![]() |
|
Log-Analyse und Auswertung: Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
| ![]() Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden Hallo Bei der automatischen Auswertung vom Hijackthisfile wurden zwei Schädlichkeitsmeldungen ausgegeben. Erkannt wurde eine sog. "Fuzzy Algorithmusprüfung". Am besten schaut ihr (Experten :-) ) euch mal den Logfile an: Scan saved at 01:59:25, on 15.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\NMSAccessU.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\GNU\GnuPG\WinPT.exe C:\Programme\PowerMenu\PowerMenu.exe C:\Programme\Sphairon\UB801R USB Wireless LAN Card\Installer\WINXP\ScConfig2500USB.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ F3 - REG:win.ini: run= O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [ScanRegistry] C:\W O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinPT - Schlüsselmanager] C:\Programme\GNU\GnuPG\WinPT.exe O4 - HKCU\..\Run: [Power Menu - transparency & systemtray] C:\Programme\PowerMenu\PowerMenu.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ScConfig2500USB.lnk = C:\Programme\Sphairon\UB801R USB Wireless LAN Card\Installer\WINXP\ScConfig2500USB.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 5960 bytes Wie soll ich nun verfahren? Außerdem habe ich bei eine AntiVir-Meldung bekommen; daraufhin habe ich die beiden Dateien in Quarantäne verschoben, weil sie vom Heuristik-Verfahren aufgespürt wurden. Bei der ersten Datei steht als Meldung "Enthält verdächtigen Code: HEUR/Exploit.HTML", sie befindet sich unter c:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\...\E5BE6C6Fd01 bei der zweiten steht "Ist das Trojanische Pferd TR/Crypt.XPACK.Gen", sie befindet sich in c:\DOKUME~1\Name\Lokale~1\Temp\fdzkro63.pif. Natürlich habe ich die Dateien nicht ausführen lassen von AntiVir. Auch hier meine Frage: wie soll ich mich verhalten? Noch als Anmerkung: Ich habe einige Stunden zuvor schon diese Meldung bekommen, dass das System von NT-Autorität heruntergefahren wird. Mit "schutdown -a" habe ich das gestoppt und habe einen Neustart gemacht. Danach tauchte die Meldung nicht mehr auf. Auch befand sich keine verdächtige Datei im Windows-Ordner, die auf Sasser oder Blaster schließen lässt. Der Virenscan zeigte keine weiteren Dateien an. Über eine Antwort würde ich mich sehr freuen. Vielen Dank! Euli |
Themen zu Trojaner in Quarantäne und schädliches Programm mit Hijackthis gefunden |
antivir, avira, bho, desktop, down, drivers, einstellungen, excel, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mozilla firefox, mozilla thunderbird, nt-autorität, programm, quara, registry, s-1-5-18, scan, software, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, usb, vielen dank, windows, windows xp, wireless lan |