Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.11.2007, 22:44   #1
premo
 
Trojaner - Standard

Trojaner



Hallo Leute,

ich hab ein Problem und weiss nicht mehr weiter. Ich habe einen Trojaner auf dem Rechner der von AntiVir gemeldet wird. Der Trojaner sitzt meiner Meinung nach auf C:\WINDOWS\system32\ssqnnon.dll . Dies hat auch der Check beim Online Malware scan ergeben als ich die Datei durchlaufen lassen habe. Er lässt sich per hand nicht löschen weil laut windows auf die Datei noch zugegriffen wird. Das selbe im abgesicherten Modus. HJT habe ich auch durchlaufen lassen und dies ist meine log:

Logfile of HijackThis v1.99.1
Scan saved at 22:09:59, on 21.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberSnipa\Intelliscope Mouse\Panel.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\totalcmd\TOTALCMD.EXE
C:\Dokumente und Einstellungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://battlefield2142.ea.com/battlefield/bf2142/
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliScope] "C:\Programme\CyberSnipa\Intelliscope Mouse\Panel.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

------------------------------

Ich habe schon hier nach dem Pfad gesucht aber nicht gefunden. Kann es sein das es hier garnicht aufgeführt wird da mein AntiVir es schon blockt?

Ich hoffe einer kann mir helfen. Falls noch was unklar ist einfach fragen

Alt 22.11.2007, 10:07   #2
Cleriker
 
Trojaner - Standard

Trojaner



Hallo und Herzlich Willkommen im Trojaner-Board

In deinem Logfile ist der Schädling nicht zu finden.
Poste bitte den Onlinescan der Datei, damit wir wissen,
mit was für einem Schädling wir es zu tun haben.
Aufgrund deiner Zugriffsverletzungen (siehe 10er-Einträge)
erstelle folgende Scans:

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Bei Updateproblemen -> Updateprobleme beheben
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

F-Secure - Rootkitscanner
- lade dir hier f-secure herunter
- speichere es auf dem Desktop und führe fsbl.exe
- akzeptiere die Vereinbarung und klicke anschließend auf "Scan"
- poste den Inhalt der "fsbl-xxx.txt" in deinen Beitrag
(wird im selben Ordner erstellt)

* tcpview
1. Lade dir das Tool -> tcpview
2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner
3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern.
4. Den Inhalt der Logdatei posten.

mfg Cleriker
__________________


Alt 22.11.2007, 22:57   #3
premo
 
Trojaner - Standard

Trojaner



Sooo...

Hier die angefragten Sachen:

Eins noch vorweck. AntiVir meldet den Trojaner immer wenn ich eine Aktion mache wie ein Programm, einen Ordner oder eine Datei öffnen(also eigendlich bei allem) :-) .

Onlinescan

Datei: ssqnnon.dll
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden

AntiVir
TR/Agent.37376 gefunden

ArcaVir
Keine Viren gefunden

Avast
Keine Viren gefunden

AVG Antivirus
Generic9.XIG gefunden

BitDefender
Trojan.Dropper.Agent.TKZ gefunden

ClamAV
Keine Viren gefunden

CPsecure
Keine Viren gefunden

Dr.Web
Trojan.Virtumod.230 gefunden

F-Prot Antivirus
Keine Viren gefunden

F-Secure Anti-Virus
Trojan-Downloader.Win32.Agent.fgl gefunden

Fortinet
Keine Viren gefunden

Ikarus
Trojan-Downloader.Win32.Agent.fgl gefunden

Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.fgl gefunden

NOD32
Win32/Adware.Virtumonde application gefunden

Norman Virus Control
Vundo.gen42 gefunden

Panda Antivirus
Keine Viren gefunden

Rising Antivirus
Keine Viren gefunden

Sophos Antivirus
Mal/Generic-A gefunden

VirusBuster
Keine Viren gefunden

VBA32
Keine Viren gefunden


Meine find.bat

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 77693
Gefundene Viren: 1
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 23
Dauer des Scans bisher: 00:48:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:20:25,87
Batchende: 22:20:40,14


f-secure

11/22/07 22:46:36 [Info]: BlackLight Engine 1.0.67 initialized
11/22/07 22:46:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/22/07 22:46:36 [Note]: 7019 4
11/22/07 22:46:36 [Note]: 7005 0
11/22/07 22:46:43 [Note]: 7006 0
11/22/07 22:46:43 [Note]: 7011 708
11/22/07 22:46:43 [Note]: 7026 0
11/22/07 22:46:43 [Note]: 7026 0
11/22/07 22:46:45 [Note]: FSRAW library version 1.7.1024
11/22/07 22:48:35 [Note]: 7007 0

(nix gefunden)


TCPview

[System Process]:0 TCP premo:1155 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1123 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1156 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1140 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1093 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:kpop 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1141 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1161 194.116.241.55:http TIME_WAIT
[System Process]:0 TCP premo:1125 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1157 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1126 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1142 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1094 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1158 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1159 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1143 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1112 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1128 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1145 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1129 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1146 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1114 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1130 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1083 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1147 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1115 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1099 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1131 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1148 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1084 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1096 ads-205.quarterserver.de:http TIME_WAIT
[System Process]:0 TCP premo:1149 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1117 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1118 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1134 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1098 ads-205.quarterserver.de:http TIME_WAIT
[System Process]:0 TCP premo:1135 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1151 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1088 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1089 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1105 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1121 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1137 194.116.241.52:http TIME_WAIT
[System Process]:0 TCP premo:1122 194.116.241.52:http TIME_WAIT
alg.exe:2480 TCP premo:1035 premo:0 LISTENING
firefox.exe:3560 TCP premo:1100 a80-228-31-23.deploy.akamaitechnologies.com:http ESTABLISHED
firefox.exe:3560 TCP premo:1047 localhost:1048 ESTABLISHED
firefox.exe:3560 TCP premo:1048 localhost:1047 ESTABLISHED
firefox.exe:3560 TCP premo:1049 localhost:1050 ESTABLISHED
firefox.exe:3560 TCP premo:1050 localhost:1049 ESTABLISHED
firefox.exe:3560 TCP premo:1110 a80-228-31-24.deploy.akamaitechnologies.com:http ESTABLISHED
IGDCTRL.EXE:1208 TCP premo:49001 premo:0 LISTENING
IGDCTRL.EXE:1208 UDP premo:1900 *:*
lsass.exe:876 UDP premo:isakmp *:*
lsass.exe:876 UDP premo:4500 *:*
PnkBstrA.exe:1372 UDP premo:44301 *:*
svchost.exe:1132 TCP premo:epmap premo:0 LISTENING
svchost.exe:1624 UDP premo:1026 *:*
System:4 TCP premo:microsoft-ds premo:0 LISTENING
System:4 TCP premo:netbios-ssn premo:0 LISTENING
System:4 TCP premo:netbios-ssn premo:0 LISTENING
System:4 UDP premo:netbios-dgm *:*
System:4 UDP premo:netbios-dgm *:*
System:4 UDP premo:netbios-ns *:*
System:4 UDP premo:netbios-ns *:*
System:4 UDP premo:microsoft-ds *:*


--------


Das wars. Ich hoffe du kannst mir helfen ;-)

Vielen Dank schonmal für deine Mühe.

premo
__________________

Alt 26.11.2007, 10:11   #4
Cleriker
 
Trojaner - Standard

Trojaner



Sorry war im WE,

1) Dein Schädling ist dieser hier -> Troj/DwnLdr-GYV
und hat sich wahrscheinlich schon, wie beschreiben,
in deiner Registrierung breit gemacht.

2) Dein Escan wurde (glaube ich) nicht abgeschlossen.
Die Überprüfung der Systembereiche hast du ebenfalls
nicht aktivert.

3) In deinem TCPView steht eine Verbindung bzw. ein Zugriff
in Richtung Spanien. Sagt dir das was:
Zitat:
person: Ivan del Muro
address: Intercom Factory
address: 08290 Barcelona
Eine Bereinigung wäre hier sehr unsicher und zeitaufwendig.
Ich empfehle dir daher ein Neuafsetzen nach Anleitung:
* System neu aufsetzen mit anschließender Absicherung

mfg Cleriker

Antwort

Themen zu Trojaner
.dll, ad-aware, adobe, antivir, avira, dsl, einstellungen, excel, explorer, firefox, frage, gainward, hijack, hijackthis, internet, internet explorer, malware, mozilla, mozilla firefox, problem, rundll, scan, software, system, trojane, trojaner, unknown file in winsock lsp, windows, windows xp




Zum Thema Trojaner - Hallo Leute, ich hab ein Problem und weiss nicht mehr weiter. Ich habe einen Trojaner auf dem Rechner der von AntiVir gemeldet wird. Der Trojaner sitzt meiner Meinung nach auf - Trojaner...
Archiv
Du betrachtest: Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.