| |
| |||||||
Log-Analyse und Auswertung: Trojaner | HJT- und eScan-logfile | Hilfe!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.06.2007, 17:51
| #1 |
 |  Trojaner | HJT- und eScan-logfile | Hilfe!!! Hallo liebe Board-ler, ich habe seit Mitte letzter Woche häufigere Probleme mit den Trojanern TR/Spy.VBStat.B.1, TR/Vundo.Gen und TR/BHO.BD.4, TR/Click.Small.MW und TR/Agent.anr.1. Dies sind zumindest die Schädlinge, die mir Antivir meldet. Ich bin nicht vollständiger Laie, habe mich auch schon vor ca. einem dreiviertel Jahr mit einigen anderen Trojanern herumgeschlagen und auch, Dank eurer Hilfe, entfernen können. Seiddem war ich um die Sicherheit meines Systems eigentlich ziemlich bemüht gewesen. Habe auch schon Vundofix, Spybot, Ad-Aware, Spyware Doctor, Trojan Remover drüber laufen lassen, bis jetzt hat es kaum genützt oder ich weiß es halt noch nicht. Auch habe ich schon einige mir unbekannte Einträge bei HijackThis gefixed. Es wäre schön, wenn sich jemand noch die Zeit nehmen könnte, mein eScan und HJT fackkundig auszuwerten. eScan: (Wobei ich mir hier nicht sicher bin, ob das so stimmt, da es recht wenige Einträge sind für 42 critical objects) [bez. der boot.ini: Habe mal kurzzeitig TuneUp verwendet. Ich weiß jedoch nicht ob das daran liegt] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.05.07.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.7 Sprache: English Virus Database Date: 6/8/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Jun 08 13:00:31 2007 => System found infected with type_script Trojan (C:\windows\boot.ini)! Action taken: No Action Taken. Fri Jun 08 13:00:33 2007 => System found infected with holistyc Dialer (C:\windows\icons)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Fri Jun 08 13:00:31 2007 => Offending file found: C:\windows\boot.ini Fri Jun 08 13:00:33 2007 => Offending file found: C:\windows\icons ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Fri Jun 08 13:00:08 2007 => Offending Folder found: C:\Dokumente und Einstellungen\*******\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Fri Jun 08 13:00:01 2007 => Offending Key found: HKLM\Software\kazaa !!! Fri Jun 08 13:00:03 2007 => Offending Key found: HKLM\Software\magnet !!! Fri Jun 08 13:00:38 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G !!! Fri Jun 08 13:00:38 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{09addd30-ba45-11da-8879-806d6172696f} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Fri Jun 08 13:00:38 2007 => Executable Command Found in G\Shell\AutoRun\command: G:\autorun.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ Fri Jun 08 14:34:35 2007 => C:\RECYCLER\S-1-5-21-1659004503-299502267-682003330-1008\Dc368.cab not Scanned. Possibly password protected... Fri Jun 08 14:34:36 2007 => C:\RECYCLER\S-1-5-21-1659004503-299502267-682003330-1008\Dc369.cab not Scanned. Possibly password protected... Fri Jun 08 14:34:36 2007 => C:\RECYCLER\S-1-5-21-1659004503-299502267-682003330-1008\Dc370.cab not Scanned. Possibly password protected... Fri Jun 08 14:34:36 2007 => C:\RECYCLER\S-1-5-21-1659004503-299502267-682003330-1008\Dc371.cab not Scanned. Possibly password protected... Fri Jun 08 14:34:37 2007 => C:\RECYCLER\S-1-5-21-1659004503-299502267-682003330-1008\Dc373.cab not Scanned. Possibly password protected... Fri Jun 08 14:34:37 2007 => C:\RECYCLER\S-1-5-21-1659004503-299502267-682003330-1008\Dc374.cab not Scanned. Possibly password protected... Fri Jun 08 14:34:37 2007 => C:\RECYCLER\S-1-5-21-1659004503-299502267-682003330-1008\Dc375.cab not Scanned. Possibly password protected... Fri Jun 08 14:34:37 2007 => C:\RECYCLER\S-1-5-21-1659004503-299502267-682003330-1008\Dc379.cab not Scanned. Possibly password protected... Fri Jun 08 14:34:38 2007 => C:\RECYCLER\S-1-5-21-1659004503-299502267-682003330-1008\Dc381.cab not Scanned. Possibly password protected... Fri Jun 08 15:06:27 2007 => D:\*****\ICQ Lite\*******\****** Hermann_319220914\Install_Messenger.exe not Scanned. Possibly password protected... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\windows\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Jun 08 15:37:41 2007 => Total Critical Objects: 42 Fri Jun 08 15:37:41 2007 => Total Disinfected Objects: 0 Fri Jun 08 15:37:41 2007 => Total Objects Renamed: 0 Fri Jun 08 15:37:41 2007 => Total Deleted Objects: 0 Fri Jun 08 15:37:41 2007 => Total Errors: 330 Fri Jun 08 15:37:41 2007 => Time Elapsed: 02:37:51 Fri Jun 08 15:37:41 2007 => Total Objects Scanned: 204591 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Jun 08 12:59:11 2007 => Memory Check: Enabled Fri Jun 08 12:59:11 2007 => Registry Check: Enabled Fri Jun 08 12:59:11 2007 => System Folder Check: Enabled Fri Jun 08 12:59:11 2007 => System Area Check: Disabled Fri Jun 08 12:59:11 2007 => Services Check: Enabled Fri Jun 08 12:59:11 2007 => Drive Check: Disabled Fri Jun 08 12:59:11 2007 => All Drive Check :Enabled Fri Jun 08 12:59:11 2007 => All Drive Check :Enabled Batchstart: 16:05:13,51 Batchende: 16:05:22,39 |------------------------------------------------------------| HJT-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 18:47:16, on 08.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\csrss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\Ati2evxx.exe C:\windows\system32\svchost.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\Ati2evxx.exe C:\windows\system32\svchost.exe C:\windows\system32\svchost.exe C:\windows\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\windows\system32\oodag.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\windows\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\windows\System32\alg.exe C:\windows\system32\wscntfy.exe C:\windows\Explorer.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\windows\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\programme\spiele\valve\steam\steam.exe C:\windows\system32\devldr32.exe C:\windows\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\windows\system\CmSNXeye.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\agent.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\******~1\LOKALE~1\Temp\Rar$EX00.016\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [hhh.icq.kom/start]ICQSearch Results R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar7.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar7.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKLM\..\Run: [SDTray] C:\Programme\Spyware Doctor\SDTrayApp.exe O4 - HKCU\..\Run: [Steam] "c:\programme\spiele\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRA~1\ICQTOO~1\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\windows\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\windows\system32\shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\windows\system32\oodag.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe Geändert von Kobi89 (08.06.2007 um 18:32 Uhr) |
| Themen zu Trojaner | HJT- und eScan-logfile | Hilfe!!! |
| ad-aware, antivir, autorun, avira, drivers, dsl, entfernen, excel, fehler, firefox, google, hijack, hijackthis, hilfe!!, hilfe!!!, hosts-datei, icqsearch, internet, internet explorer, mozilla, mozilla firefox, nicht sicher, registry, rundll, software, spyware, tr/vundo.gen, trojaner, träge, unknown file in winsock lsp, urlsearchhook, virus, windows, windows xp, windows\system32\drivers |
Baum-Darstellung