| |
| |||||||
Log-Analyse und Auswertung: Trojaner über YouTube Henky.Tanzen und andereWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.10.2007, 12:13
| #1 |
 |  Trojaner über YouTube Henky.Tanzen und andere Schönen guten Tag, nachdem ich schon versucht habe, mich zu dem Trojaner Henky.Tanzen schlau zu machen, weiß ich doch noch nicht recht weiter. AntiVir hat ihn angeblich in Quarantäne verschoben, bzw. dann die andere Meldung "gelöscht". Die Meldung war: In der Datei 'C:\WINDOWS\sdrive\bku.exe' wurde ein Virus oder unerwünschtes Programm 'W32/Henky.Tanzen' [W32/Henky.Tanzen] gefunden. Ausgeführte Aktion: Datei löschen Es kamen dann auch gleich noch andere Meldungen: Die Datei 'C:\nzlrs.exe' enthielt einen Virus oder unerwünschtes Programm 'W32/Henky.Tanzen' [virus]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "4770ba5b.qua" verschoben! Die Datei 'c:\dnmgr.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Adload.FU.27' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "4771ba3c.qua" verschoben! In der Datei 'D:\WINDOWS\System32\ddcyx.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.ConHook.Gen' [TR/Dldr.ConHook.Gen] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'D:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\25CHK9EB\css4[1]' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.ConHook.Gen' [TR/Dldr.ConHook.Gen] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'D:\WINDOWS\System32\sstqp.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.ConHook.Gen' [TR/Dldr.ConHook.Gen] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'D:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZYBILMT\css4[1]' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.ConHook.Gen' [TR/Dldr.ConHook.Gen] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\WINDOWS\sdrive\info.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.U.Gen' [TR/Crypt.U.Gen] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP2RG5IJ\acid[1].exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Adload.FU.27' [TR/Dldr.Adload.FU.27] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\plugy.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9ANCPQR\plugy[1].exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\ere.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [TR/Crypt.XPACK.Gen] gefunden. Ausgeführte Aktion: Datei löschen Die Datei 'D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9ANCPQR\la[1].ico' enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "475fb46c.qua" verschoben! Ganz schön viele Meldungen innerhalb von 2 Minuten... Dann öffnete sich auch ein Fenster mit der Bezeichnung c:\spagr.exe Das sah aus wie eine Meldung aus der DOS-Ebene, es war schwarz und mit einem Cursor-Symbol versehen, Windows konnte es nicht beenden, nur über "sofort beenden". Vorher wurde der PC automatisch heruntergefaher binnen einer Minute. Die Meldung habe ich leider nicht dokumentiert, es war irgendetwas mit NT-Remote.... Nach diesem Suchlauf und den Meldungen von AntiVir habe ich dann HijackThis ausgeführt und erlaube mir den LogFile zu kopieren: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:36:21, on 04.10.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\QuickTime\qttask.exe D:\Programme\Java\jre1.5.0_11\bin\jusched.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\WINDOWS\SOUNDMAN.EXE D:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE D:\Programme\Gemeinsame Dateien\AOL\1175008292\ee\AOLSoftware.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\Messenger\msmsgs.exe D:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe D:\WINDOWS\system32\dllcache\mravsc32.exe D:\WINDOWS\system32\svshost.exe D:\WINDOWS\system\msnrav.exe D:\WINDOWS\system32\netthrot.exe D:\WINDOWS\System32\svchost.exe D:\PROGRA~1\AOL9~1.0\waol.exe D:\PROGRA~1\AOL9~1.0\shellmon.exe D:\Programme\Microsoft Office\Office\WINWORD.EXE D:\Dokumente und Einstellungen\xxx\Eigene Dateien\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - D:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AOLDialer] D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LVCOMS] D:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE O4 - HKLM\..\Run: [HostManager] D:\Programme\Gemeinsame Dateien\AOL\1175008292\ee\AOLSoftware.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] "D:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - D:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - D:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll O12 - Plugin for .avi: D:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: D:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {26FCCDF9-A7E1-452A-A73D-7BF7B4D0BA6C} (AOL Pictures Uploader Class) - http://o.aolcdn.com/pictures/ap/Resources/2.0.8.98/cab/aolpPlugins.10.6.0.6.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{515ECCCE-36FE-4BD0-9EEB-F7610763AF5A}: NameServer = 213.191.92.87 213.191.74.19 O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD6D8AE-FAAE-4B39-BC01-4B6E99AD1301}: NameServer = 205.188.146.145 O20 - Winlogon Notify: ddcbcay - D:\WINDOWS\SYSTEM32\ddcbcay.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Distributed Allocated Memory Unit - Unknown owner - D:\WINDOWS\system32\dllcache\mravsc32.exe O23 - Service: Microsoft Browser Services - Unknown owner - D:\WINDOWS\system32\svshost.exe O23 - Service: MSN RAV - Unknown owner - D:\WINDOWS\system\msnrav.exe -- End of file - 6200 bytes Nachdem ich eben auch nicht so bewandert bin..heißt das: Alles platt machen? Oder gleich einen neuen PC? Der ist ja immerhin 5 Jahre alt und hatte schon einen Crash auf Laufwerk "C", jetzt läuft er eben über "D". Ich habe schon gesehen...SP 1..das ist dann wohl die Todsünde überhaupt... Im Prinzip benötige ich ja nur die "Eigenen Dateien" also im Großen und Ganzen Word- und sonstige Dokumente, sowie Bilder. Sind die denn dort auch ggf. verseucht, oder kann ich noch einmal eine Datensicherung von diesen Dateien durchführen und neu aufspielen? Ganz viele Fragen, es wäre sehr hilfreich, wenn auch mir weitergeholfen werden kann. Schöne Grüße an die ganzen Mitarbeiter hier Martinus |
| Themen zu Trojaner über YouTube Henky.Tanzen und andere |
| 'tr/crypt.ulpm.gen', 1.exe, adobe, antivir, avg, avira, bho, browser, content.ie5, datensicherung, einstellungen, explorer, frage, hijack, hijackthis, hilfreich, hkus\s-1-5-18, internet, internet explorer, logfile, mitarbeiter, pdf, programm, programme, quara, s-1-5-18, suchlauf, system, tr/crypt.ulpm.gen, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', trend micro, trojaner, virus, windows, windows xp, yahoo |
Baum-Darstellung