| |
| |||||||
Log-Analyse und Auswertung: Bitte durchcheckenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
07.10.2006, 20:58
| #1 |
| |  Bitte durchchecken Hallo, seit gestern wird mein Computer immer wieder von Trojanern befallen. TR/Proxy.Wpla.AC.6, W32/Bizex.A.DLL, TR/Click.Agent.HZ8 sind die häufigsten Meldungen meines Virenscanners. Meine Firewall erkennt die Viren offenbar nicht... Hier mein File: Schon mal danke für die Hilfe! Logfile of HijackThis v1.99.1 Scan saved at 21:53:05, on 07.10.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\inet20004\winlogon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\jmsyjyis.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\inet20004\mmx77.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX06.313\HijackThis.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINDOWS\inet20004\107115252.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [jmsyjyis] C:\WINDOWS\System32\jmsyjyis.exe O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [jmsyjyis] C:\WINDOWS\System32\jmsyjyis.exe O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_09\bin\npjpi142_09.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_09\bin\npjpi142_09.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=h**p://www.t-online.de O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**p://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://banking.seb.de/hbci/plugin/AXFOAM.CAB O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - h**p://www.symantec.com/techsupp/asa/ctrl/SymAData.cab O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - h**p://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - h**p://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BBC41698-9280-4166-BA0A-3B67F4450A20}: NameServer = 217.237.151.115 217.237.150.188 O20 - Winlogon Notify: ppts16 - ppts16.dll (file missing) O21 - SSODL: IEFilter - {AA9B053D-7331-47D9-AE69-ACD8E4407E6D} - C:\WINDOWS\system32\IEFilter.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
07.10.2006, 21:20
| #2 |
| /// Helfer-Team    | Bitte durchchecken Lasse mal online scannen:
__________________C:\WINDOWS\inet20004\winlogon.exe und poste das Ergebnis.
__________________ |
|
07.10.2006, 21:30
| #3 |
| | Bitte durchchecken STATUS: FINISHEDComplete scanning result of "winlogon.exe", received in VirusTotal at 10.07.2006, 22:27:04 (CET).
__________________Antivirus Version Update Result AntiVir 7.2.0.25 10.06.2006 HEUR/Malware Authentium 4.93.8 10.06.2006 could be infected with an unknown virus Avast 4.7.892.0 10.07.2006 Win32:Cws-J AVG 386 10.07.2006 no virus found BitDefender 7.2 10.07.2006 Generic.Malware.SP!dldPk!.8C9C4667 CAT-QuickHeal 8.00 10.07.2006 (Suspicious) - DNAScan ClamAV devel-20060426 10.07.2006 no virus found eTrust-InoculateIT 23.73.16 10.07.2006 no virus found eTrust-Vet 30.3.3118 10.06.2006 Win32/Chopenoz!generic DrWeb 4.33 10.07.2006 no virus found Ewido 4.0 10.07.2006 no virus found Fortinet 2.82.0.0 10.07.2006 no virus found F-Prot 3.16f 10.06.2006 could be infected with an unknown virus F-Prot4 4.2.1.29 10.06.2006 generic Ikarus 0.2.65.0 10.07.2006 no virus found Kaspersky 4.0.2.24 10.07.2006 Trojan-Downloader.Win32.CWS.aa McAfee 4868 10.06.2006 no virus found Microsoft 1.1603 10.07.2006 Krepper NOD32v2 1.1794 10.06.2006 probably a variant of Win32/TrojanDownloader.CWS Norman 5.80.02 10.06.2006 W32/Suspicious_M.gen Panda 9.0.0.4 10.07.2006 Adware/SecurityError Sophos 4.10.0 10.05.2006 Mal/Packer TheHacker 6.0.1.093 10.06.2006 no virus found UNA 1.83 10.06.2006 no virus found VBA32 3.11.1 10.06.2006 suspected of Backdoor.Zarabot.1 VirusBuster 4.3.7:9 10.07.2006 no virus found ...hatte die oben genannte Datei auch schon im Visier. Sie lässt sich aber nicht löschen. Gibts da ne Möglichkeit? |
|
07.10.2006, 21:41
| #4 |
| /// Helfer-Team | Bitte durchchecken Lasse mit den beiden anderen Links in meiner Signatur ebenfalls prüfen.
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
|
07.10.2006, 21:53
| #5 |
| | Bitte durchchecken Datei: winlogon.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH, MEW AntiVir Heuristic/Malware gefunden (mögliche Variante) ArcaVir Keine Viren gefunden Avast Win32:Cws-J gefunden AVG Antivirus Keine Viren gefunden BitDefender Generic.Malware.SP!dldPk!.8C9C4667 gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus unknown virus gefunden (mögliche Variante) Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.CWS.aa gefunden NOD32 probably a variant of Win32/TrojanDownloader.CWS gefunden (mögliche Variante) Norman Virus Control W32/Suspicious_M.gen gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Backdoor.Zarabot.1 gefunden (mögliche Variante) und.... Zu überprüfende Datei: winlogon.exe - Infiziert winlogon.exe Infiziert: Trojan-Downloader.Win32.CWS.aa Statistiken: Bekannte Viren: 229843 Updated: 07-10-2006 Größe der Datei (Kb): 11 Viren-Korpus: 1 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 |
|
08.10.2006, 15:55
| #6 |
| /// Helfer-Team | Bitte durchchecken Ich halte die Datei schon für bedenklich. Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis. Wenn es nichts bringt, sollte eine Neuinstallation in Betrcht gezogen werden.
__________________ --> Bitte durchchecken |
|
08.10.2006, 16:00
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™  | Bitte durchchecken IMHO bringt das Bereinigen garnichts mehr, das System ist veraltet (nur SP1) und kompromittiert. Also Neuaufsetzen.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
08.10.2006, 21:41
| #8 |
| | Bitte durchchecken Hier das Ergebnis von Blcklight: 10/08/06 22:16:26 [Info]: BlackLight Engine 1.0.47 initialized 10/08/06 22:16:26 [Info]: OS: 5.1 build 2600 (Service Pack 1) 10/08/06 22:16:27 [Note]: 7019 4 10/08/06 22:16:27 [Note]: 7005 0 10/08/06 22:16:32 [Note]: 7006 0 10/08/06 22:16:32 [Note]: 7011 1128 10/08/06 22:16:32 [Note]: 7026 0 10/08/06 22:16:32 [Note]: 7026 0 10/08/06 22:16:32 [Note]: 7024 3 10/08/06 22:16:32 [Info]: Hidden process: C:\WINDOWS\system32\protector.exe 10/08/06 22:16:32 [Note]: FSRAW library version 1.7.1020 10/08/06 22:19:06 [Note]: 4013 31282 10/08/06 22:19:06 [Note]: 4020 9572 4063232 10/08/06 22:19:06 [Note]: 4020 9572 4063232 10/08/06 22:19:06 [Note]: 4018 9572 4063232 10/08/06 22:19:06 [Note]: 4013 31282 10/08/06 22:19:06 [Note]: 4020 9572 4063232 10/08/06 22:19:06 [Note]: 4018 9572 4063232 10/08/06 22:27:37 [Info]: Hidden file: c:\WINDOWS\system32\ntio256.sys 10/08/06 22:27:37 [Note]: 7002 0 10/08/06 22:27:37 [Note]: 7003 1 10/08/06 22:27:37 [Note]: 10002 1 10/08/06 22:27:39 [Info]: Hidden file: C:\WINDOWS\system32\protector.exe 10/08/06 22:27:39 [Note]: 7002 0 10/08/06 22:27:39 [Note]: 7003 1 10/08/06 22:27:39 [Note]: 10002 1 10/08/06 22:31:47 [Note]: 7007 0 Nach dem EwidoScan läuft das System wieder völlig normal, die Datei inet2004 mit ihrem Inhalt winlogon.exe ist gelöscht, ich habe das SP2 aufgespielt und seit drei Stunden keine Virenmeldung mehr erhalten, bzw mein Virenscanner ist auch 2x ohne Ergebnis durchgelaufen. Was haben die beiden hidden files noch zu bedeuten? Bis jetzt schon mal danke für eure Hilfe! |
|
08.10.2006, 21:46
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Bitte durchchecken Dein System ist immer noch kompromittiert. Allein schon dieser Eintrag von Blacklight 10/08/06 22:27:37 [Info]: Hidden file: c:\WINDOWS\system32\ntio256.sys ist äußerst bedenklich und es ist nicht unwahrscheinlich, dass es sich da um den Teil eines Rootkits handelt. Nicht mehr lange da rumdoktorn, trenn das System vom Internet und setz es neu auf.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
08.10.2006, 22:07
| #10 |
| /// Helfer-Team | Bitte durchchecken Führe zur Vorsicht aus: http://www.trojaner-board.de/showthread.php?t=24192
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
|
| Themen zu Bitte durchchecken |
| adobe, antivir, avira, bho, computer, email, excel, explorer, firewall, hijack, hijackthis, icqtoolbar, immer wieder, internet, internet explorer, monitor, nvidia, plug-in, programme, rundll, scan, software, system, t-online, temp, trojaner, urlsearchhook, windows, windows xp |
Linear-Darstellung
