ausgeführt wird, kann es ja wohl kaum funzen. nun ja, das haben wir jetzt. warum aber sp2 nicht installiert ist, keine ahnung. ich hab es gestern sicher vier mal versucht. vielleicht fluche ich nicht verständlich genug für diese software. what ever, hier mein aktuelles log. für hilfe bin ich dankbar! maethes ogfile of HijackThis v1.99.1 Scan saved at 10:40:03, on 28.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Messenger\MSMSGS.EXE C:\Dokumente und Einstellungen\hauptnutzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.internetcologne.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127839512736 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe [edit] links entfernt [/edit] Geändert von GUA (28.09.2005 um 17:09 Uhr) |
28.09.2005, 09:55 | #9 | |
| antivir gehackt?? Servus, maethes! Bis auf die von Cidre angesprochenen Punkte (SP2 und HighJackThis) erscheint mir Dein Log sauber! Zitat:
Du hast doch das Sys mit Formatieren neu aufgesetzt? bis dann, stupormundi |
28.09.2005, 12:38 | #10 |
| antivir gehackt?? so, da wären wir wieder. ich habe sp2 installiert und mein xp auch aktiviert. sind die dämlich an der telefonhotline... vielleicht bin es aber auch ich. egal. klar, ich meine hardware technisch. hier mein neuestes log zur geflissentlichen überprüfung. ich danke euch beiden schon mal im voraus! maethes Logfile of HijackThis v1.99.1 Scan saved at 13:35:21, on 28.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\HAUPTN~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127839512736 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe [edit] links entfernt [/edit] Geändert von GUA (28.09.2005 um 17:09 Uhr) |
28.09.2005, 13:05 | #11 |
| antivir gehackt?? Hallo, maethes! Jetzt scheint alles sauber! Bis auf HighJackThis - entpacke es in einem eigenen Verzeichnis, nicht im temp Ordner Alles Gute, stupormundi |
28.09.2005, 22:59 | #12 |
| antivir gehackt?? Hallo, entschuldige, dass ich jetzt erst schreibe, aber da du ja dein OS neu aufgesetzt hast, dürfte fast alles in Ordnung sein. Aber halt nicht Alles, denn du hattest zwei RATs auf HD, einen Neuen TQ und einen Klassiker BO, der aber in geübten Händen auch nicht zu verachten ist! Alle beide waren gut getarnt, gehext und gepackt, deswegen auch kein richtiger Alarm und HJT reagier da auch nicht! Was ich nun eigentlich sagen wollte, dein OS ist ja nun sauber, aber deine PW’s hat die Person, die dir die Sachen übergeholfen hat, trotzdem! Da kannst du formatieren wie du willst, dass nützt da nichts, also bitte alle PW’s ändern, nur dann bist du auf der sicheren Seite! Liebe Grüße, Charlie
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. |
Themen zu antivir gehackt?? |
antivir, dateien, gehackt, hängt, kleines, plugin, rechner, vorschläge, woche, zusammen |