| |
| |||||||
Log-Analyse und Auswertung: Trojaner sicher entfernt? - HJT-LogfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
02.04.2008, 15:47
| #1 |
| |  Trojaner sicher entfernt? - HJT-Logfile Ok, dann hier mein Logfile von HiJackThis. Wie im anderen Thread beschrieben hatte ich den Trojaner bifrose.aej und habe deshalb meine Systempartition formatiert und windows neu installiert. Da ich allerdings noch andere Partitionen habe, bin ich nicht ganz sicher, ob er sich von dort aus wieder in der Syspartition eingenistet haben könnte. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:23:35, on 02.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\HiJackThis\HiJackThis.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe -- End of file - 3339 bytes Vielen Dank schonmal! Geändert von lok1 (02.04.2008 um 15:49 Uhr) Grund: Habe etwas vergessen |
|
02.04.2008, 19:10
| #2 |
 | Trojaner sicher entfernt? - HJT-Logfile Log ist sauber.
__________________ |
|
03.04.2008, 16:40
| #3 |
| | Trojaner sicher entfernt? - HJT-Logfile vielen vielen dank, dass du dir zeit für mich genommen hast, vista_user
__________________ vlt könnte mir noch jemand meine andere Frage beantworten? bin mir nämlich nicht ganz sicher, ob irgendwas vom trojaner noch auf den anderen partitionen sein könnte und bei HijackThis werden ja nur Dinge auf der Syspartition gecheckt, so wie ich das seh, oder? Wenn ein ganz normaler Trojaner auf dem pc ist , also kein backdoor, dann sollte ihn ein Virenscanner wie avira Antivir aber entdecken oder? mfg und schonmal danke |
|
04.04.2008, 09:14
| #4 | ||
 | Trojaner sicher entfernt? - HJT-Logfile Hey Lok1, Zitat:
Um ein höheres Maß an Sicherheit zu bekommen, dass keine Schädlinge aktiv oder vorhanden sind, schlage ich folgendes vor: * MWAV (eScan) - Free Antivirus 1. Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan (Bei Updateproblemen -> Updateprobleme beheben (Sollte der Hinweis erscheinen, dass du nur mit der Vollversion die Funde löschen kannst, breche den Scan NICHT ab) 2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. - rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) - führe die find.bat aus - das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag 3. Entferne bitte nicht selber von escan alarmierte Funde. Es sind erfahrungsgemäß viele Fehlalarme dabei * Silentrunners Logfile 1. Lade dir das Tool -> Silentrunners 2. Entpacke das Script in einen Ordner deiner Wahl 3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen 4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) 5. Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (die Datei wird im selben Ordner wie das Tool gespeichert) Falls das Script eine Fehlermeldung ausgibt: - starte regedit.exe über Start => Ausführen (oder Windowstaste+R) - navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings - stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat Zitat:
mfg Cleriker |
|
| Themen zu Trojaner sicher entfernt? - HJT-Logfile |
| antivir, application, avira, button, code, entfernt?, explorer, firefox, frage, hijack, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, messenger, micro, mozilla, mozilla firefox, neu, nvidia, programme, software, sp2, system32, trend, trojaner, windows, windows xp |
Linear-Darstellung
