| |
| |||||||
Log-Analyse und Auswertung: Probleme mit Trojanern (Virtumonde?)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.01.2008, 13:19
| #1 |
| |  Probleme mit Trojanern (Virtumonde?) Hallo zusammen. Ich fürchte, mein Problem ist nicht neu, aber die Ratschläge meiner Vorgänger haben mir nicht weiter geholfen und nun hoffe ich, dass man mir vielleicht so helfen kann. Mein Problem bezieht sich vermutlich auf Trojaner, die anfangs nur die Arbeit des PCs sehr viel langsamer werden ließ, nun aber zu Abstürzen des Systemes führt. Ich habe gerade den gleichen Beitrag schon einmal ausführlicher verfasst, allerdings ist die Zeit leider begrenzt, bis der PC wieder abstürzt und mein Hilferuf mit ihm. Es begann, wie erwähnt, mit langsameren Arbeiten und Werbefenstern, bis nun vor etwa 4 Tagen der PC das erste Mal abstürzte. Zu dem Zeitpunkt dachte ich als Laie noch, ein Scan mit Ad Aware würde das Problem beseitigen, ich fragte Freunde, die mir ähnliches geraten haben, doch die Verbesserungen waren zeitlich begrenzt und bei einem Neustart tauchten auch die verdächtigen Dateien wieder im Virenscan auf. Löschen wurde letztendlich unmöglich, da während des Löschvorgangs durch Ad Aware der PC abstürzte. Ich installierte Spybot und Zone Alarm, Spybot fand einige Trojaner, u.a. fiel das erste Mal der Name "Virtumonde" von dem ich inzwischen weiß, dass er sich nicht so einfach entfernen lässt. Zone Alarm meldete mir auch ständige versuchte Zugriffe auf das Internet von einer Datei, die sich nicht manuell löschen ließ. Auch VundoFix, welches einem meiner Vorgänger empfohlen wurde, scheiterte, da der PC abstürzte, als VundFix versuchte besagte verdächtige Datei, die Zone Alarm bemerkt hatte, zu löschen. Somit war es mir leider nicht möglich weitere Lösungsschritte, die ich hier oder durch google gefunden hatte, durch zu führen, weil der erste Schritt immer aus VundoFix bestand und dieses ja abstürzte, auch bei einem zweiten Versuch. Nun bin ich mit meinem Latein am Ende, aber ich benötige den PC schnellstmöglich wieder für die Arbeit und weiß einfach nicht mehr weiter. Zu seinen Daten, er ist 2 1/2 Jahre alt, Windows XP Professional und ich hatte noch nie Probleme mit ihm. Da ich gelesen hatte, dass ein HijackThis Logfile helfen kann, das Problem zu erkennen, poste ich eins, in der Hoffnung, das jemand so lieb ist und mir weiter helfen kann. Logfile of HijackThis v1.99.1 Scan saved at 12:29:41, on 16.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\twatdog.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\system32\ezSP_Px.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\BtUsrBdg.exe C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe C:\WINDOWS\system32\BTSetBootKey.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ621_44_00\ICQ.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Nokia\Update_Manager\bin\UMScheduler.exe C:\WINDOWS\system32\wuauclt.exe C:\Nokia\Update_Manager\bin\UMClient.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Downloads\hijackthis\HJT.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assistant/accoona_search_assistant.jsp?&utm_id=400005&utm_content=leftnav&utm_source=wdz&utm_medium=bund&utm_campaign=wdz0605 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3C7C4F38-A52B-453C-A767-D978B4526876} - C:\WINDOWS\system32\awtsr.dll (file missing) O2 - BHO: {04117170-7552-0469-14f4-9560ec181535} - {535181ce-0659-4f41-9640-255707171140} - C:\WINDOWS\system32\sncxonrv.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {87065C91-8935-4B1F-98CF-4C3135A35502} - (no file) O2 - BHO: (no name) - {c6eeb11f-a0b6-4deb-8c98-82ca52a80d5a} - (no file) O2 - BHO: (no name) - {EF801D50-380C-4FB7-92A8-E6AAF1DE4975} - C:\WINDOWS\system32\awvtt.dll (file missing) O4 - HKLM\..\Run: [RegServer] regserve.exe O4 - HKLM\..\Run: [XGIWatchDog] twatdog.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [7cd4499b] rundll32.exe "C:\WINDOWS\system32\lcbbkmyp.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ621_44_00\ICQ.exe" silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: UMScheduler 2.0.lnk = C:\Nokia\Update_Manager\bin\UMScheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ621_44_00\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ621_44_00\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: gebbaaa - gebbaaa.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\hacsoxhh.exe (file missing) O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ich hoffe, ihr könnt damit mehr anfangen als ich  und schon einmal Danke für eure Mühe im Voraus. |
| Themen zu Probleme mit Trojanern (Virtumonde?) |
| 1.exe, abstürzen, ad aware, adobe, antivir, askbar, bho, cyberlink, drivers, einstellungen, entfernen, erste mal, excel, explorer, google, gservice, helfen, hijack, hijackthis, hijackthis logfile, internet, internet explorer, logfile, nicht möglich, object, pc abstürz, problem, rundll, scan, software, solution, t-online, trojaner, urlsearchhook, userinit.exe, virtumonde, werbefenster, windows, windows xp, zone alarm |
Baum-Darstellung