| |
| |||||||
Log-Analyse und Auswertung: Hilfe, habe mir einen Trojaner eingefangenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
20.09.2007, 21:39
| #1 |
| |  Hilfe, habe mir einen Trojaner eingefangen Ich habe mir ein Trojanisches Pferd eingefangen. Antivir hat ein TR\Crypt.XPACK.Gen gefunden. Ich habe mich schon kundig gemacht bei Google und hier, aber jeder hat ja eigentlich ein anderes Problem, bzw. eine andere Datei die den Fund auslöst. Die Dateien hat Antivir hier gefunden: C:\cad.exe (nicht gefunden, beim suchen) und C:\Dokumente und Einstellungen\Lokal Service\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GH...\if(1).exe Habe sie in Quarantäne verschoben. Habe auch auf Raten von anderen Foren bei Google den Hijack-This runtergeladen. Da ich mich damit aber nicht auskenne, stelle ich euch die Logfiles mal rein. Logfile of HijackThis v1.99.1 Scan saved at 19:40:00, on 20.09.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\usnsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\LTSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINDOWS\System32\NILaunch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\lotus\smartctr\smartctr.exe C:\lotus\smartctr\suitest.exe C:\lotus\register\remind32.exe C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/german R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64" O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - Startup: Lotus SmartSuite r9 Registrierung.lnk = C:\lotus\register\remind32.exe O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Lotus Schnellstart.lnk = C:\lotus\wordpro\ltsstart.exe O4 - Global Startup: Lotus SmartCenter.lnk = C:\lotus\smartctr\smartctr.exe O4 - Global Startup: Lotus SuiteStart.lnk = C:\lotus\smartctr\suitest.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O17 - HKLM\System\CCS\Services\Tcpip\..\{2CC3773F-7AC6-4A9B-9CAA-E1758563B91E}: NameServer = 192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Microsoft usnsvc Service - Unknown owner - C:\WINDOWS\usnsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Wäre schön,wenn mal jemand drüber schauen und mir helfen kann.Möchte ungern den Rechner platt machen. Danke schon mal. Teyla76 |
|
20.09.2007, 22:08
| #2 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™   | Hilfe, habe mir einen Trojaner eingefangen Tach,
__________________im HJT-Log sehe ich nichts Auffälliges was Schädlinge angeht, allerdings ist der Patchlevel erschreckend niedrig: Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Du solltest umgehend des SP2 einspielen und anschließend die Windowsupdateseite besuchen. Java verträgt ebenfalls ein Update. Das SP2 sollte nicht unnötig gestört werden, deaktiviere daher möglichst alle Programme im Hintergrund während es installiert wird, auch evtl. im Hintergrund laufende Virenscanner! Zitat:
Zitat:
Beachte bitte auch, dass gerade der IE bis Version 6 noch erhebliche Lücken aufweist, wie IE7 da abschneidet kann ich nicht genau sagen, ich empfehle dir aber das Surfen mit aktuellen Alternativbrowsern wie Firefox oder Opera, möglichst mit eingeschränkten Rechten.
__________________ |
|
21.09.2007, 02:46
| #3 | ||
  | Hilfe, habe mir einen Trojaner eingefangen Einen schönen guten Morgen und willkommen im Trojaner-Board!
__________________Zitat:
Zur Erklärung: "OnAccess" ist der Hintergrundwächter von AntiVir, also der "Guard". Dessen Report kannst Du wie folgt finden: Bei geöffneter Registerkarte für den Guard, oben linksseitig, unmittelbar über dem Schriftzug "Letzte betroffene Datei", erkennst Du einen kleinen Notizblock mit Lupe - klick da mal drauf, dann öffnet sich eine Reportdatei - die Reportdatei des OnAccess-Scanners bei AntiVir. "OnDemand"-Scans heißen bei AntiVir "Suchlauf". Es handelt sich um Scans, die vom Nutzer selbst oder über den Planer initiiert wurden. Den entsprechenden Report findest Du über die Registerkarte "Berichte". Wähle den durchgeführten Scan aus und klicke dann zum Öffnen auf "Report". Schau Dir alle Reporte an und halte Ausschau nach Meldungen wie [FUND] und [WARNUNG]. Poste hier die entsprechenden Einträge. Achte insbesondere darauf, ob es eine Warnung- oder Fundmeldung gibt, die sich auf den von Dir genannten Schädling bezieht. Code:
ATTFilter Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Code:
ATTFilter Running processes:
C:\WINDOWS\usnsvc.exe
Code:
ATTFilter C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
Hinweis: Das bedeutet jedoch nicht, dass es Sinn macht, die Software nachträglich, also nach der festgestellten Infektion zu aktualisieren. Es ist lediglich ein dringender Tipp für die Zukunft. Code:
ATTFilter C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
Re: Mich hat's leider auch erwischt - Peter Herzog's Spotlight.de heise online - Kostenfalle Smartsurfer teltarif.de - News: Smartsurfer ist plötzlich deutlich teurer Code:
ATTFilter C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Tools\HijackThis.exe
Code:
ATTFilter O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
Code:
ATTFilter O23 - Service: Microsoft usnsvc Service - Unknown owner - C:\WINDOWS\usnsvc.exe
VirusTotal - Kostenloser online Viren- und Malwarescanner Warte das Scanende ab und poste dann das vollständige Prüfresultat inkl. der MD5- und SHA1-Werte. Zitat:
Geändert von mmk (21.09.2007 um 03:02 Uhr) Grund: Tippfehler, Verlinkgen korrigiert; Informationen ergänzt. |
|
21.09.2007, 14:15
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe, habe mir einen Trojaner eingefangenZitat:
 Der ist mir ja total entgangen...naja, der sitzt ja auch im Windowsordner und nicht irgendwo in Programme. => usnsvc.exe Windows Prozess - Was ist das? Bin mal auf die Auswertung gespannt.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
25.09.2007, 17:02
| #5 |
| |  Hilfe, habe mir einen Trojaner eingefangen Hi! Möchte mich erst mal bedanken, dass ihr so schnell geantwortet habt. Ich konnte mich nicht eher melden, weil immer wenn ich anfangen wollte mit schreiben, eine Warnmeldung nach der anderen im Vordergrung aufging.  Ich werde heute Abend die fehlenden Logs reinstellen. Nun zu den Fragen: Es ist der Laptop von meinen Dad. Habe ihn jetzt mit nach Hause genommen, damit ich wenigsten an meinem Arbeiten kann und hier posten. Er hatte die automatischen Updates ausgeschaltet. Antivir war nicht mehr aktuell, usw. Wollte jetzt ein Update starten (SP2), hat er aber abgebrochen. Es würde wohl irgendeine Datei fehlen oder so was. Antivir ist jetzt wieder aktuell. Ich habe ihm übrigens Firefox installiert zum surfen. Er nutzt nur noch diesen. Zum Lappi: Ich habe versucht, die Trojaner im abgesicherten Modus zu löschen. 5 Stück waren es. Habe Antivir nochmal durchlaufen lassen und keine Warnung mehr. Fahre neu hoch und alles geht von vorne los, nur noch schlimmer.  Gestern z.B. sind 20 Warnfenster aufgegangen und ließen sich nicht mehr schließen. Quarantäne,löschen oder Zugriff verweigern, hat nichts geholfen. im Gegenteil, es sind noch mehr Warnfenster aufgegangen.Dann habe ich nach der Datei "usnsvc.exe" gesucht im Windows-Ordner, aber nicht gefunden (vesteckte Ordner werden angezeigt).Habe den Computer dann suchen lassen. Er hat ihn gefunden und ich habe ihn gelöscht. Weiß aber noch nicht ob das funktioniert hat. Werde ich nachher sehen. Weiterhin habe ich den Logitech Messanger deinstalliert, der hat nämlich auch rumgesponnen. Die Software hatte auch was mit einer der Warnung zu tun. Also denne bis heute Abend. Hoffe immernoch, dass wir das hinbekommen ohne "Format C". |
|
25.09.2007, 18:30
| #6 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe, habe mir einen Trojaner eingefangen Du hast zwar viel geschrieben, aber wichtige Infos weggelassen: Zitat:
Zitat:
Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScanUnd mach bitte ein Filelist: 1. Lade das filelist.zip auf deinen Desktop herunter.
__________________ --> Hilfe, habe mir einen Trojaner eingefangen |
|
26.09.2007, 12:31
| #7 | ||||
| |  Hilfe, habe mir einen Trojaner eingefangenZitat:
Zitat:
Zitat:
Zitat:
|
|
26.09.2007, 21:38
| #8 |
| | Hilfe, habe mir einen Trojaner eingefangen Einen schönen guten Abend! Hatte gestern wieder mal keine Zeit. So erst mal der Verlauf: Hatte den Laptop heute mal mit auf arbeit genommen und mit einem Kollegen drüber geschaut. Wir haben dann ZoneAlarm installiert und durchlaufen lassen. Naja das Ende vom Lied war, dass ich 5 Trojaner drauf hatte, einige Spyware und sogar ein Virus. Fazit: Antivir hat komplett versagt!  Muss aber dazu sagen, dass der Virus die Datenbank von Antivir umgeschrieben hat (Host-Datein), so heißt es zumindest bei Google.de. Als wir ihn endlich clean hatten, haben wir SP2 installiert. ....danach nichts mehr, keine Regung. (wieder mal ungenau) Der Grund ist, dass ich wohl eine Software auf dem Rechner von Adware habe. Das verträgt sich nicht. Microsoft bietet aber ein Update an, womit ich die Software entfernen kann. Jetzt habe ich den ganzen Abend damit verbracht, zuzusehen, wie ich den Laptop zurücksetzen kann, bevor SP2 drauf war. Ging aber nicht. Ich habe aber ne Alternative gefunden, wie ich das SP2 wieder runter bekomme. Jetzt fährt er wenigstens schon mal im abgesicherten Modus hoch. Lasse gerade den Deinstallations-Assistenten für WinXP SP2 durchlaufen. Das kann sich aber nur noch um Jahre handeln. Ich habe nämlich das Gefühl, dass er garnicht arbeitet. An Euch erst mal ganz großen Dank. Es ist schön, wenn man mit solchen Problemen nicht alleine da steht. Außerdem möchte ich mich entschuldigen, dass ich nicht so korrekte Angaben gemacht habe bzw. machen konnte. Das ist ziemlich neu für mich und genervt war ich auch von den vielen Warnfenstern. Ich kann froh sein das Fenster so teuer sind, sonst hätte ich ihn garantiert noch aus dem Fenster geworfen. Jetzt will ich nur noch haofen, dass ich das SP2 runter bekomme. Dann ist erst mal alles in Ordnung. Also bis denne Teyla76 |
|
26.09.2007, 21:54
| #9 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe, habe mir einen Trojaner eingefangenZitat:
Zitat:
Du wirst dir mit einem Neuaufsetzen einen Gefallen tun - noch weiter rumfrickeln an dem System würde ich nicht, man tappt da völlig im Dunkeln, man kommt vom nächsten ind Tausendste und verschwendet ordentlich Zeit. (Unseren Aufforderungen bist du auch nichtmal nachgekommen.) Wenn das System wieder neu aufgesetzt ist, gehört als allererstes das SP2 drauf.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Hilfe, habe mir einen Trojaner eingefangen |
| adobe, avira, besitzer, bho, content.ie5, crypt.xpack.gen, dateien, desktop, drivers, einstellungen, explorer, google, helfen, hijack-this, hijackthis, internet, internet explorer, microsoft, nicht gefunden, nvidia, problem, programme, quara, rundll, software, suche, system, trojaner, trojaner eingefangen, trojanisches pferd, windows, windows xp |
Linear-Darstellung
