| |
| |||||||
Log-Analyse und Auswertung: ntmartad.dllWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
24.05.2007, 20:13
| #1 |
| |  ntmartad.dll Guten Abend, nachdem ich beim surfen durch AntiVir auf einen Java-Virus aufmerksam gemacht wurde, hatte ich die temporären Dateien gelöscht (auch über die Java-Einstellungen in der Systemsteuerung) und mit AntiVir einen kompletten Scan gemacht, der keine Viren mehr gefunden hatte. Um sicher zu gehen, habe ich noch eine Log Datei mit HijackThis erstellt und bin auf einen Prozess bzw. eine dll Datei gestoßen, die mich stutzig gemacht hat. Logfile of HijackThis v1.99.1 Scan saved at 22:36:54, on 23.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16441) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Samsung\Samsung EDS\EDSAgent.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Samsung\DisplayManager\dmhkcore.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Liora\LOKALE~1\Temp\Rar$EX00.656\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://.... R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://......... R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ....... http://..... R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://............... O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {64DC8815-0F7C-49C8-9DF5-95D3B08F66BD} - C:\WINDOWS\system32\ntmartad.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S85.tmp" /EF "HKLM" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167782044453 O16 - DPF: {7318A953-6BDA-4266-A2BC-A8912CD66E82} (O2DM DLMCtl Class) - h**ps://music.o2online.de/O2DM.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{92A6B83E-9816-4251-8D2B-DD71249CA79E}: NameServer = 213.***.92.87,213.***.74.19 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Es geht um "O2 - BHO: (no name) - {64DC8815-0F7C-49C8-9DF5-95D3B08F66BD} - C:\WINDOWS\system32\ntmartad.dll" Im System32 gibt es die ntmarta.dll und die ntmartad.dll - die ntmarta.dll hat eine Größe von ca. 116kb und es können durch den Aufruf der "Eigenschaften" auch die üblichen Versionsinformationen abgefragt werden. Die ntmartad.dll hingegen ist nur 31kb groß und beinhaltet keine weiteren Informationen. Ich habe neben Antivir auch den online scan von mcafee benutzt und das Windows-Verzeichnis durchsuchen lassen, ohne Virenfund. Was kann diese Datei sein und was sollte ich machen? Mit freundlichen Grüßen, chamudi |
|
24.05.2007, 23:54
| #2 |
| | ntmartad.dll Da jotti wieder läuft (war vorher überlastet), habe ich die dll mal hochgeladen mit folgenden Ergebnissen:
__________________A-Squared Found Adware.Win32.Stud.d AntiVir Found ADSPY/Stud.D ArcaVir Found Adware.Stud.D Avast Found Win32:Trojano-3384 AVG Antivirus Found Generic.WNV BitDefender Found Adware.Stud.I ClamAV Found Adware.BHO-15 Dr.Web Found Adware.Stud F-Prot Antivirus Found nothing F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.Stud.d (4, 1, 400) Fortinet Found nothing Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Stud.d NOD32 Found Win32/Adware.BHO.AA application Norman Virus Control Found W32/Stud.Y Panda Antivirus Found nothing Rising Antivirus Found nothing VirusBuster Found Adware.BHO.EC VBA32 Found AdWare.Win32.Stud.d Also kann ich davon ausgehen, dass es sich "nur" um AdWare handelt und dementsprechend ungefährlich ist?!? Finde leider keine richtigen Details über diese AdWare - was genau macht diese spezielle Version? Reicht ad-aware bzw. spybot? Da ich momentan nicht am infizierten Rechner sitze, muss ich morgen abend das ganze über Telefonanweisungen machen - deswegen frage ich:-) MFG chamudi |
|
25.05.2007, 11:56
| #3 |
  | ntmartad.dll Moin
__________________mach bitte alle versteckten Dateien und Ordner sichtbar. Starte HijackThis und hake diesen Eintrag an : O2 - BHO: (no name) - {64DC8815-0F7C-49C8-9DF5-95D3B08F66BD} - C:\WINDOWS\system32\ntmartad.dll klicke dann auf - fix checked - beende HijackThis und starte den Rechner in den abgesicherten Modus (beim start F8 drücken). Löscht diese Datei (wenn noch vorhanden) : C:\WINDOWS\system32\ntmartad.dll anschließend den Mülleimer rausbringen und den Rechner neustarten in den normalen Modus, update bei Antivir machen und alles überprüfen lassen. MFG |
|
25.05.2007, 20:39
| #4 |
| | ntmartad.dll Super, vielen Dank - hat geklappt! |
|
| Themen zu ntmartad.dll |
| adobe, antivir, avira, bho, c:\windows\temp, cyberlink, dateien, dateien gelöscht, desktop, dll, drivers, explorer, hijack, hijackthis, icq, internet, internet explorer, java-virus, keine viren, log, log datei, microsoft, monitor, pdf, programme, prozess, scan, software, surfen, viren, windows, windows xp, windows\temp |
Linear-Darstellung
