Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Jetzt hat es mich erwischt. Aber warum?

Jetzt hat es mich erwischt. Aber warum?


Log-Analyse und Auswertung: Jetzt hat es mich erwischt. Aber warum?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 29.12.2006, 16:39   #1
cotton
 
Jetzt hat es mich erwischt. Aber warum? - Icon16

Jetzt hat es mich erwischt. Aber warum?


Hallo,
ich hatte hier bei Euch gelernt, wie man sich schützt, kontrolliert und bei "Bedarf" sich selbst hilft.

Leider scheint das nicht wirklich funktioniert zu haben.

Mein System:
Win XP SP2 - aktuell
Dienste (Dingens.org) abgeschaltet (Computer im Netzwerk)
Surfen als eingeschränkter Benutzer
Windows FW an
Antivir Personal Edition
Spybot S&D
Ad-Aware

und alles fast täglich aktuell. (Antivir täglich)

Mein Surfverhalten: Ebay, Onlinebanking, bekannte Websites stöbern, Command & Conquer online spielen.

Als ich meinem Bruder gestern seinen "neuen"-gebrauchten PC einrichten wollte, fand Antivir 4 "Viren" (Maleware), Spybot S&D tracking Cookies usw.

Deshalb dachte ich, es kann ja nicht schaden, mal wieder E-Scan bei mir laufen zu lassen.

Schreck:
2 Backdoor Trojaner, und einer sogar doppelt.

Fakt ist ja nun, daß ich neuinstallieren muss, und das, wo ich doch gerade auf einer 2. Partition Win XP neuinstalliert habe.
Ich weiß, daß diese Partition jetzt wohl auch nicht sicher ist.

Aber, warum zum Teufel, oder besser - wie sind die Backdoors in mein System gekommen?

Ich weiß nicht ob es möglich ist, aber ich hatte vor einer Weile eine gefälschte Ebayrechnungs-Mail bekommen (sofort erkannt) und diese an Ebay gemeldet/geschickt -

kann es sein, daß dadurch "was passiert ist" ?
Im Anhang dieser Mail war ein Zip-File, welches die angebliche Rechnung sein sollte, welche ich aber NICHT geöffnet habe.

Wie kann mir das nun passiert sein?
Ich frage vorallem deswegen, weil ich nicht möchte, daß mir das noch einmal passiert, und ich das Vertrauen in Microsoft langsam verliere.

Ach ja - ich hatte vor kurzem dieses beworbene "~Second Life"-"Spiel" installiert - wäre ja vieleicht auch eine "Quelle" des Bösen (?).
Aber dann hätten ja 100.000 oder mehr Menschen dieses Problem.

Hier nun das Ergebniss von E-Scan:

Zitat:
Fri Dec 29 12:51:38 2006 => **********************************************************
Fri Dec 29 12:51:39 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Fri Dec 29 12:51:39 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Fri Dec 29 12:51:39 2006 => **********************************************************
Fri Dec 29 12:51:39 2006 => Version 8.8.1 (C:\Bases_X\mwavscan.com)
Fri Dec 29 12:51:39 2006 => Log File: C:\Bases_X\MWAV.LOG
Fri Dec 29 12:51:39 2006 => Last Scan Date and Time: 27.01.2006 20:29:17
Fri Dec 29 12:51:39 2006 => MWAV Registered: FALSE.
Fri Dec 29 12:51:39 2006 => User Account: Administrator
Fri Dec 29 12:51:39 2006 => OS Type: Windows Workstation
Fri Dec 29 12:51:39 2006 => OS: Windows XP
Fri Dec 29 12:51:39 2006 => Ver: Service Pack 2 (Build 2600)
Fri Dec 29 12:51:39 2006 => Windows Root Folder: E:\WINDOWS
Fri Dec 29 12:51:39 2006 => Windows Sys32 Folder: E:\WINDOWS\system32
Fri Dec 29 12:51:39 2006 => Local Fixed Drives: c:\,d:\,e:\
Fri Dec 29 12:51:39 2006 => MWAV Mode: Only Scan files.
Fri Dec 29 12:51:45 2006 => Latest Date of files inside MWAV: 29 Dec 2006 09:47:2.
Fri Dec 29 12:51:51 2006 => AV Library Loaded...
Fri Dec 29 12:51:51 2006 => MWAV doing self scanning...
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\Getvlist.exe
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\main.avi
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\virus.avi
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\ScanningProcess.exe
Fri Dec 29 12:51:51 2006 => Scanning File C:\Bases_X\Kave.dll
Fri Dec 29 12:51:52 2006 => Scanning File C:\Bases_X\prloader.dll
Fri Dec 29 12:51:52 2006 => MWAV files are clean.
Fri Dec 29 12:51:52 2006 => Virus Database Date: 12/29/2006
Fri Dec 29 12:51:52 2006 => Virus Database Count: 254891

Fri Dec 29 12:57:08 2006 => **********************************************************
Fri Dec 29 12:57:08 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Fri Dec 29 12:57:08 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Fri Dec 29 12:57:08 2006 =>
Fri Dec 29 12:57:08 2006 => Support: support@mwti.net
Fri Dec 29 12:57:08 2006 => Web: AntiVirus Software Content Security - MicroWorld
Fri Dec 29 12:57:08 2006 => **********************************************************
Fri Dec 29 12:57:08 2006 => Version 8.8.1 (C:\Bases_X\mwavscan.com)
Fri Dec 29 12:57:08 2006 => Log File: C:\Bases_X\MWAV.LOG
Fri Dec 29 12:57:08 2006 => User Account: Administrator
Fri Dec 29 12:57:08 2006 => Windows Root Folder: E:\WINDOWS
Fri Dec 29 12:57:08 2006 => Windows Sys32 Folder: E:\WINDOWS\system32
Fri Dec 29 12:57:08 2006 => OS: Windows XP
Fri Dec 29 12:57:08 2006 => Ver: Service Pack 2 (Build 2600)
Fri Dec 29 12:57:08 2006 => Latest Date of files inside MWAV: 29 Dec 2006 09:47:2.

Fri Dec 29 12:57:08 2006 => Options Selected by User:
Fri Dec 29 12:57:08 2006 => Memory Check: Enabled
Fri Dec 29 12:57:08 2006 => Registry Check: Enabled
Fri Dec 29 12:57:08 2006 => StartUp Folder Check: Disabled
Fri Dec 29 12:57:08 2006 => System Folder Check: Disabled
Fri Dec 29 12:57:08 2006 => System Area Check: Disabled
Fri Dec 29 12:57:08 2006 => Services Check: Enabled
Fri Dec 29 12:57:08 2006 => Drive Check: Disabled
Fri Dec 29 12:57:08 2006 => All Drive Check :Enabled
Fri Dec 29 12:57:08 2006 => Folder Check: Disabled



Fri Dec 29 12:58:44 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Fri Dec 29 12:59:02 2006 => System found infected with crazynet Trojan (server.exe)! Action taken: No Action Taken.

Fri Dec 29 12:59:02 2006 => System found infected with crazynet Trojan (server.exe)! Action taken: No Action Taken.

Fri Dec 29 13:56:53 2006 => Scanning Folder: E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*

Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\446300f7.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4472ff09.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44fdf256.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44fdf25a.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4522f6a0.qua
Fri Dec 29 13:56:53 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\452ad7b3.qua
Fri Dec 29 13:56:54 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\452bd4f9.qua
Fri Dec 29 13:56:54 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\456dcc1f.qua
Fri Dec 29 13:56:54 2006 => Scanning File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\45c164b2.qua

Fri Dec 29 14:01:50 2006 => File E:\Dokumente und Einstellungen\Namex\Lokale Einstellungen\Anwendungsdaten\Identities\{457F5BCF-483B-4A27-834A-9E3A6CFDD0C4}\Microsoft\Outlook Express\Gesendete Objekte.dbx infected by "Trojan-Downloader.Win32.Agent.aqk" Virus! Action Taken: No Action Taken.
(gelöscht) (dies war die gefälschte Ebay-Rechnung)


Fri Dec 29 15:10:10 2006 => ***** Scanning complete. *****

Fri Dec 29 15:10:10 2006 => Total Objects Scanned: 88324
Fri Dec 29 15:10:10 2006 => Total Critical Objects: 4
Fri Dec 29 15:10:10 2006 => Total Disinfected Objects: 0
Fri Dec 29 15:10:10 2006 => Total Objects Renamed: 0
Fri Dec 29 15:10:10 2006 => Total Deleted Objects: 0
Fri Dec 29 15:10:10 2006 => Total Errors: 30
Fri Dec 29 15:10:10 2006 => Time Elapsed: 02:12:36
Fri Dec 29 15:10:10 2006 => Virus Database Date: 12/29/2006
Fri Dec 29 15:10:10 2006 => Virus Database Count: 254891

Fri Dec 29 15:10:10 2006 => Scan Completed.

Fri Dec 29 15:13:21 2006 => Virus Database Date: 12/29/2006
Fri Dec 29 15:13:21 2006 => Virus Database Count: 254891
Fri Dec 29 15:13:32 2006 => AV Library Unloaded (3)...
und die Log von HJT:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 16:06:30, on 29.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\system32\slmdmsr.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Apoint2K\Apoint.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\sistray.EXE
E:\WINDOWS\SOUNDMAN.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Apoint2K\Apntex.exe
E:\Programme\Opera\Opera.exe
E:\Dokumente und Einstellungen\cotton\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [**=****://www.google.de/]Google[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [**=****://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [**=****://go.microsoft.com/fwlink/?LinkId=54896]Windows Live[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [**=****://go.microsoft.com/fwlink/?LinkId=54896]Windows Live[/**]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [**=****://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [**]****://192.168.2.1/top_start_passwort.htm[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] E:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Apoint] E:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SiS Tray] E:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - [**]****://www.sis.com/ocis/OSInfo.cab[/url]
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - [**]****://www.sis.com/ocis/SiSAutodetectNT.cab[/url]
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [**]****://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [**]****://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136581612869[/url]
O20 - Winlogon Notify: WgaLogon - E:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - Unknown owner - (no file)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\- - PROGRAMME - -\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\- - PROGRAMME - -\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\- - PROGRAMME - -\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - - E:\WINDOWS\SYSTEM32\slmdmsr.exe
Danke, für jede Hilfe.
Cotton

Edit* Links entfernt*
Geändert von cotton (29.12.2006 um 16:45 Uhr)

 

Themen zu Jetzt hat es mich erwischt. Aber warum?
.com, antivirus, avira, backdoor, backdoor trojaner, bho, computer, confused, desktop, ebanking, ebay, email, frage, heulen, hijack, hijackthis, langsam, log file, logfile, magix, maleware, nicht sicher, outlook express, registry, security, software, spyware, system, trojaner, viren, virus, warum


« js3250 weg. Firefox kann nicht mehr gestartet werden. | TR/Obfuscated.BL bekomm ich nicht weg »


Ähnliche Themen: Jetzt hat es mich erwischt. Aber warum?


  1. Interpol Trojaner, jetzt hat es mich auch erwischt
    Log-Analyse und Auswertung - 05.02.2014 (5)
  2. GVU Trojaner hat mich jetzt erwischt, was tun?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (3)
  3. Virus hat mich erwischt und mich Infiziert
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (3)
  4. WARUM habt ihr mich in die mülltonne verschoben???????????????
    Mülltonne - 12.12.2008 (2)
  5. Jetzt hat's mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 04.10.2008 (14)
  6. Jetzt hats mich auch erwischt...Trojaner und sonstiger Besuch :-(
    Plagegeister aller Art und deren Bekämpfung - 24.03.2008 (5)
  7. Jetzt hat's mich auch erwischt (Newbie)!
    Log-Analyse und Auswertung - 17.01.2008 (23)
  8. [.shellclassinfo] aber warum?
    Alles rund um Windows - 07.06.2006 (6)
  9. Jetzt hat`s mich also auch erwischt...
    Log-Analyse und Auswertung - 10.01.2006 (9)
  10. Jetzt hats mich auch erwischt
    Log-Analyse und Auswertung - 27.10.2005 (9)
  11. Mist, jetzt hat es mich auch erwischt.
    Log-Analyse und Auswertung - 07.04.2005 (10)
  12. mich hatts jetzt auch erwischt in Berlin
    Log-Analyse und Auswertung - 08.02.2005 (1)
  13. bitte um hilfe jetzt hat es mich auch erwischt
    Log-Analyse und Auswertung - 24.12.2004 (8)
  14. jetzt hat es mich ebenfalls erwischt !!
    Log-Analyse und Auswertung - 21.12.2004 (2)
  15. Jetzt hat es mich wohl auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (2)
  16. Mich hat´s jetzt auch erwischt...
    Log-Analyse und Auswertung - 18.08.2004 (2)
  17. Jetzt hat es mich auch erwischt.Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 06.10.2003 (7)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Jetzt hat es mich erwischt. Aber warum? - Hallo, ich hatte hier bei Euch gelernt, wie man sich schützt, kontrolliert und bei "Bedarf" sich selbst hilft. Leider scheint das nicht wirklich funktioniert zu haben. Mein System: Win XP - Jetzt hat es mich erwischt. Aber warum?...
Archiv
Du betrachtest: Jetzt hat es mich erwischt. Aber warum? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131