|
Log-Analyse und Auswertung: Troja kommt nach Virenprüfung wiederWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.11.2006, 16:34 | #1 |
| Troja kommt nach Virenprüfung wieder hi, ich habe seit eben einen troja den ich zwar gelöscht hab aber der kommt immer wieder wenn ich mit den virenprüfungen zuende bin. den namen hab ich vergessen aber der ist sehr berümt. und hier is der log: Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpost.php?p=171957&postcount=1 danke GUA [/edit] Geändert von fieses pferd (24.11.2006 um 16:53 Uhr) |
25.11.2006, 20:24 | #2 |
| Troja kommt nach Virenprüfung wieder ok dann noch mal:
__________________Logfile of HijackThis v1.99.1 Scan saved at 20:21:39, on 25.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\PROGRA~1\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\Brmfrmps.exe C:\Programme\Nod32\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\Nod32\nod32kui.exe C:\WINDOWS\SUM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\regedit.exe C:\Programme\Spybot\SpybotSD.exe C:\Downloaden etc\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.domain.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\fqulmsbp.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Nod32\nod32kui.exe" /WAITSERVICE O4 - Startup: 1Prioritätsregeln.bat O4 - Startup: 2Arbeitsspeicher defragmentieren.vbs O4 - Startup: 3Ruhezeit-Aktivität vorziehen.bat O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.domain.de/DE/scan8/oscan8.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7C534123-2EF1-4F3B-8055-72B82B03789C}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8561A0A-C011-486F-99A3-01950CB89093}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{D4D25FEB-0BE2-4EB6-ACC5-F78D67DC8905}: NameServer = 192.168.178.1 O20 - Winlogon Notify: fgndaavf - c:\windows\system32\fgndaavf.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgemc.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: License Management Service SON - e-sonopress - C:\Programme\Gemeinsame Dateien\esonopress Shared\Service\Licence Manager SON.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Nod32\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe und wenn ich on gehe kommt der "Smidfraud-C.Toolbar888" troja wieder. |
25.11.2006, 23:58 | #3 | |
| Troja kommt nach Virenprüfung wieder mOIn auch
__________________Zitat:
kannst du diese Sachen erklären oder kennst du sie? O4 - Startup: 1Prioritätsregeln.bat O4 - Startup: 2Arbeitsspeicher defragmentieren.vbs O4 - Startup: 3Ruhezeit-Aktivität vorziehen.bat Lasse dir bitte alle Dateien und Ordner anzeigen : Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht --> häkchen raus bei - Geschützte Systemdateien ausblenden - anhaken - Inhalte von Systemordnern anzeigen - bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen - --> Übernehmen Lasse diese beiden Dateien : C:\WINDOWS\system32\fqulmsbp.dll c:\windows\system32\fgndaavf.dll hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 angaben, auch wenn nichts gefunden wurde. MFG |
26.11.2006, 14:22 | #4 | ||||
| Troja kommt nach Virenprüfung wiederZitat:
Zitat:
Zitat:
Zitat:
fqulmsbp.dll: File size: 38420 bytes MD5: 2d8ded7732c04d1717a6098baa8552e7 SHA1: 5a8e4c6fa0a9071f3dfc0bebf4afe68f4eeca0a5 ==> AntiVir=HEUR/Malware Authentium=Possibly a new variant of W32/Threat-INLIB-based!Maximus BitDefender=Backdoor.Pcclient.CC DrWeb=Trojan.Juan (in meine rege war auch immer ein ordner namens juan, den ich zwar löschte, der aber nach nem neustart wieder kamm) Fortinet=suspicious F-Prot=Possibly a new variant of W32/Threat-INLIB-based!Maximus F-Prot4=W32/Threat-INLIB-based!Maximus Ikarus=Backdoor.Win32.PcClient.GV Panda=Suspicious file Sophos=Mal/Packer fgndaavf.dll: File size: 106555 bytes MD5: b2d2dd712b6188209d525b6032af2460 SHA1: e86411c4d36195a4c2d5561c3973849fc71fb781 ==> AntiVir=HEUR/Malware Avast=Win32:Trojano-1165 DrWeb=MULDROP.Trojan ich hab die 2 dinger mal gelöscht. hoffe das das nicht schlimm war ding nur mit spybot. unlocker hat angezeigt das das datein vom explorer sind! EDIT: ich hab noch beim start die datei imapi.exe im task manager. Geändert von fieses pferd (26.11.2006 um 14:48 Uhr) |
26.11.2006, 15:40 | #5 |
| Troja kommt nach Virenprüfung wieder mOIn nochmal leider nützt es wenig, die Dateien nur zu löschen, wenn ein Schädling bei dir vllt. schon eine Backdoor eingerichtet hat oder jemand Daten auf deinem Rechner verändert hat. Du hast dir leider einen Backdoortrojaner eingefangen, der auch noch Tastatureingaben aufzeichnet. Auch auf deinem System ist ein Dropper der dir u.U. oder besser garantiert nochmehr Müll auf den Rechner schaufelt, die dein Antivirenprogramm evtl. noch nichteinmal erkennt. Wir haben jetzt nur an der Oberfläche gekratzt und auf deinem System könnte sich durchaus sehr viel mehr an Schadsoftware befinden, als wir ohnehin schon sehen, das heißt auch, folge dieser Anleitung und ändere alle deine Passwörter. MFG |
26.11.2006, 15:59 | #6 | |
| Troja kommt nach Virenprüfung wiederZitat:
und ich hab mich ein paar mal bei web eingeloggt. haben die jetzt mein passwort??????? ich werd mal alle daten sichern xp neu aufsetzten und die pws nach sp2 ändern. |
26.11.2006, 16:09 | #7 | |||
| Troja kommt nach Virenprüfung wieder Hallo Zitat:
Zitat:
Zitat:
Evetuell solltest du auch mal über eine Datensicherung nachdenken (Acronis,Trueimage o.ä.), ein Backup ist in kurzer Zeit eingespielt und was hättest du gemacht währe deine Festplatte flöten gegangen ? MFG |
26.11.2006, 16:12 | #8 | |
| Troja kommt nach Virenprüfung wiederZitat:
hönnte der troja auch auf die ext. hdd überspringen? |
26.11.2006, 16:34 | #9 | |
| Troja kommt nach Virenprüfung wieder Hallo nochmal Zitat:
Sichere bitte keine ausführbaren Dateien (exe, bat, com, scr, setups usw.) und keine Dateien aus unseriösen Quellen , Bilder, Filme, MP3, Spielstände sind kein großes Problem scanne die Dateien einfach vor dem zurückspielen aufs System, mit einem aktuellen Antivirenprogramm. Es stehen noch sehr gute Tips in der Anleitung die ich dir gepostet habe, lese dich mal ein bisschen ein. MFG |
26.11.2006, 21:20 | #10 | |||
| Troja kommt nach Virenprüfung wiederZitat:
Zitat:
Zitat:
mein web,gmx und foren pws habe ich vom pc meiner schwester geändert. ABER mein icq pw funzt nich mehr. egal hab mal ein neues angefordert. !!!vielen dank für eure schnelle hilfe!!! |
Themen zu Troja kommt nach Virenprüfung wieder |
angezeigt, black, editiere, gelöscht, gen, hijack, hijackthis, immer wieder, kommt immer wieder, links, log, namen, prüfung, troja, vergessen, virenprüfung |