|
Log-Analyse und Auswertung: Trojaner - was muß/kann ich tun?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.02.2006, 16:32 | #1 |
| Trojaner - was muß/kann ich tun? Antivir hat heute 2 Trojaner gefunden, die ich sicherheitshalber erstmal in die Quarantäne geschoben habe. Da ich mir nicht sicher bin, ob ein löschen mit Antivir die richtige und Erfolg versprechende Lösung ist möchte ich doch hier lieber mal nachfragen, was zu tun oder zu lassen ist. Hier erstmal der Antivir-Report Erstellungsdatum der Reportdatei: Freitag, 24. Februar 2006 11:20 Job Name: 'Lokale Laufwerke' Es wird nach 318238 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows 2000 Windowsversion: (Service Pack 4) [5.0.2195] Benutzername: SYSTEM Computername: *** Versionsinformationen: AVSCAN.EXE : 7.0.0.21 528424 31.01.2006 10:54:42 AVSCAN.DLL : 7.0.0.21 46632 31.01.2006 10:54:42 LUKE.DLL : 7.0.0.21 114728 31.01.2006 10:54:42 LUKERES.DLL : 7.0.0.21 28200 31.01.2006 10:54:42 ANTIVIR0.VDF : 6.32.0.60 4323840 22.02.2006 08:09:48 ANTIVIR1.VDF : 6.33.0.207 1160192 22.02.2006 08:09:50 ANTIVIR2.VDF : 6.33.1.4 144896 22.02.2006 08:09:52 ANTIVIR3.VDF : 6.33.1.17 30720 22.02.2006 08:09:52 AVEWIN32.DLL : 6.33.0.34 1044992 02.02.2006 10:21:04 AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:54 AVREP.DLL : 6.33.1.0 2392104 22.02.2006 08:09:52 AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:38 AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24 NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48 NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:48 Beginn des Suchlaufs: Freitag, 24. Februar 2006 11:20 Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:' [HINWEIS] Im Laufwerk 'A:' ist kein Datenträger eingelegt! Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen. Die Registry wurde durchsucht ( 45 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\rtrm7jl2.default\parent.lock [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030002.JPG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030003.JPG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030004.JPG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030007.JPG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\09030008.JPG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\***1.jpg [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D21642D3-F90A-4CDB-B04F-74969E1BBA3B}\Message Store\Attachments\thorsten-030421-0315.jpg [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\incredimail_install[2].exe [FUND] Ist das Trojanische Pferd TR/Dldr.ImLoader.B [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4461f72f.qua' verschoben! C:\System Volume Information\tracking.log [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\Downloaded Program Files\CONFLICT.3\imloader.exe [FUND] Ist das Trojanische Pferd TR/Dldr.ImLoader.B [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '446affe5.qua' verschoben! C:\WINNT\system32\Perflib_Perfdata_584.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\config\SYSTEM.ALT [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! E:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden! Auf dem Datenträger befindet sich kein erkanntes Dateisystem. Stellen Sie sicher, dass alle benötigten Dateisystemtreiber geladen sind und dass der Datenträger nicht beschädigt ist. Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden! Falscher Parameter. Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden! Falscher Parameter. Ende des Suchlaufs: Freitag, 24. Februar 2006 14:46 Benötigte Zeit: 3:26:33 min Der Suchlauf wurde vollständig durchgeführt. 5683 Verzeichnisse wurden überprüft 153723 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2756 Archive wurden durchsucht 60 Warnungen 0 Hinweise Mit den Warnungen kann ich leider auch nichts anfangen *schäm* Und hier noch das Hijacklogfile, das für mich genau so ein böhmisches Dorf ist. Logfile of HijackThis v1.99.1 Scan saved at 14:40:26, on 24.02.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\cleanmgr.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\cdplayer.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Yahoo!\Messenger\ypager.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Trillian\trillian.exe C:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://keyword.de.netscape.com/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_1_6_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\adobe\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_1_6_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\System32\cdplayer.exe -tray O4 - HKLM\..\Run: [TrustInstaller] G:\Setup.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\270KDS~1\Mouse\Amoumain.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [PMC] C:\Programme\PMC\pmccheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServicesOnce: [TS-Tune2002] "C:\Programme\Tune 2001\tstune.exe" O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe" O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet O4 - Startup: Fritz!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Companion\Modules\messmod\v2\yhex_O2.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Companion\Modules\messmod\v2\yhex_O2.dll O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINNT\System32\shdocvw.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {00000000-8c7d-4ea8-b113-9163c935d38e} - O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - O16 - DPF: {00000012-890E-4AAC-AFD9-EFF6954A34DD} - O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - h**p://www.media18.de/spezial/active2.exe O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.141/code/PWActiveXImgCtl.CAB O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio4025.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E4E6A930-E37C-4E4D-AC0D-BD77963D3786}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{F6C89A44-2F86-447E-98C2-6E3B4696587C}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe Ich hoffe auf eure Hilfe und bedanke mich schon mal im voraus hexy |
24.02.2006, 17:03 | #2 |
Moderator, a.D. | Trojaner - was muß/kann ich tun? Evtl. handelt es sich um die Adware-Komponente von Incredimail. Du solltest ein anderes Mailprogramm nutzen. Außerdem führ mal eine Datenträgerbereinigung durch (Start - Programme - System - Datenträgerbereinigung?).
__________________Gruß Yopie |
24.02.2006, 17:16 | #3 |
| Trojaner - was muß/kann ich tun? Datenträgerbereinigung und Defrag habe ich gestern erst durchlaufen lassen. Da dürfte also nichts mehr groß passieren.
__________________Incredi läuft allerdings schon seit ein paar Jahren auf dem Rechner und bisher problemlos. Hatte bis jetzt auch noch keine Probleme mit Viren, Trojanern und co. |
24.02.2006, 17:19 | #4 |
Moderator, a.D. | Trojaner - was muß/kann ich tun? Incredimail enthält aber Adware. Es kann sein, dass Antivir das mittlerweile als Trojan/Downloader bezeichnet. Es gibt so viele gute kostenlose Mailprogramme ohne Werbung. Warum also Incredimail? Weils bunt ist und so schön blinkt? Gruß Yopie |
24.02.2006, 17:23 | #5 |
| Trojaner - was muß/kann ich tun? Wieder ein Stück schlauer. Danke Mit Incredi ist es bei mir wohl eher die Macht der Gewohnheit, dass ich mich (noch) nicht trennen mag |
24.02.2006, 17:33 | #6 | |
Moderator, a.D. | Trojaner - was muß/kann ich tun?Zitat:
Gruß Yopie |
24.02.2006, 17:36 | #7 |
| Trojaner - was muß/kann ich tun? Was mich aber noch stutzig macht, auf meinem anderen Rechner, dieser hier ist nur der Ersatz, wird kein Trojaner gefunden obwohl da auch Incredi drauf läuft *grübel* |
24.02.2006, 17:41 | #8 |
Moderator, a.D. | Trojaner - was muß/kann ich tun? Gleiche Versionen von IM, Betriebssystem und AV? Vielleicht hat IM dort die Werbung noch nicht nachgeladen? Gruß Yopie |
24.02.2006, 17:43 | #9 |
| Trojaner - was muß/kann ich tun? Auf dem anderen läuft XP, AV ist die gleiche Version nur bei IM bin ich mir nicht so sicher, denke aber die auf diesem Rechner ist eine ältere. |
24.02.2006, 17:47 | #10 |
| Trojaner - was muß/kann ich tun? Reicht das nun eigentlich, dass ich die beiden Dateien in die Quarantäne geschickt habe oder soll/muß ich noch was anderes damit anstellen? |
24.02.2006, 17:49 | #11 |
Moderator, a.D. | Trojaner - was muß/kann ich tun? Tja, da die Dinger vermutlich eh wiederkommen, falls du Incredimail benutzt, reicht das bloße Verschieben nicht. Antivir kann sich natürlich auch irren bei seiner Einschätzung! Ich stehe AV-Programmen mindestens ebenso skeptisch gegenüber wie Incredimail. Gruß Yopie |
Themen zu Trojaner - was muß/kann ich tun? |
.dll, adobe, antivir, bho, dsl, ebay, einstellungen, excel, explorer, firefox, hijackthis, iminstaller, internet, internet explorer, löschen, microsoft, mozilla, mozilla firefox, nicht gefunden, nicht sicher, nt.dll, programme, quara, registry, rojaner gefunden, sicherheitshalber, temp, trojaner, trojaner gefunden, virus, virus gefunden, warnung, windows, yahoo |