|
Log-Analyse und Auswertung: Hilfe,Trojaner an BordWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.03.2006, 17:14 | #1 |
| Hilfe,Trojaner an Bord Hi, bin gerade neu zu euch gestoßen und würde mich freuen wenn Ihr mir helfen könnt. Habe wohl Trojaner und Keylogger bei mir an Bord.(entfernen, aber wie?) Habe escan durchlaufen lassen und dann die Find.bat benutzt. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Mar 25 10:57:23 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken. Sat Mar 25 10:57:32 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. Sat Mar 25 10:57:35 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken. Sat Mar 25 11:02:02 2006 => File C:\Dokumente und Einstellungen\Test\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv437.jar-34ea88ad-298163b5.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken. Sat Mar 25 14:21:32 2006 => Total Disinfected Objects: 0 Sun Mar 26 15:36:16 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken. Sun Mar 26 15:36:26 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. Sun Mar 26 15:36:29 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken. Sun Mar 26 15:41:13 2006 => File C:\Dokumente und Einstellungen\Test\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv437.jar-34ea88ad-298163b5.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken. Sun Mar 26 16:56:12 2006 => Total Disinfected Objects: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Mar 25 10:57:18 2006 => File C:\Programme\TightVNC\WinVNC.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.h. No Action Taken. Sat Mar 25 11:03:05 2006 => File C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{5B8A38BF-855D-4323-8EFA-195FBD5022F9}\Message Store\Attachments\gewinnspiel.zip tagged as "not-a-virus:AdWare.Win32.Gratis.b". Action Taken: No Action Taken. Sat Mar 25 11:03:06 2006 => File C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{5B8A38BF-855D-4323-8EFA-195FBD5022F9}\Message Store\Attachments\tightvnc-1.2.9-setup.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.h. No Action Taken. Sat Mar 25 11:43:31 2006 => File C:\Programme\TightVNC\VNCHooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.b. No Action Taken. Sun Mar 26 15:36:12 2006 => File C:\Programme\TightVNC\WinVNC.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.h. No Action Taken. Sun Mar 26 15:42:16 2006 => File C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{5B8A38BF-855D-4323-8EFA-195FBD5022F9}\Message Store\Attachments\gewinnspiel.zip tagged as "not-a-virus:AdWare.Win32.Gratis.b". Action Taken: No Action Taken. Sun Mar 26 15:42:17 2006 => File C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{5B8A38BF-855D-4323-8EFA-195FBD5022F9}\Message Store\Attachments\tightvnc-1.2.9-setup.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.h. No Action Taken. Sun Mar 26 16:22:27 2006 => File C:\Programme\TightVNC\VNCHooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.b. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sat Mar 25 10:57:32 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat Sat Mar 25 10:57:33 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy Sat Mar 25 10:57:35 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe Sun Mar 26 15:36:26 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat Sun Mar 26 15:36:27 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Favoriten\online pharmacy Sun Mar 26 15:36:29 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe Sat Mar 25 14:21:33 2006 => Total Errors: 21 Sun Mar 26 16:56:12 2006 => Total Errors: 17 Sat Mar 25 14:21:33 2006 => Time Elapsed: 03:09:12 Sun Mar 26 16:56:12 2006 => Time Elapsed: 02:59:45 Sat Mar 25 14:21:32 2006 => Total Objects Scanned: 67176 Sun Mar 26 16:56:12 2006 => Total Objects Scanned: 63501 Sat Mar 25 10:44:06 2006 => Virus Database Date: 3/24/2006 Sat Mar 25 10:53:03 2006 => Virus Database Date: 3/24/2006 Sat Mar 25 14:21:33 2006 => Virus Database Date: 3/24/2006 Sat Mar 25 14:25:02 2006 => Virus Database Date: 3/24/2006 Sun Mar 26 13:55:10 2006 => Virus Database Date: 3/24/2006 Sun Mar 26 16:56:12 2006 => Virus Database Date: 3/24/2006 Sun Mar 26 18:10:09 2006 => Virus Database Date: 3/24/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ thx Locke733 |
26.03.2006, 17:42 | #3 |
| Hilfe,Trojaner an Bord Hallo,
__________________also ganz ehrlich, ich habe da mittlerweile Zweifel dran. Die zwei Fehlalarme sind schon quasi sicher: 1.) Sat Mar 25 10:57:32 2006 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. false positive 2.) Sat Mar 25 10:57:35 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken. höchstwahrscheinlich false positive Bitte mal die Datei hier überprüfen Warum sollte das andere nicht auch ein Fehlalarm sein? Gerade weil nur ein Registryeintrag gefunden wurde. Poste mal noch ein HijackThis Log, ob ein Dienst "NTAuth" angezeigt wird. Mach außerdem mal noch einen Onlinescan bei Kaspersky und poste das Ergebnis. Und schaue mal ob du eine Datei namens ntsvc.ocx auf deinem System hast (entweder unter Windows oder im System32 Ordner). Grüße Wildone |
26.03.2006, 19:50 | #4 |
| Hilfe,Trojaner an Bord erstmal danke für eure antworten. @Wildone habe die ctfmon getestet ->ergebnis negativ onlinescan mach ich jetzt noch jetzt noch das logfile von highjackthis Logfile of HijackThis v1.99.1 Scan saved at 21:01:34, on 26.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\WINDOWS\system32\ASDscSvc.exe C:\ARCSERVE\msgeng.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TightVNC\WinVNC.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\System32\locator.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Hmonitor\hmonitor.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\CyberLink\PowerCinema\PCMService.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE D:\Support\Viren Progs\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001 O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [hmonitor] C:\Programme\Hmonitor\hmonitor.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119694712625 O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - h**p://secure2.comned.com/signuptemplates/securelogin-devel.cab O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - h**p://support.f-secure.com/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1F9F3A02-C9A5-40A5-8829-676762573078}: NameServer = 85.255.116.142,85.255.112.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{ED524BF3-4CD6-442E-91C9-D3B37F8E8E98}: NameServer = 85.255.116.142,85.255.112.25 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ARCserve Database Engine (ASDBEngine) - Unknown owner - C:\ARCSERVE\dbeng.exe O23 - Service: Cheyenne Discovery Service (ASDiscoverySvc) - Unknown owner - C:\WINDOWS\system32\ASDscSvc.exe O23 - Service: ARCserve Job Engine (ASJobEngine) - Unknown owner - C:\ARCSERVE\jobeng.exe O23 - Service: ARCserve Message Engine (ASMsgEngine) - Unknown owner - C:\ARCSERVE\msgeng.exe O23 - Service: ARCserve Tape Engine (ASTapeEngine) - Unknown owner - C:\ARCSERVE\tapeeng.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Cheyenne Alert Notification Server - Cheyenne Division Of Computer Associates International, Inc. - C:\ALERT\alert.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe (file missing) O23 - Service: LEC TranslateDotNet Server - Unknown owner - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing) |
26.03.2006, 19:54 | #5 |
| Hilfe,Trojaner an Bord Hallo O17 - HKLM\System\CCS\Services\Tcpip\..\{1F9F3A02-C9A5-40A5-8829-676762573078}: NameServer = 85.255.116.142,85.255.112.25 http://www.ripe.net/whois?form_type=..._search=Search Sitzt dein Provider in der Ukraine? Wenn nicht, dann setze bitte neuauf. chaosmanEOD
__________________ Bonus vir semper tiro Geändert von chaosman (26.03.2006 um 20:02 Uhr) |
26.03.2006, 20:08 | #6 |
| Hilfe,Trojaner an Bord wie man sich denken natürlich nicht, habe ich aber auch schon gesehen das die IP's nicht stimmen. Werde ich noch ändern, nur im moment läuft der Onlinescan. Kannst Du mir denn noch mehr zum Logfile sagen ? thx Locke733 ups, oder doch nicht, der PC startet gerade von selbst neu |
26.03.2006, 20:34 | #7 |
| Hilfe,Trojaner an Bord Hallo Locke733, zur Erinnerung * Ermöglicht Dritten den Zugriff auf den Computer * Installiert sich in der Registrierung Dein System ist kompromittiert. Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 Setze neu auf, am besten gleich. SRY chaosman
__________________ Bonus vir semper tiro |
26.03.2006, 21:00 | #8 |
| Hilfe,Trojaner an Bord Ok, werde Deinen Rat befolgen. Ist zwar mal wieder ein haufen Arbeit, aber ist bestimmt sicherer und wahrscheinlich auch noch schneller als ewig lange rum zu probieren. thx & cu Locke733 |
26.03.2006, 21:10 | #9 |
| Hilfe,Trojaner an Bord Hallo, der O17 Eintrag zeigt auf jeden Fall das da etwas gantz ordentlich im argen liegt auf deinem System, insofern schließe ich mich dem Vorschlag des Neuaufsetzens an, auch wenn ich immernoch nicht überzeugt bin das der von chaosman beschriebene Trojaner auf deinem System ist. Hast du eigentlich Acronis nur zum Spass drauf, weil sonst würde es reichen ein sauberes Image zurückzuspielen. Grüße Wildone |
Themen zu Hilfe,Trojaner an Bord |
backdoor, c.exe, c:\windows, cache, ctfmon.exe, einstellungen, entfernen, escan, file, gen, helfen, ide, infected, java, keylogger, neu, not-a-virus, online, programme, symantec, system, system32, total, trojaner, virus, vnc, windows |