| |
| |||||||
Log-Analyse und Auswertung: Verdacht auf TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
14.01.2007, 10:44
| #1 |
| |  Verdacht auf Trojaner Hallo! Bei mir passiert es seit gestern Abend ab und zu, dass mein Rechner einfach so runterfährt, oder auf dem Desktop die Markierung des jeweiligen Icons "wegspringt", so als ob dauerhaft die Taste RIGHTARROW gedrückt ist. Ich hatte bis gestern die Outpost-Firewall drauf. Als in dieser sich der Fenstertitel plötzlich in "Nummer Eins viel zu stark" (siehe Screenshot) veränderte wurde ich stutzig und bin zu Sygate Platinum zurückgekehrt. Ich habe ergebnislos mit NOD32 und AVG7.5 Free gescannt. /Edit: Alle Windowsupdates sind installiert, Virenscanner sind auch up2date Danke für Eure Hilfe!! HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 10:30:49, on 14.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\WINDOWS\SOUNDMAN.EXE D:\Programme\iTunes\iTunesHelper.exe D:\Programme\DAEMON Tools\daemon.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe d:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\Grisoft\AVG Free\avgcc.exe C:\Dokumente und Einstellungen\*******\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [DAEMON Tools] "d:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB34} (Sony SNC-RZ30 Image Viewer) - h**p://86.85.46.80/home/SonySncRz30View.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?116****797438 O17 - HKLM\System\CCS\Services\Tcpip\..\{5441A755-3DC9-48F6-8B54-CB4922C9E391}: NameServer = 192.168.178.1 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing) O23 - Service: RF - Sysinternals - h**p://www.sysinternals.com Microsoft TechNet: Windows Sysinternals - C:\DOKUME~1\*******\LOKALE~1\Temp\RF.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe BlacklightScan: 01/14/07 10:57:58 [Info]: BlackLight Engine 1.0.55 initialized 01/14/07 10:57:58 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/14/07 10:57:58 [Note]: 7019 4 01/14/07 10:57:58 [Note]: 7005 0 01/14/07 10:58:01 [Note]: 7006 0 01/14/07 10:58:01 [Note]: 7011 324 01/14/07 10:58:01 [Note]: 7026 0 01/14/07 10:58:02 [Note]: 7026 0 01/14/07 10:58:06 [Note]: FSRAW library version 1.7.1021 TCPView alg.exe:2244 TCP xxx:1031 xxx:0 LISTENING avgemc.exe:3048 TCP xxx:10110 xxx:0 LISTENING CLI.exe:2856 TCP xxx:1034 xxx:0 LISTENING CLI.exe:2872 TCP xxx:1036 xxx:0 LISTENING CLI.exe:520 TCP xxx:1026 xxx:0 LISTENING firefox.exe:3340 TCP xxx:1042 localhost:1043 ESTABLISHED firefox.exe:3340 TCP xxx:1043 localhost:1042 ESTABLISHED firefox.exe:3340 TCP xxx:1045 localhost:1046 ESTABLISHED firefox.exe:3340 TCP xxx:1046 localhost:1045 ESTABLISHED firefox.exe:3340 TCP xxx:1225 va-in-f99.google.com:http ESTABLISHED firefox.exe:3340 UDP xxx:1241 *:* firefox.exe:3340 TCP xxx:1453 dnl-eu3.kaspersky-labs.com:http ESTABLISHED IGDCTRL.EXE:792 TCP xxx:49001 xxx:0 LISTENING IGDCTRL.EXE:792 UDP xxx:1900 *:* IGDCTRL.EXE:792 UDP xxx:1029 *:* lsass.exe:844 UDP xxx:isakmp *:* lsass.exe:844 UDP xxx:4500 *:* Smc.exe:1292 UDP xxx:1025 *:* Smc.exe:1292 UDP xxx:1028 *:* svchost.exe:1076 TCP xxx:epmap xxx:0 LISTENING svchost.exe:1176 UDP xxx:1032 *:* svchost.exe:1176 UDP xxx:1033 *:* svchost.exe:1176 UDP xxx:ntp *:* svchost.exe:1176 UDP xxx:ntp *:* svchost.exe:1444 UDP xxx:1047 *:* svchost.exe:1444 UDP xxx:1048 *:* System:4 TCP xxx:microsoft-ds xxx:0 LISTENING System:4 TCP xxx  ptp xxx:0 LISTENING System:4 TCP xxx:netbios-ssn xxx:0 LISTENING System:4 UDP xxx:microsoft-ds *:* System:4 UDP xxx:l2tp *:* System:4 UDP xxx:netbios-dgm *:* System:4 UDP xxx:netbios-ns *:* RootkitRevealer hat auch nichts gefunden Geändert von jimpower (14.01.2007 um 11:08 Uhr) |
|
14.01.2007, 11:26
| #2 |
| Administrator > Competence Manager  | Verdacht auf Trojaner Hallo.
__________________ Dein Hijacklog ist vorerst unauffällig, was aber nicht unbedingt was zu sagen hat! Mach daher mal folgendes: Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) Gruß Sunny
__________________ |
|
| Themen zu Verdacht auf Trojaner |
| adobe, alert, avg, avg free, bho, computer, desktop, dsl, e-mail, einstellungen, explorer, firefox, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, mssql, nvidia, pdf, programme, software, system, temp, trojane, trojaner, verdacht auf trojaner, windows xp |
Linear-Darstellung
