| |
| |||||||
Log-Analyse und Auswertung: Dateien mit TR/Dldr.Alphabet.11264.51 werden erzeugtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.01.2008, 22:01
| #1 |
| |  Dateien mit TR/Dldr.Alphabet.11264.51 werden erzeugt Hallo, bei mir werden unter c:\Programme immer wieder Dateien mit einer <Zahlenkombination>.exe erzeugt in denen der oben genannte Trojaner steckt (laut Antivir). Nach löschen oder Quarantäne tauchen die in kurzen Abständen immer wieder mit einer anderen Zahlenkombination auf. Hier das HiJackThis.log mit der Bitte um Hilfe, besten Dank! Logfile of HijackThis v1.99.1 Scan saved at 21:38:24, on 2008-01-08 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\avp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.EXE C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE D:\Treiber - Patches - Tools\Patches - Tools\Schutz\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.aldi.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = w*w.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe O4 - HKCU\..\Run: [LaunchList] C:\Programme\Pinnacle\Studio 11\LaunchList2.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - h**p://w*w.medionshop.de/ (file missing) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {12743341-A6AD-4224-8EB9-0FA1E9B30099} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {12743341-A6AD-4224-8EB9-0FA1E9B30099} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {57F73C44-CBF5-4AA1-82CB-9BB2D5654D4B} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {57F73C44-CBF5-4AA1-82CB-9BB2D5654D4B} - (no file) (HKCU) O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.aldi.com O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
|
09.01.2008, 10:18
| #2 |
 | Dateien mit TR/Dldr.Alphabet.11264.51 werden erzeugt Guden Tach,
__________________als erstes eScan laufen lassen, und Bericht posten. Dann: Combofix 1) - Lade dir Combofix herunter 2) combofix.exe starten und bestätige die Abfrage mit 1 und drücke Enter 3) Bericht posten Achtung: Combofix nimmt ein wenig Zeit in anspruch! Bitte nichts während des Scans am Pc machen Es kann auch sein, dass dein Computer zwischendurch mal herunterfährt!
__________________ |
|
09.01.2008, 21:43
| #3 |
| | Dateien mit TR/Dldr.Alphabet.11264.51 werden erzeugt Hallo,
__________________danke erstmal. Habe nach langem rumsuchen eine Datei gefunden die das Problem verursacht hat (avp.exe unter c:\Windows). Habe sie mit Antivir entfernen können und der effekt ist weg. Ich weis aber nicht ob das System halbwegs sauber ist, deshalb poste ich die angeforderten logs. |
|
| Themen zu Dateien mit TR/Dldr.Alphabet.11264.51 werden erzeugt |
| adobe, antispyware, antivir, avira, bho, bitte um hilfe, canon, computer, drivers, dsl, excel, explorer, hijack, home, hotkey, immer wieder, immer wieder da, internet, internet explorer, löschen, microsoft, mssql, programme, quara, rundll, schutz, software, studio, system, trojaner, unknown file in winsock lsp, windows, windows xp |
Linear-Darstellung
