![]() |
|
Log-Analyse und Auswertung: Neulich Trojaner gelöscht-Ist noch was übrig?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() Neulich Trojaner gelöscht-Ist noch was übrig? Logfile of HijackThis v1.99.1 Scan saved at 12:03:02, on 19.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe F:\Nero 7\InCD\InCDsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe F:\AlienGUIse\wbload.exe C:\WINDOWS\Explorer.EXE F:\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\Rundll32.exe F:\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\RunDll32.exe F:\Spybot - Search & Destroy\TeaTimer.exe F:\AntiVir PersonalEdition Classic\sched.exe F:\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\oodag.exe F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe F:\Opera\Opera.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\++\Desktop\stng260.exe F:\WinRAR\WinRAR.exe C:\DOKUME~1\++\LOKALE~1\Temp\Rar$EX00.937\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.arcor.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Java\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CTSysVol] F:\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [avgnt] "F:\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h++p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h++p://www.creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h++p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h++p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h++ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WB - F:\AlienGUIse\fastload.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Nero 7\InCD\InCDsrv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
![]() | #2 |
Moderator, a.D. ![]() ![]() ![]() ![]() | ![]() Neulich Trojaner gelöscht-Ist noch was übrig? Wenn du nicht noch mehr Infos zum Trojanerfund (Was? Wie? Wo? Wer hats erfunden?) postest, wird dieser Thread entsorgt!
__________________Gruß ![]() Yopie |
![]() | #3 |
![]() | ![]() Neulich Trojaner gelöscht-Ist noch was übrig? Sry ist das erste mal.Da kann man sich auch Fehler erlauben(Hoff ich mal).
__________________Also :Antivir hatte mir ein Trojaner im System32 gemeldet.Es war -vssms32.exe. Es wollte Verbindung mit dem Internet aufbauen,habe es jedoch nicht zugelassen,indem ich es sofort mit Spybot verweigerte und im System32 und windows-firewall löschte.Danach habe ich mein Rechner mit Adware gescannt und restliche funde gelöscht.Wo das hergekommen ist weis ich auch net. Ich denke das reicht an Informationen ![]() |
![]() | #4 |
Moderator, a.D. ![]() ![]() ![]() ![]() | ![]() Neulich Trojaner gelöscht-Ist noch was übrig? Als was wurde der Trojaner denn bezeichnet? Du hast leider nur den Dateinamen angegeben. Und was hast du ausgeführt, damit er sich installierte? Im Log konnte ich nichts erkennen. Gruß ![]() Yopie |
![]() | #5 |
![]() | ![]() Neulich Trojaner gelöscht-Ist noch was übrig? Wurde von Antivir als Backdoor erkannt,aber habe wie gesagt sofort das Ding mit Spybot verweigert ,damit es keine Verbindung aufbauen kann.Habe ein .rar datei geöffnet und Antivir schlug sofot alarm. Hoffe alles richtig gemacht zu haben edit:Habe es nicht installiert ,wollte es aber ![]() |
![]() | #6 |
/// Helfer-Team ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Neulich Trojaner gelöscht-Ist noch was übrig? Solltest Du Dich bei der Beschreibung des Schädlinges nicht verschrieben haben, war der aktiv: http://www.sophos.de/security/analyses/trojbdooryp.html Dann wäre IMHO eine Neuinstallation notwendig. @Moin Yopie ![]()
__________________ --> Neulich Trojaner gelöscht-Ist noch was übrig? |
![]() | #7 |
Moderator, a.D. ![]() ![]() ![]() ![]() | ![]() Neulich Trojaner gelöscht-Ist noch was übrig? Wenn du sicher bist, dass noch nichts installiert wurde, hast du vermutlich Glück gehabt. Ich rate aber dennoch zu einem Scan mit eScan. Anleitung in der Signatur beachten, auch alle Hinweise zur find.bat lesen und beachten, wenn du die Funde posten willst. Wenn du nicht sicher bist, dann befolge die Anleitung zum Entfernen eines Backdoors in meiner Signatur. Gruß ![]() Yopie |
![]() |
Themen zu Neulich Trojaner gelöscht-Ist noch was übrig? |
adobe, antivir, avg, avira, bho, desktop, dll, einstellungen, explorer, hijack, hijackthis, icqtoolbar, internet, internet explorer, logfile, microsoft, object, opera, programme, rundll, shockwave, software, system, temp, trojaner, tuneup utilities, urlsearchhook, windows, windows xp |