|
Log-Analyse und Auswertung: ANTIVIR findet TR/Autoit.Z! Bitte mal Hijacktihis-Log anschauen!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.11.2006, 19:48 | #1 |
| ANTIVIR findet TR/Autoit.Z! Bitte mal Hijacktihis-Log anschauen!!! Habe seit einiger Zeit Probleme mit verschiedenen Trojanischen Pferden, habe jahrelang AntiVir (kostenlose Version) genutzt und nie ein Problem gehabt. Zusätzlich checke ich regelmäßig mit AdAware & Spybot S&D (allerdings nicht im abgesicherten Modus). Plötzlich gingen alle exe.Files nicht mehr zu starten & Verknüpfungen auf Desktop funktionierten auch nicht mehr (dafür wurden sie mit Endung .*lnk angezeigt). Hatte die exe-Files manuell wieder definiert über Ordneroptionen/Dateitypen um Testprogramme starten zu können. Spybot S&D fand dann auch Sachen wie 'Fake.CoolWebSearch' etc. (komisch dass AdAware selbige Fehler nicht fand??!!??). Hab ich entfernt, jedoch (nach weiteren Problemen: wiederentdeckt) letztendlich mit DellRestore den Rechner in den Auslieferzustand zurückversetzt & dieses Problem schien behoben. Nun hab ich zusätzlich Kaspersky Internet Security installiert, welches mir sofort die Fehlermeldung brachte 'Backdoor.Win32.Agent.jm' (komisch wiederum, dass AntiVir, dem ich bisher total vertraute, nix fand!!!). Jedenfalls hab ich dieses Teil entfernen lassen. Jetzt hab ich beide Virenprogramme laufen, da ich keinem mehr richtig vertraue (sie beharken sich aber auch nicht). Kaspersky IS findet seitdem nix mehr, doch eben kam folgende Warnung von AntiVir: "C:\Windows\System32\Installer.exe" ist das Trojanische Pferd TR/Autoit.Z ICH BIN JETZT LANGSAM AM VERZWEIFELN HIER, NIMMT DENN DAS KEIN ENDE MEHR????? Ist diese Datei wichtig, oder kann ich sie durch AntiVir löschen lassen??? Finde nix zu diesem Trojaner im Internet, was ist das für einer??? Beim Check mit Kaspersky stand bei dieser Datei nur, dass sie nicht gecheckt wurde, da Zugriff verweigert (evtl. durch AntiVir Zugriff verweigert???). Was soll ich jetzt machen??? Hier mal mein hijackthis-log-file: Ich hoffe, jemand mit viel Ahnung kann mir ganz schnell helfen, sonst nehm ich bald den Hammer & dann ist Ruhe....(würd ich natürlich nie tun in Wirklichkeit ;-) ) Logfile of HijackThis v1.99.1 Scan saved at 19:15:29, on 24.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\stsystra.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\STUFFI~1\MXTask.exe C:\PROGRA~1\STUFFI~1\mxtask.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.lavasoft.de/help/aw/evhelp/0.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200" O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB002" /M "Stylus CX3600" O4 - HKCU\..\Run: [Ad-Watch System Protector] C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163850177823 O17 - HKLM\System\CCS\Services\Tcpip\..\{B32A917E-FD1E-4875-A4AE-A8868E49F13E}: NameServer = 194.97.173.124 194.97.173.125 O20 - AppInit_DLLs: acaptuser32.dll,,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: StuffIt Task Manager - Allume Systems, Inc. - C:\PROGRA~1\STUFFI~1\MXTask.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe Bitte Bitte Bitte um schnelle Hilfe!!!!!! |
24.11.2006, 23:11 | #2 |
| ANTIVIR findet TR/Autoit.Z! Bitte mal Hijacktihis-Log anschauen!!! Übrigens habe ich aufgrund der Gefahr von Backdoor-Problemen mal den Online-Sicherheitscheck von Symantec gemacht mit dem Ergebnis, dass angeblich alles sicher und versteckt ist. Weiß nur nicht mehr, was ich nun glauben soll...
__________________Hat niemand 'ne idee hier???? PS: Im ersten Eintrag hatte ich von 'Fake.CoolWebSearch' gesprochen, das war falsch!! Vielmehr fand Spybot Search&Destroy 'Fake.Wget' und 'CoolWebSearch' Probleme... |
Themen zu ANTIVIR findet TR/Autoit.Z! Bitte mal Hijacktihis-Log anschauen!!! |
abgesicherten modus, ad-aware, antivir, appinit_dlls, avira, bho, desktop, drivers, entfernen, fehler, firefox, helfen, helper, hijack, hilfe!!, hilfe!!!, internet explorer, internet security, kaspersky, kis, konvertieren, langsam, mozilla, mozilla firefox, pdf-datei, schnelle hilfe, security, software, starten, system, trojaner, tuneup utilities, usb, windows, windows xp, zugriff verweigert |