Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
mehrere Trojaner, HJT-Log +escan dabei

mehrere Trojaner, HJT-Log +escan dabei


Log-Analyse und Auswertung: mehrere Trojaner, HJT-Log +escan dabei

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 16.11.2007, 20:15   #1
vice.versa
 
mehrere Trojaner, HJT-Log +escan dabei - Standard

mehrere Trojaner, HJT-Log +escan dabei


Habe vor einer Woche Meldungen bei Nod solcher Art bekommen:

12.11.2007 21:13:19 ht tp ://client133.faster-hosting.com/ex/udl.exe a variant of Win32/TrojanProxy.Jaber trojan


14.11.2007 17:48:14 C:\DOKUME~1\A\LOKALE~1\Temp\rhg9fgn3.wmf a variant of Win32/Exploit.WMF trojan quarantined - deleted occurred on a file modified by the application: C:\Programme\Mozilla Firefox\firefox.exe. The file was moved to quarantine.

Ich dachte, der hätte die Einnistung verhindert, da ich noch ein Programm habe, welches die Änderungen bei Registry (glaub ich) überwacht, sodass jedes neue Programm gemeldet wird und um Erlaubnis zur Internetconnection bittet.

Anscheinend wurden die Einstellungen von NOd irgendwie manipuliert, weil danach Nod zwar in der Leiste zu sehen war, aber wenn man mit der Maus anfuhr, verschwand. Also bestand kein Schutz mehr, so konnten spätere gleiche Trojaner sich einnisten.

Firewall hab ich nicht. Spay doctor ist nutzlos.

Gern würd ich wissen, ob Systemneuaufsetzung die einzige Alternative ist, oder wir doch das alles bereinigen können.

Das mit gelben Kästchen: Code, bei Einfügen, hab ich nicht hingekriegt

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "toolbar888 Browser Hijacker" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
Object "win32.agent.bls Trojan" in Dateisystem gefunden! Folgende MaЯnahme wurde durchgefьhrt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\A\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\A\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dateien von Firefox\mirc621.exe//stream//data0008 markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\TEMP\wzse0.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse1.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse2.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse3.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse4.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse5.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse6.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse7.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse8.tmp\disk_1\reboot.exe
Offending file found: C:\WINDOWS\TEMP\wzse9.tmp\disk_1\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\A\Anwendungsdaten\microsoft\internet explorer\quick launch\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\inetget2
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\toolbar888 !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Zone Alarm\zaSuiteSetup_60_667_000.exe nicht gescannt. Wahrscheinlich durch Passwort geschьtzt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 98918
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelцschten Dateien: 0
Anzahl Fehler: 272
Dauer des Scans bisher: 01:29:07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherьberprьfung: Aktiviert
Registry Ьberprьfung: Aktiviert
System-Ordner Ьberprьfung: Aktiviert
Ьberprьfung der Systembereiche: Deaktiviert
Ьberprьfung der Dienste: Aktiviert
Ьberprьfung der Festplatten: Deaktiviert
Ьberprьfung aller Festplatten :Aktiviert

Batchstart: 19:54:58,35
Batchende: 19:55:22,28

----------------------------------------------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 19:38:09, on 16.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\DOKUME~1\A\LOKALE~1\Temp\mexe.com
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Paradiesbar\paradiesbar.exe
C:\Dateien von Firefox\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h ttp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 134.58.33.227:80
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu176\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu176\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu176\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SDTray] C:\Programme\Spyware Doctor\SDTrayApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Voice Editing Launcher - C:\Neuer Ordner (3)\VEd1_IEMenu.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Programme\Mail.Ru\Agent\MAgent.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154803258812
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Alt 18.11.2007, 16:43   #2
vice.versa
 
mehrere Trojaner, HJT-Log +escan dabei - Standard

mehrere Trojaner, HJT-Log +escan dabei


Bitte, zumindest eine Antwort, ob ich HIlfe bekomm oder nicht, sonst werd ich versuchen auf eigenen Faust irgendwie zu bereinigen.
__________________
Alt 20.11.2007, 09:47   #3
vice.versa
 
mehrere Trojaner, HJT-Log +escan dabei - Standard

mehrere Trojaner, HJT-Log +escan dabei


bitte durchsehen
__________________
Alt 20.11.2007, 10:28   #4
Chris4You
 
mehrere Trojaner, HJT-Log +escan dabei - Standard

mehrere Trojaner, HJT-Log +escan dabei


Hi,

sehr indifferent...

Du hast sehr wohl eine Firewall (Sygate), oder stammt das HJ-Log von einem anderen Rechner?

Das HJ-Log gibt nicht viel her, ist das hier Dein Internetprovider bzw. bist Du in einem Lan per Proxy angebunden (134.58.33.227:80)?

Die Escan-Meldung beziehen sich auf temp. Dateien, die alle mal löschen (CCleaner).

Danach ein Scan mit Dr. Web (poste das Log), sowie Datfind:
Dr. Web:
Anleitung: Anleitung: DrWeb - CureIt - Anleitung
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Datfind:
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
"
http://virus-protect.org/datfindbat.html

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.11.2007, 13:02   #5
vice.versa
 
mehrere Trojaner, HJT-Log +escan dabei - Standard

mehrere Trojaner, HJT-Log +escan dabei


Hallo Chris, DANKE, dass endlich jemand reagiert hat.

Temp gelöscht. Für eingende Daten hab ich keine Firewall, ist aber auch eher unnötig.

Dr. Web's scanner sieht jetzt aktuell anders aus, sodass ich da nach
Aktualität anders vorgehen musste.


Durch Ausführen habe ich lange Liste mit OK's bekommen und so eine Zusammenfassung

Prьfstatistiken
-----------------------------------------------------------------------------
Geprьfte Objekte: 135290
Infizierte Objekte gefunden: 4
Objekte mit Modifikation gefunden: 1
Verdдchtige Objekte gefunden: 1
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 1
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelцschte Objekte: 3
Umbenannte Objekte: 0
Verschobene Objekte: 2
Ignorierte Objekte: 0
Leistung:: 379 Kb/s
Dauer:: 01:27:29

Im Scanner selbst habe ich keine Möglichkeit gefunden, die Funde zu kopieren und hier zu posten.

Datfind:

20.11.2007 12:46 1.611.826 iklog.log
20.11.2007 09:06 12.820 wpa.dbl
15.11.2007 00:36 231 imon1.dat
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:07 373.760 xpsp3res.dll
28.10.2007 16:21 396.212 perfh009.dat
28.10.2007 16:21 410.482 perfh007.dat
28.10.2007 16:21 60.952 perfc009.dat
28.10.2007 16:21 73.396 perfc007.dat
28.10.2007 16:21 953.084 PerfStringBackup.INI
25.10.2007 17:42 8.501.248 shell32.dll
06.09.2007 17:49 249.768 TZLog.log
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 11:19 13.824 ieudinit.exe
17.08.2007 08:34 161.792 ieakui.dll

Hijackthis stammt von meinem Comp, habe aber nicht im safemode gemacht, weil ich die Umschaltung nicht schaffe. escan ist ebenso nicht im safemode, aber wie ich mich erinnere, habe ich nicht nur Tempdateien durchscannen lassen, sondern alles. Soll ich nochmal?

134.58.33.227:80 kenn ich nicht. Ich habe Kabelinternet und habe Router angeschlossen, obwohl nur ein PC. Zur besseren Sicherheit, dachte ich mir, vielleicht davon?


Alt 20.11.2007, 13:25   #6
Chris4You
 
mehrere Trojaner, HJT-Log +escan dabei - Standard

mehrere Trojaner, HJT-Log +escan dabei


Hi,

bei Datfind alle 6 Verzeichnisse mit Namen, aber nur jeweils die ersten drei Monate...

Welche Viren/Trojaner wurden gefunden, wo?

Kommst Du nicht mehr in den Safemode (F8 beim Booten)....
Das verhindern einige Beagle-Varianten (zu sehen sind die aber im Log nicht)...

Safemode wiederherstellen:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attachment.php?attachmentid=2272&d=1187631899
entpacke es auf Deinen Desktop, mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen
Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf.

Bitte neues HJ-Log...

Chris
__________________
--> mehrere Trojaner, HJT-Log +escan dabei

Antwort

Themen zu mehrere Trojaner, HJT-Log +escan dabei
adobe, application, bho, browser, c:\windows\temp, dateisystem, defender, desktop.ini, drivers, einstellungen, excel, explorer, fehler, festplatte, firefox, hijackthis, hosts-datei, internet explorer, launch, maus, mehrere, moved, mozilla, mozilla firefox, object, prozesse, registry, registry key, schutz, software, system, temp, trojaner, urlsearchhook, viren, windows, windows xp, windows\system32\drivers, windows\temp, zone alarm


« Bitte Prüfden | Frage zu Hijackthis log »


Ähnliche Themen: mehrere Trojaner, HJT-Log +escan dabei


  1. Verschiedene Offene Ports - evtl. Trojaner oder ähnliches dabei?
    Plagegeister aller Art und deren Bekämpfung - 09.06.2013 (7)
  2. Hilfe! GVU/BKA Trojaner eingefangen, ich brauche Hilfe dabei den Mist von meinem Lappi runter zu bekommen!
    Log-Analyse und Auswertung - 27.11.2012 (1)
  3. Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei
    Log-Analyse und Auswertung - 13.09.2012 (12)
  4. GVU Trojaner mit Webcambild - Logfiles dabei
    Log-Analyse und Auswertung - 20.07.2012 (21)
  5. 2. Rechner nach GVU Trojaner Entfernung: System jetzt sauber?(LogFiles dabei)
    Log-Analyse und Auswertung - 15.07.2012 (8)
  6. GEma trojaner 100 abgesicherter modus nicht möglich otllog dabei
    Plagegeister aller Art und deren Bekämpfung - 16.03.2012 (12)
  7. 50 Euro Trojaner - log schon dabei
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (39)
  8. Trojaner TR/Kazy.mekml.1 - ich bin auch dabei - malware-datei liegt bei
    Plagegeister aller Art und deren Bekämpfung - 17.05.2011 (23)
  9. Ständig in Neue Viren uns Trojaner - Log dabei
    Log-Analyse und Auswertung - 23.04.2010 (10)
  10. Von ICQ übertragener Trojaner - selbstständiges Verschicken von Links - MWB Log dabei
    Plagegeister aller Art und deren Bekämpfung - 18.04.2010 (3)
  11. 3 Trojaner eingefangen Namen sind dabei hijackthis dabei kleine Problemmeldung..
    Log-Analyse und Auswertung - 08.09.2009 (18)
  12. TRojaner eingefangen, Rettung möglich oder Formatierung? Logfile dabei
    Log-Analyse und Auswertung - 12.01.2009 (0)
  13. Escan melden Befall z.B. gain.gator, winfixer, fujacks worm, HJT Log und Escan Log
    Log-Analyse und Auswertung - 04.03.2008 (8)
  14. IEXPLORER.EXE - Virus oder Trojaner? (Link zu Infos über Problematik ist dabei)
    Log-Analyse und Auswertung - 01.01.2006 (8)
  15. escan gibt 64 viren an, escan-checkb9 findet keine zu löschenden dateien
    Antiviren-, Firewall- und andere Schutzprogramme - 27.07.2005 (0)
  16. Brauche dringend Hilfe ...Trojaner oder so...(Logfile dabei)
    Log-Analyse und Auswertung - 17.04.2005 (3)
  17. ist da was dabei???
    Log-Analyse und Auswertung - 24.02.2005 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema mehrere Trojaner, HJT-Log +escan dabei - Habe vor einer Woche Meldungen bei Nod solcher Art bekommen: 12.11.2007 21:13:19 ht tp ://client133.faster-hosting.com/ex/udl.exe a variant of Win32/TrojanProxy.Jaber trojan 14.11.2007 17:48:14 C:\DOKUME~1\A\LOKALE~1\Temp\rhg9fgn3.wmf a variant of Win32/Exploit.WMF trojan quarantined - - mehrere Trojaner, HJT-Log +escan dabei...
Archiv
Du betrachtest: mehrere Trojaner, HJT-Log +escan dabei auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131