|
Log-Analyse und Auswertung: Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.05.2008, 19:07 | #1 |
| Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Huhu! Ich habe mit dem Spydoctor (der kostenlosen Version) nen Scan gemacht und der findet unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{66E79473-4E74-4045-A5B4-D49B0FB7DD5B} nen lyndra-trojaner (nicht lydra) - jedoch hab ich noch kaspersky, antivir, spybot, superantispyware usw. durchlaufen lassen, aber die finden nix.. hilfe! Habe XP und bitte erstmal um Hilfe bzw. Auswertung meines Logfiles: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:04:50, on 06.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\etMon.exe C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*ttp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*ttp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*ttp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*ttp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*ttp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*ttp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*ttp://www.google.de/ O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [etMonitor] C:\WINDOWS\etMon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{66E79473-4E74-4045-A5B4-D49B0FB7DD5B}: NameServer = 213.191.74.19 62.109.123.197 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5927 bytes |
06.05.2008, 20:40 | #2 |
| Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Achja, hab ich vergessen:
__________________Antivir hat diese eine Registrierungsdatei nicht scannen können, die ich ganz oben angegeben habe.. Sie gilt als "versteckt".. Jetzt hänge ich noch den kaspersky-log von heut Nachmittag ran und hoffe auf Hilfe^^ ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Dienstag, 6. Mai 2008 18:46:07 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 6/05/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 742492 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Ordner: C:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 33768 Viren gefunden: 0 Infizierte Objekte gefunden: 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 00:30:40 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs\SUPERANTISPYWARE-5-6-2008( 12-56-41 ).LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temp\~DF5882.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050620080507\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\ntuser.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\PC\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{CE88EAEB-2837-4D0A-85F6-2C1C99E764D8}\RP4\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\PC-C7A16CAF1956.ldb Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_1b4.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT0629a.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT0629d.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Geändert von Sanne89 (06.05.2008 um 21:32 Uhr) |
06.05.2008, 22:01 | #3 |
> MalwareDB | Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Du hast
__________________
Was suchst Du?
__________________ |
06.05.2008, 22:39 | #4 |
| Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Entweder ein virtuelles Interface welches von ZoneAlarm oder ähnlichem Unfug angelegt wurde oder etwas, dass man auch mit RegDelNul finden kann. %ComSpec% |
07.05.2008, 07:47 | #5 |
| Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Ich dachte ja auch, dass ich super geschützt bin. Aber der Spyware Doctor findet diesen Trojan-Spy.Lyndra. Da ich aber die kostenlose Version hab, löscht er mir den nicht.. Soll ich mal noch nen anderen Scanner durchlaufen lassen, der mir das auch löscht? Kennt ihr da einen? |
07.05.2008, 14:02 | #6 |
| Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Ich möchte ja nich ungeduldig wirken... ;-) Kanns auch sein, dass mir der Spyware Doctor den Trojaner nur vorgaukelt, damit ichs kaufe? Findet sich in meinem Logfile nix ungewöhliches? Zzt. geh ich halt nich mit irgendwelchen Passwörtern rein, nich, dass dieser Pseudo-Trojaner was macht. |
07.05.2008, 15:06 | #7 |
> MalwareDB | Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Ersteinmal schützen viele Programme nich automatisch viel toll! Dann sind Spyhunter und Spywaredoc nicht unumstritten, was deren Qualitäten angeht. Ich persönlich rate von beiden ab und würde Dir ans Herz legen das System zu entschlacken.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
07.05.2008, 15:09 | #8 | |
Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw.Zitat:
__________________ anom "Sie stehen vor einer großartigen Reise des Lebens. Glückwunsch und viel Spaß dabei!“ |
07.05.2008, 15:37 | #9 |
| Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Spywarehunter hab ich jetz schon runtergeschmissen.. Wie kann ich sonst noch mein System besser "entschlacken"? Danke für den Tipp, ich lad mir den Doctor nochmal per googlepack runter, werd versuchen den Pseudo-Trojaner so zu löschen und werfe dann auch den Doc weg.. Danke erstmal ;-) |
07.05.2008, 16:01 | #10 |
> MalwareDB | Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Deinstallier das Programm doch jetzt und vergiss die Meldung, versteh den Sinn Deiner Aktion grad nicht.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
07.05.2008, 16:15 | #11 |
| Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. Na ganz einfach, ich hab ne Trojaner-Meldung bekommen, die sonst nich von anderen Programmen gefunden wird und wollte Infos, ob ich dem Spyware Doctor trauen kann oder nicht. Ich wollte die Meldung nich vergessen/ignorieren. Das war meine Aktion. Habe den alten Spyware-Doctor runtergeworfen, den per googlepack neu draufgesetzt und jetzt konnte ich das Teil löschen. Danke nochmal. |
Themen zu Spyware Doctor findet lyndra-trojaner in meinem HKEY_LOCAL_MACHINE usw. |
ad-aware, antivir, antivirus, avira, bho, dll, enigma, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, mozilla, mozilla firefox, object, rundll, scan, software, spyware, superantispyware, system, windows, windows xp |