|
Log-Analyse und Auswertung: TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.11.2007, 22:44 | #1 |
| Trojaner Hallo Leute, ich hab ein Problem und weiss nicht mehr weiter. Ich habe einen Trojaner auf dem Rechner der von AntiVir gemeldet wird. Der Trojaner sitzt meiner Meinung nach auf C:\WINDOWS\system32\ssqnnon.dll . Dies hat auch der Check beim Online Malware scan ergeben als ich die Datei durchlaufen lassen habe. Er lässt sich per hand nicht löschen weil laut windows auf die Datei noch zugegriffen wird. Das selbe im abgesicherten Modus. HJT habe ich auch durchlaufen lassen und dies ist meine log: Logfile of HijackThis v1.99.1 Scan saved at 22:09:59, on 21.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\TBPanel.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\CyberSnipa\Intelliscope Mouse\Panel.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\totalcmd\TOTALCMD.EXE C:\Dokumente und Einstellungen\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://battlefield2142.ea.com/battlefield/bf2142/ O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [IntelliScope] "C:\Programme\CyberSnipa\Intelliscope Mouse\Panel.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe ------------------------------ Ich habe schon hier nach dem Pfad gesucht aber nicht gefunden. Kann es sein das es hier garnicht aufgeführt wird da mein AntiVir es schon blockt? Ich hoffe einer kann mir helfen. Falls noch was unklar ist einfach fragen |
22.11.2007, 10:07 | #2 |
| Trojaner Hallo und Herzlich Willkommen im Trojaner-Board
__________________In deinem Logfile ist der Schädling nicht zu finden. Poste bitte den Onlinescan der Datei, damit wir wissen, mit was für einem Schädling wir es zu tun haben. Aufgrund deiner Zugriffsverletzungen (siehe 10er-Einträge) erstelle folgende Scans: * MWAV (eScan) - Free Antivirus 1. Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan (Bei Updateproblemen -> Updateprobleme beheben (Sollte der Hinweis erscheinen, dass du nur mit der Vollversion die Funde löschen kannst, breche den Scan NICHT ab) 2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. - rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) - führe die find.bat aus - das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag 3. Entferne bitte nicht selber von escan alarmierte Funde. Es sind erfahrungsgemäß viele Fehlalarme dabei F-Secure - Rootkitscanner - lade dir hier f-secure herunter - speichere es auf dem Desktop und führe fsbl.exe - akzeptiere die Vereinbarung und klicke anschließend auf "Scan" - poste den Inhalt der "fsbl-xxx.txt" in deinen Beitrag (wird im selben Ordner erstellt) * tcpview 1. Lade dir das Tool -> tcpview 2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner 3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern. 4. Den Inhalt der Logdatei posten. mfg Cleriker |
22.11.2007, 22:57 | #3 |
| Trojaner Sooo...
__________________Hier die angefragten Sachen: Eins noch vorweck. AntiVir meldet den Trojaner immer wenn ich eine Aktion mache wie ein Programm, einen Ordner oder eine Datei öffnen(also eigendlich bei allem) :-) . Onlinescan Datei: ssqnnon.dll Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - Bit9 rapportiert: File not found A-Squared Keine Viren gefunden AntiVir TR/Agent.37376 gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Generic9.XIG gefunden BitDefender Trojan.Dropper.Agent.TKZ gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Trojan.Virtumod.230 gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Trojan-Downloader.Win32.Agent.fgl gefunden Fortinet Keine Viren gefunden Ikarus Trojan-Downloader.Win32.Agent.fgl gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.fgl gefunden NOD32 Win32/Adware.Virtumonde application gefunden Norman Virus Control Vundo.gen42 gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Mal/Generic-A gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Meine find.bat ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.2.6 Sprache: German Virus-Datenbank Datum: 5/28/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 77693 Gefundene Viren: 1 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 23 Dauer des Scans bisher: 00:48:11 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 22:20:25,87 Batchende: 22:20:40,14 f-secure 11/22/07 22:46:36 [Info]: BlackLight Engine 1.0.67 initialized 11/22/07 22:46:36 [Info]: OS: 5.1 build 2600 (Service Pack 2) 11/22/07 22:46:36 [Note]: 7019 4 11/22/07 22:46:36 [Note]: 7005 0 11/22/07 22:46:43 [Note]: 7006 0 11/22/07 22:46:43 [Note]: 7011 708 11/22/07 22:46:43 [Note]: 7026 0 11/22/07 22:46:43 [Note]: 7026 0 11/22/07 22:46:45 [Note]: FSRAW library version 1.7.1024 11/22/07 22:48:35 [Note]: 7007 0 (nix gefunden) TCPview [System Process]:0 TCP premo:1155 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1123 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1156 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1140 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1093 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:kpop 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1141 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1161 194.116.241.55:http TIME_WAIT [System Process]:0 TCP premo:1125 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1157 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1126 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1142 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1094 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1158 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1159 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1143 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1112 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1128 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1145 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1129 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1146 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1114 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1130 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1083 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1147 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1115 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1099 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1131 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1148 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1084 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1096 ads-205.quarterserver.de:http TIME_WAIT [System Process]:0 TCP premo:1149 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1117 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1118 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1134 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1098 ads-205.quarterserver.de:http TIME_WAIT [System Process]:0 TCP premo:1135 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1151 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1088 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1089 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1105 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1121 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1137 194.116.241.52:http TIME_WAIT [System Process]:0 TCP premo:1122 194.116.241.52:http TIME_WAIT alg.exe:2480 TCP premo:1035 premo:0 LISTENING firefox.exe:3560 TCP premo:1100 a80-228-31-23.deploy.akamaitechnologies.com:http ESTABLISHED firefox.exe:3560 TCP premo:1047 localhost:1048 ESTABLISHED firefox.exe:3560 TCP premo:1048 localhost:1047 ESTABLISHED firefox.exe:3560 TCP premo:1049 localhost:1050 ESTABLISHED firefox.exe:3560 TCP premo:1050 localhost:1049 ESTABLISHED firefox.exe:3560 TCP premo:1110 a80-228-31-24.deploy.akamaitechnologies.com:http ESTABLISHED IGDCTRL.EXE:1208 TCP premo:49001 premo:0 LISTENING IGDCTRL.EXE:1208 UDP premo:1900 *:* lsass.exe:876 UDP premo:isakmp *:* lsass.exe:876 UDP premo:4500 *:* PnkBstrA.exe:1372 UDP premo:44301 *:* svchost.exe:1132 TCP premo:epmap premo:0 LISTENING svchost.exe:1624 UDP premo:1026 *:* System:4 TCP premo:microsoft-ds premo:0 LISTENING System:4 TCP premo:netbios-ssn premo:0 LISTENING System:4 TCP premo:netbios-ssn premo:0 LISTENING System:4 UDP premo:netbios-dgm *:* System:4 UDP premo:netbios-dgm *:* System:4 UDP premo:netbios-ns *:* System:4 UDP premo:netbios-ns *:* System:4 UDP premo:microsoft-ds *:* -------- Das wars. Ich hoffe du kannst mir helfen ;-) Vielen Dank schonmal für deine Mühe. premo |
26.11.2007, 10:11 | #4 | |
| Trojaner Sorry war im WE, 1) Dein Schädling ist dieser hier -> Troj/DwnLdr-GYV und hat sich wahrscheinlich schon, wie beschreiben, in deiner Registrierung breit gemacht. 2) Dein Escan wurde (glaube ich) nicht abgeschlossen. Die Überprüfung der Systembereiche hast du ebenfalls nicht aktivert. 3) In deinem TCPView steht eine Verbindung bzw. ein Zugriff in Richtung Spanien. Sagt dir das was: Zitat:
Ich empfehle dir daher ein Neuafsetzen nach Anleitung: * System neu aufsetzen mit anschließender Absicherung mfg Cleriker |
Themen zu Trojaner |
.dll, ad-aware, adobe, antivir, avira, dsl, einstellungen, excel, explorer, firefox, frage, gainward, hijack, hijackthis, internet, internet explorer, malware, mozilla, mozilla firefox, problem, rundll, scan, software, system, trojane, trojaner, unknown file in winsock lsp, windows, windows xp |