|
Log-Analyse und Auswertung: hartnäckiger Trojaner TR/PSW.Sinowal.AY.2Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.01.2007, 09:59 | #1 |
| hartnäckiger Trojaner TR/PSW.Sinowal.AY.2 gestern abend habe ich mir diesen Trojaner (sagt jedenfalls mein AntiVir7 dazu) eingefangen. Der gesamte PC läuft normal, nur wenn ich ins Internet gehe, stürzt er sofort ab. Ich muss dies hier von einem anderen PC aus schreiben. Nachdem ich hier einiges gelesen habe, habe ich mal ein HijackThis Log gemacht, sieht so aus: Logfile of HijackThis v1.99.1 Scan saved at 09:41:27, on 11.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\avmclient\bluefritz.exe C:\Programme\avmclient\AvmObex.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Programme\avmclient\AvmObex.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmclient\avmbtservice.exe C:\Programme\avmclient\panapp.exe C:\Programme\avmclient\AvmObexService.exe C:\WINDOWS\system32\CTsvcCDA.exe c:\programme\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spnsrvnt.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\DOKUME~1\MEIN NAME (edit)\LOKALE~1\Temp\Rar$EX00.140\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\..\{C1DF61E0-B0F4-443E-86A2-CDA59EF46915}: NameServer = XXXX O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe O23 - Service: COSIDS_TB - Unknown owner - D:\PROGRA~1\COSIDS\BIN\TbMux32.exe (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\WINDOWS\system32\spnsrvnt.exe O23 - Service: (Edit) Apache Web Server - Unknown owner - D:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe (file missing) alle meine Programme, wie AntiVir 7, Spybot etc. haben zwar dieses Ding gefunden, aber nicht geholfen. Einzig laut AntiVir ist mein System jetzt sauber, aber ins Net kann ich halt nicht. Kann hier jemand helfen? Danke bereits jetzt! RB6 |
11.01.2007, 14:40 | #2 |
Administrator > Competence Manager | hartnäckiger Trojaner TR/PSW.Sinowal.AY.2 Hallo.
__________________1.) F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit Blacklight- * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden. 2.) Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) Gruß Sunny
__________________ |
13.01.2007, 12:12 | #3 |
| hat ein wenig gedauert... ... aber hier nun die Antworten (ich hoffe, alles richtig gemacht zu haben)
__________________Blacklight: 01/12/07 07:14:31 [Info]: BlackLight Engine 1.0.55 initialized 01/12/07 07:14:31 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/12/07 07:14:32 [Note]: 7019 4 01/12/07 07:14:32 [Note]: 7005 0 01/12/07 07:14:32 [Note]: 7006 0 01/12/07 07:14:32 [Note]: 7011 1496 01/12/07 07:14:32 [Note]: 7026 0 01/12/07 07:14:32 [Note]: 7026 0 01/12/07 07:14:39 [Note]: FSRAW library version 1.7.1021 01/12/07 07:18:25 [Note]: 2000 1012 01/12/07 07:18:25 [Note]: 2000 1012 01/12/07 07:18:25 [Note]: 2000 1012 01/12/07 07:18:25 [Note]: 2000 1012 01/12/07 07:18:25 [Note]: 2000 1012 01/12/07 07:18:25 [Note]: 2000 1012 01/12/07 07:18:25 [Note]: 2000 1012 01/12/07 07:18:25 [Note]: 7007 0 das Protokoll von MWAV kann ich hier nicht anhängen, hat zuviele Zeichen, sagt mir die Board Software... |
13.01.2007, 12:15 | #4 |
| hartnäckiger Trojaner TR/PSW.Sinowal.AY.2 ok, Versuche einen Anhang hinzubekommen... |
13.01.2007, 13:33 | #5 |
Administrator > Competence Manager | hartnäckiger Trojaner TR/PSW.Sinowal.AY.2 Wieso Anhang? Lies dir bitte die Anleitung von eScan genau durch, und beachte den letzten Teil wo es um die "find.zip" geht... Damit sollst du das Ergebnis posten und nicht als Anhang... Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
13.01.2007, 16:41 | #6 |
| ok, hatte ich nicht richtig gelesen... hier das Ergebnis der Find.bat... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ -------------------------------------------------- C:\Programme\eScan\LOG\MWAV.LOG -------------------------------------------------- steht irgendwie nix drin, oder? |
Themen zu hartnäckiger Trojaner TR/PSW.Sinowal.AY.2 |
adobe, antivir, avg, avira, bho, dateien, excel, explorer, firewall, helfen, hijack, hijackthis, hijackthis log, hotkey, internet, internet explorer, log, messenger, microsoft, nmbgmonitor.exe, pc läuft, programme, software, system, temp, trojaner, windows, windows xp |