| |
| |||||||
Log-Analyse und Auswertung: Diverse Trojaner- falls möglich, wie entfernen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.07.2006, 03:17
| #1 |
| |  Diverse Trojaner- falls möglich, wie entfernen? Hallo, seit ein paar Tagen schlägt AntiVir fast ständig Alarm. Laut Guard hab ich mir folgende Trojaner eingefangen: -TR/Dldr.Small.buy.1 -TR/Dldr.QQHelp.AP -TR/Dldr.Smartl.A.2 -TR/Dldr.180Sol.AK.2 Laut Antivir Scan noch diesen: TR/Proxy.Agent.CV.9 Ich bin ratlos, wie ich jetzt am besten vorgehe, einfach löschen funktioniert nicht. Google sagt mir auch nicht zu allen o.g. Typen was. Darum hier das HiJackThis-logfile in der Hoffnung auf Expertenrat  Logfile of HijackThis v1.99.1 Scan saved at 19:51:44, on 03.07.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gizmo Project\mDNSResponder.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Network Monitor\netmon.exe C:\Programme\Linksys\Wireless-G Notebook Adapter\NICServ.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\winws.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\tp4mon.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\dfndrc_4.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\WINDOWS\System32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe c:\windows\mdrive\dr.exe c:\windows\mdrive\myz.exe C:\WINDOWS\System32\cidaemon.exe C:\downloads\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe O4 - HKLM\..\Run: [keyboard] C:\\kybrdc_4.exe O4 - HKLM\..\Run: [newname] C:\\nwnmc_4.exe O4 - HKLM\..\Run: [defender] C:\\dfndrc_4.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1 O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [1&1_1&1 SoftPhone] "C:\Programme\1&1\1&1 SoftPhone\IPPhone.exe" /hide O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer\Add_UrlO.htm O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer\Add_AllO.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} - O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://216.123.238.207/activex/AxisCamControl.cab O20 - AppInit_DLLs: C:\WINDOWS\System32\taskmgr.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Gizmo Project\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe O23 - Service: NICSer_WPC54G - Unknown owner - C:\Programme\Linksys\Wireless-G Notebook Adapter\NICServ.exe O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing) O23 - Service: Windows Config System - Unknown owner - C:\WINDOWS\system32\winws.exe Und hier noch die Ergebnisse von Antivir: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Freitag, 30. Juni 2006 16:50 Es wird nach 424574 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (plain) [5.1.2600] Benutzername: Kerstin Computername: GOLDSTUECK Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 02.02.2006 09:17:40 AVSCAN.DLL : 7.0.0.42 57384 02.02.2006 09:17:40 LUKE.DLL : 7.0.0.42 118824 02.02.2006 09:17:41 LUKERES.DLL : 7.0.0.42 32808 02.02.2006 09:17:41 ANTIVIR0.VDF : 6.35.0.1 7371264 02.02.2006 09:17:39 ANTIVIR1.VDF : 6.35.0.117 402944 02.02.2006 09:17:39 ANTIVIR2.VDF : 6.35.0.118 2048 02.02.2006 09:17:39 ANTIVIR3.VDF : 6.35.0.119 2048 02.02.2006 09:17:39 AVEWIN32.DLL : 7.1.0.19 1544704 02.02.2006 09:17:40 AVPREF.DLL : 7.0.0.1 53288 02.02.2006 09:17:40 AVREP.DLL : 6.35.0.85 696360 02.02.2006 09:17:40 AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 05:56:10 AVPACK32.DLL : 7.1.0.1 335912 02.02.2006 09:17:40 AVREG.DLL : 6.31.0.90 27688 02.02.2006 09:17:40 NETNT.DLL : 6.32.0.0 6696 02.02.2006 09:17:41 NETNW.DLL : 6.32.0.0 9768 02.02.2006 09:17:41 RCIMAGE.DLL : 7.0.0.71 1642536 02.02.2006 09:17:44 RCTEXT.DLL : 7.0.0.75 77864 02.02.2006 09:17:44 Konfiguration für den aktuellen Suchlauf: Job Name......................: Lokale Laufwerke Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Bootsektoren..................: C,D,E,F,H Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 1 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Freitag, 30. Juni 2006 16:50 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 42 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Scan der Registry auf Verweise zu ausführbaren Dateien. C:\WINDOWS\update\updmgr.exe [FUND] Ist das Trojanische Pferd TR/Proxy.Agent.CV.9 [INFO] Eine Sicherungskopie wurde unter dem Namen 4509ab4b.qua erstellt ( QUARANTÄNE ) [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\WINDOWS\update\updmgr.exe [FUND] Ist das Trojanische Pferd TR/Proxy.Agent.CV.9 Die Registry wurde durchsucht ( 24 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\call256.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\chat512.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\chatmsg256.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\chatmsg512.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\contactgroup256.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\index2.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\profile16384.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\transfer256.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\transfer512.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\user1024.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\user16384.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\user256.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\user4096.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\voicemail256.dbb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für RegSeeker.zip\RegSeeker\RegSeeker.exe [FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted) [INFO] Eine Sicherungskopie wurde unter dem Namen 450cace3.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\hsperfdata_SYSTEM\768 [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\update\updmgr.exe [FUND] Ist das Trojanische Pferd TR/Proxy.Agent.CV.9 [INFO] Eine Sicherungskopie wurde unter dem Namen 4509caa1.qua erstellt ( QUARANTÄNE ) [WARNUNG] Die Datei konnte nicht gelöscht werden! Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Freitag, 30. Juni 2006 23:44 Benötigte Zeit: 6:54:17 min Der Suchlauf wurde vollständig durchgeführt. 12969 Verzeichnisse wurden überprüft 1118668 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4621 Archive wurden durchsucht 40 Warnungen 0 Hinweise Ich wäre extrem dankbar für Hinweise, LG, Kerstin |
| Themen zu Diverse Trojaner- falls möglich, wie entfernen? |
| adobe reader, antivir, appinit_dlls, application, avira, bho, bonjour, computer, entfernen, excel, firefox, google, hijack, index, internet, internet explorer, mozilla, mozilla firefox, nicht gefunden, nt.dll, prozesse, quara, registry, scan, server, software, suchlauf, system, trojaner, trojaner eingefangen, verweise, virus, virus gefunden, warnung, wie entfernen, wie entfernen?, windows, windows xp, windows\temp |
Baum-Darstellung