|
Log-Analyse und Auswertung: FUck Trojaner!!!! brauche mal hilfe!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.07.2006, 13:04 | #1 |
| FUck Trojaner!!!! brauche mal hilfe!!! hallo! habe seit ein paar tagen voll die probleme mit trojanern!!! hier mal ein paar namen die mir antivir ausspuckt!! TR/PCK.Klone.G.5 TR/Dldr.Qworke.A.3 TR/Dldr.Zlob.PM.5 DR/Spy.Figent.H TR/Dldr.Zlob.XZ.2 und ad aware sagt ich hät 2 "Virtumonde", die ich auch nicht gelöscht bekomme! habe mich schon dürch das forum gelesen, aber irgent wie nicht die richtige antwort bei gehabt! hier mein hijackthis! Logfile of HijackThis v1.99.1 Scan saved at 13:57:46, on 12.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\McAfee\QuickClean\Plguni.exe D:\Programme\D-Tools\daemon.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\ISW\alice\signup\Tray.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\MSNMES~1\msnmsgr.exe D:\DownloadProgs\hj\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R3 - Default URLSearchHook is missing O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: AOL 7.0 - {FC38ED9F-BCF8-4E1D-AAE6-D4C40A94A8EF} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121893205265 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A8FF770C-4835-43AA-A09B-5F21FF8B742E}: NameServer = 213.191.74.19 213.191.92.87 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe hab auch schon Smitfraudfix durchlaufen lassen, aber bevor ich HijackThis gemacht hatte! danach noch RootkitRevealer! hier sein bericht: HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 12.07.2006 12:40 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44e4d7d4.qua 12.07.2006 13:06 73.44 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44e4d7dd.qua 12.07.2006 13:06 8.93 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44e4d7ec.qua 12.07.2006 13:06 11.23 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44e4d7ef.qua 12.07.2006 13:06 76.94 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44e4d7f4.qua 12.07.2006 13:06 11.23 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44e4d7f6.qua 12.07.2006 13:06 75.44 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44e4d7fe.qua 12.07.2006 13:06 31.94 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44e4d802.qua 12.07.2006 13:06 176.63 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4522da12.qua 12.07.2006 13:14 18.30 KB Hidden from Windows API. C:\System Volume Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP536\A0056296.exe 08.07.2006 16:41 73.02 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP536\A0056430.tlb 10.07.2006 11:18 8.50 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP536\A0056444.exe 08.07.2006 16:48 10.81 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP536\A0056446.exe 10.07.2006 00:41 76.52 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP537\A0056489.exe 10.07.2006 15:53 10.81 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP537\A0056492.exe 10.07.2006 15:51 75.02 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP537\A0056672.exe 11.07.2006 22:21 31.52 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP537\A0056674.dll 25.10.2005 03:48 176.21 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\Temp\win2BF.tmp 12.07.2006 13:12 0 bytes Hidden from Windows API. C:\WINDOWS\Temp\win2C0.tmp 12.07.2006 13:15 0 bytes Visible in directory index, but not Windows API or MFT. D:\System Volume Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP535\A0056232.exe 08.07.2006 16:39 74.14 KB Visible in Windows API, but not in MFT or directory index. auch meine internet verbindung haut ständig ab, werde dauernt aufgefordert mich neu einzulogen! bitte helft mir!! |
12.07.2006, 14:01 | #2 | ||
Administrator > Competence Manager | FUck Trojaner!!!! brauche mal hilfe!!! Hallo,
__________________1.) Lösche deinen Quarantäne Ordner von Antivir! Schalte dann die Systemwiederherstellung aus So wirds gemacht! Starte dann den Rechner neu. STW kann wieder aktiviert werden. 2.) lass folgende Dateien hier auswerten: --> Virustotal Zitat:
3.) Fixe mit HijackThis folgende Zeilen: (im abgesicherten Modus!) Zitat:
Daniel
__________________ |
12.07.2006, 21:14 | #3 |
| FUck Trojaner!!!! brauche mal hilfe!!! habe schritt 1. und 2. jetzt durchgefürt!
__________________bei virustotal kam bei beiden datein "VIRUS not found" raus! schritt 3. bin ich jetzt am machen! wars das dann schon? oder was soll ich nun machen! bitte helft mir! |
12.07.2006, 21:34 | #4 |
| FUck Trojaner!!!! brauche mal hilfe!!! Hallo Da Tuba, mache sicherheitshalber noch einen EScan : http://www.trojaner-board.de/showthread.php?t=24192 Poste die Ergebnisse. Irrlicht |
12.07.2006, 21:36 | #5 |
| FUck Trojaner!!!! brauche mal hilfe!!! schritt 3 geht im abgesicherten modus nicht! hier der HijackThis scan: (diesmal im abgesicherten modus) Logfile of HijackThis v1.99.1 Scan saved at 22:33:21, on 12.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE D:\DownloadProgs\hj\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.karstadt.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: AOL 7.0 - {FC38ED9F-BCF8-4E1D-AAE6-D4C40A94A8EF} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121893205265 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe habe ebend den scan nochmal gemacht, im normalen modus, und da is die zeile wieder dabei! soll ich sie im normalem modus fixen??? |
Themen zu FUck Trojaner!!!! brauche mal hilfe!!! |
ad aware, antivir, avira, components, einstellungen, explorer, firefox, helper, hijack, hijackthis, hilfe!!, hilfe!!!, infected, internet, internet explorer, microsoft, mozilla, mozilla firefox, neu, nvidia, programme, rundll, software, system, temp, trojaner, uleadburninghelper, urlsearchhook, virtumonde, windows, windows xp, windows\temp |