Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
bitte logfile-auswertung - trojaner? + windows-problem

bitte logfile-auswertung - trojaner? + windows-problem


Log-Analyse und Auswertung: bitte logfile-auswertung - trojaner? + windows-problem

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.05.2008, 09:24   #1
Fantatrinker
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


hallo.

ich habe beim internet-explorer ein "hacked by" in der titelleiste stehen.
ist das ein trojaner? ich krieg das nicht weg und antivir findet auch nichts.

gleichzeitig (soweit ich das beurteilen kann) ist ein weiteres problem aufgetaucht. und zwar kann ich im windows-explorer nicht mehr auf meine festplatten per doppelklick zugreifen. da passiert gar nichts. wenn ich über rechtsklick und öffnen gehe, funktioniert alles ganz normal. oder hat das damit nichts zu tun? (bei den einstellungen habe ich "mit doppelklick öffnen" eingegeben)

anbei mein aktuelles logfile.
ich hoffe, jemand kann mir helfen.

grüße
fantatrinker

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:11:02, on 17.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
G:\WINDOWS\SOUNDMAN.EXE
G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
G:\Programme\Java\jre1.6.0_05\bin\jusched.exe
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\WINDOWS\System32\WScript.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\phonostar\ps_timer.exe
G:\Programme\Olympus\DeviceDetector\DevDtct2.exe
G:\Programme\Gemeinsame Dateien\AAV\aavus.exe
G:\Programme\AntiVir PersonalEdition Premium\sched.exe
G:\Programme\AntiVir PersonalEdition Premium\avguard.exe
G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
G:\WINDOWS\System32\nvsvc32.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
G:\WINDOWS\system32\wscript.exe
G:\WINDOWS\system32\wscript.exe
G:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\WINDOWS\system32\wscript.exe
G:\Programme\Mozilla Thunderbird\thunderbird.exe
G:\Dokumente und Einstellungen\***\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by HUMUNKULUS
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OpwareSE2] "G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HUMUNKULUS] G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] G:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Device Detector 3.lnk = G:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163271839859
O17 - HKLM\System\CCS\Services\Tcpip\..\{22B95604-91EE-4A7F-9DC0-BBDD9FF0D985}: NameServer = 217.237.151.142 217.237.150.188
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - G:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - G:\WINDOWS\System32\browseui.dll
O23 - Service: AAV UpdateService - Unknown owner - G:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Adobe LM Service - Adobe Systems - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe
O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - G:\WINDOWS\system32\pr2ajbeb.exe

--
End of file - 6686 bytes

Alt 17.05.2008, 11:20   #2
undoreal
/// AVZ-Toolkit Guru
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


Hallo Fantatrinker und

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
G:\WINDOWS\system32\pr2ajbeb.exe
G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________

__________________
Alt 17.05.2008, 23:14   #3
Fantatrinker
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


hallo undoreal.

zunächst einmal danke für deine rasche antwort. bei mir hat's jetzt etwas länger gedauert. aber ich habe, wie von dir vorgeschlagen, die beiden dateien hochgeladen und die gesamten auswertungen kopiert.
sie folgen gleich.

wie geht es weiter?
schon mal im voraus danke an alle, die's lesen und mir weiterhelfen können.
grüße
fantatrinker

Datei pr2ajbeb.exe empfangen 2008.02.18 15:15:47 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.18.0 2008.02.18 -
AntiVir 7.6.0.67 2008.02.18 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.18 -
AVG 7.5.0.516 2008.02.18 -
BitDefender 7.2 2008.02.18 -
CAT-QuickHeal 9.50 2008.02.16 -
ClamAV None 2008.02.18 -
DrWeb 4.44.0.09170 2008.02.18 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5546 2008.02.18 -
Ewido 4.0 2008.02.18 -
F-Prot 4.4.2.54 2008.02.17 -
F-Secure 6.70.13260.0 2008.02.18 -
FileAdvisor 1 2008.02.18 -
Fortinet 3.14.0.0 2008.02.18 -
Ikarus T3.1.1.20 2008.02.18 -
Kaspersky 7.0.0.125 2008.02.18 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.18 -
NOD32v2 2882 2008.02.18 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.17 -
Prevx1 V2 2008.02.18 -
Rising 20.32.02.00 2008.02.18 -
Sophos 4.26.0 2008.02.18 -
Sunbelt 3.0.884.0 2008.02.18 -
Symantec 10 2008.02.18 -
TheHacker 6.2.9.222 2008.02.16 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.18 -
Webwasher-Gateway 6.6.2 2008.02.18 -

weitere Informationen
File size: 411000 bytes
MD5: ed83a07fcc79f8a96845486cc93b342a
SHA1: 22de4e0f183d13258115c630b26cf28e9dd55430
PEiD: -



Datei HUMUNKULUS.vbs empfangen 2008.05.18 00:03:48 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.17 HEUR/Exploit.HTML
Authentium 5.1.0.4 2008.05.17 VBS/Solow.A
Avast 4.8.1195.0 2008.05.17 VBS:Solow-C
AVG 7.5.0.516 2008.05.17 VBS/Small
BitDefender 7.2 2008.05.17 Generic.ScriptWorm.B9387D85
CAT-QuickHeal 9.50 2008.05.17 VBS/IETitle
ClamAV 0.92.1 2008.05.17 -
DrWeb 4.44.0.09170 2008.05.17 VBS.Generic.582
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5798 2008.05.16 VBS/Slogod
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 VBS/Solow.A
F-Secure 6.70.13260.0 2008.05.17 VBS/Solow.I
Fortinet 3.14.0.0 2008.05.17 -
GData 2.0.7306.1023 2008.05.17 Virus.VBS.AutoRun.au
Ikarus T3.1.1.26.0 2008.05.17 Virus.VBS.AutoRun.c
Kaspersky 7.0.0.125 2008.05.17 Virus.VBS.AutoRun.au
McAfee 5297 2008.05.17 VBS/IE-Title
Microsoft 1.3408 2008.05.13 Worm:VBS/Slogod.F
NOD32v2 3106 2008.05.16 VBS/Butsur.E
Norman 5.80.02 2008.05.16 VBS/Solow.I
Panda 9.0.0.4 2008.05.17 VBS/FlashJumper.E.worm
Prevx1 V2 2008.05.18 -
Rising 20.44.52.00 2008.05.17 Worm.VBS.Sowel.a
Sophos 4.29.0 2008.05.17 VBS/Solow-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.17 VBS.Solow
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.17 -
VirusBuster 4.3.26:9 2008.05.17 VBS.Niric.B
Webwasher-Gateway 6.6.2 2008.05.17 Heuristic.Exploit.HTML

weitere Informationen
File size: 4258 bytes
MD5...: e180fa279cba58a772cc9c61fbf190f2
SHA1..: 4d22a3b42a07699374d497ca225b5ec49d88f784
SHA256: 93289bef4c8b48a5d6ca707344df52ff1e58ae4f8bacdf3812b2e92391a82170
SHA512: b6787793a1b82ab74e3c4ad0d0fd286ecb3ee5affddb448505c4e7cb65897c78<br>d998714974033627c5510c93473f334c92ae9f33d813d9b80f227a9665b00201
PEiD..: -
PEInfo: -
packers (Authentium): Unicode
packers (F-Prot): Unicode
__________________
Alt 18.05.2008, 16:59   #4
undoreal
/// AVZ-Toolkit Guru
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


VBS/Solow-Gen Win32 worm - Sophos security analysis

Formatiere bitte jegliche Speichermedien die mit deinem Rechner in Kontakt gekommen sind und isoliere deinen rechner bis die Bereinigung beendet ist.
Jeder der von dir einen USB Stick bekommen hat und ihn an seinen Rechner gesteckt hat ist ebenfalls infiziert.

Wechsel bitte in den abgesicherten Modus.


Abgesicherter Modus (alle Windows Versionen)

So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH

Dort fixe folgenden HJT Eintrag:
Zitat:
O4 - HKLM\..\Run: [HUMUNKULUS] G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste bitte auch ein aktuelles HJT log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 18.05.2008, 17:36   #5
Fantatrinker
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


danke erstmal, undoreal, für deine erneute antwort und die anleitung.

dazu habe ich zwei fragen: beim abgesicherten modus habe ich die möglichkeit, mich als "administrator" oder mit meinem namen anzumelden. welche variante soll ich wählen, oder ist das egal?

ich habe gerade den von dir beschriebenen lösungsweg ausprobiert, aber vom avenger eine fehlermeldung bekommen, irgendwas in der art, ich hätte kein kommando gegeben.
aber ich habe den code so eingegeben wie von dir in dem kasten abgedruckt. muß ich da noch was vorschieben?

eins noch zu den speichersticks: wenn ich deren inhalt auf die festplatte ziehe und sie erst dann formatiere, bevor ich diese reinigungsaktion durchführe - riskiere ich dann auch eine erneute verseuchung?

grüße
fantatrinker


Alt 18.05.2008, 18:10   #6
undoreal
/// AVZ-Toolkit Guru
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


Melde dich als Admin an.


Script für den Avenger:
Zitat:
Files to delete:
G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs
Zitat:
eins noch zu den speichersticks: wenn ich deren inhalt auf die festplatte ziehe und sie erst dann formatiere, bevor ich diese reinigungsaktion durchführe - riskiere ich dann auch eine erneute verseuchung?
davon ist auszugehen.. genau sagen kann ich das aber nicht weil ich nicht weiss ob sich der Virus nur in die autorun.inf einschreibt oder auch die Daten auf dem Stick verseucht.
__________________
--> bitte logfile-auswertung - trojaner? + windows-problem

Alt 18.05.2008, 18:44   #7
Fantatrinker
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


so, ich hab die schritte jetzt mal so ausgeführt. ich bin kein experte, aber es hört sich nicht so gut an, was das avenger-skript mir sagt. ich hänge es an, außerdem das neue hjt log.

grüße
fantatrinker

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sun May 18 18:28:17 2008

18:28:17: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sun May 18 18:28:40 2008

18:28:40: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at G:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "G:\WÍNDOWS\SYSTEM32\HUMUNKULUS.vbs"
Deletion of file "G:\WÍNDOWS\SYSTEM32\HUMUNKULUS.vbs" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.


und das logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:16, on 18.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
G:\WINDOWS\SOUNDMAN.EXE
G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
G:\Programme\Java\jre1.6.0_05\bin\jusched.exe
G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\WINDOWS\System32\WScript.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\phonostar\ps_timer.exe
G:\Programme\Olympus\DeviceDetector\DevDtct2.exe
G:\Programme\Gemeinsame Dateien\AAV\aavus.exe
G:\Programme\AntiVir PersonalEdition Premium\sched.exe
G:\Programme\AntiVir PersonalEdition Premium\avguard.exe
G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
G:\WINDOWS\System32\nvsvc32.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by HUMUNKULUS
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OpwareSE2] "G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HUMUNKULUS] G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] G:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Device Detector 3.lnk = G:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1163271839859
O17 - HKLM\System\CCS\Services\Tcpip\..\{22B95604-91EE-4A7F-9DC0-BBDD9FF0D985}: NameServer = 217.237.151.142 217.237.150.188
O23 - Service: AAV UpdateService - Unknown owner - G:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Adobe LM Service - Adobe Systems - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe
O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - G:\WINDOWS\system32\pr2ajbeb.exe

--
End of file - 6313 bytes

Alt 18.05.2008, 21:45   #8
undoreal
/// AVZ-Toolkit Guru
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


Grrr. Da will uns jemand verarschen.

Hast du bevor du mit dem Avenger probiert hast die Datei zu löschen den HJ Eintrag gefixt??

Wechsel in den abgesicherten Modus

Fixe den HJT Eintrag.

Dann versuche die Datei mit Killbox zu löschen; aktiviere die Option "delete on reboot".
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 18.05.2008, 21:59   #9
Lucky
/// Helfer-Team
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


Code:
ATTFilter
Error:  could not open file "G:\WÍNDOWS\SYSTEM32\HUMUNKULUS.vbs"
Deletion of file "G:\WÍNDOWS\SYSTEM32\HUMUNKULUS.vbs" failed!
Achte nach dem Einfügen bitte mal drauf das da ein I steht und kein Í, dann sollte es mit dem löschen funktionieren.
__________________
Kein Support per PM!

Alt 18.05.2008, 22:07   #10
undoreal
/// AVZ-Toolkit Guru
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


lol danke Lucky.

Wie kommt das denn dort hin?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 18.05.2008, 22:17   #11
BataAlexander
> MalwareDB
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


Zitat:
Zitat von KarlKarl
Bueno, hier die Schritte, das loszuwerden:

1. Vorerst keine USB-Sticks und -Platten an den Rechner anschließen, eventuell angeschlossene trennen.

2. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

3. Taskmanager: alle laufenden Prozesse wscript.exe bzw. cscript.exe beenden.

4. Die schon erkannte VBS-Datei löschen.

5. Deine Festplatten nach Dateien mit dme Namen autorun.inf absuchen. Dabei drauf achten, dass alles durchsucht wird, "weitere Optionen" entsprechend setzen. Die ebenfalls löschen.

6. In HijackThis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken, dabei alle anderen Programme (besonders Webbrowser) geschlossen haben:
Code:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by wasauchimmer
O4 - HKLM\..\Run: [NOTEBOOK] C:\WINDOWS\SYSTEM32\wasauchimmer.vbs
7. Damit sollte der Rechner selber erledigt sein, nun kommen die USB-Laufwerke dran. Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun. Zusätzlich kannst Du auch vorher in system32 die wscript.exe umbenennen, das aber am Ende wieder rückgängig machen, sie ist ein wichtiger Teil von Windows.

8. Auf allen USB-Geräten nun nach Kopien dieser vbs-Datei und autorun.inf-Dateien suchen und die ebenfalls löschen. dabei ebenfalls die Suchoptionen beachten.

Das sollte es gewesen sein. Ohne einen einzigen Neustart, ohne formatieren und neuinstallieren, wann kann man das schon haben

Die Boardsuche ist im übrigen eingebaut.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 19.05.2008, 17:48   #12
Fantatrinker
 
bitte logfile-auswertung - trojaner? + windows-problem - Standard

bitte logfile-auswertung - trojaner? + windows-problem


hallo ihr helden - undoreal, lucky und bataalexander.

ich hab das problem nun gelöst. die ganzen "hacked by" entfernt, sie sind auch nicht wieder aufgetaucht nach der aktion, damit hat sich auch die geschichte mit dem doppelklick erledigt.

mein herzlicher dank an euch.
grüße
fantatrinker

Antwort

Themen zu bitte logfile-auswertung - trojaner? + windows-problem
adobe, antivir, application, avg, avira, bho, browseui preloader, desktop, dll, drivers, einstellungen, excel, festplatte, firefox, hacked, hijack, hijackthis, hkus\s-1-5-18, internet explorer, mozilla, mozilla firefox, mozilla thunderbird, nvidia, olympus, pdf, problem, rundll, software, system, trojaner, trojaner?, windows xp, windows-explorer


« von Malware infiziert? | XP & Firefox Problem »


Ähnliche Themen: bitte logfile-auswertung - trojaner? + windows-problem


  1. Bitte um OLT logfile auswertung! betreff: (bundeskriminalamt) trojaner
    Log-Analyse und Auswertung - 20.04.2011 (2)
  2. Bitte um logfile Auswertung
    Log-Analyse und Auswertung - 21.11.2010 (4)
  3. Bitte um HiJack-Logfile Auswertung - AntiVir findet Trojaner der immer wieder kommt
    Log-Analyse und Auswertung - 23.07.2010 (1)
  4. AntiVir findet 2 Trojaner - Bitte um Hijack-Logfile-Auswertung
    Log-Analyse und Auswertung - 17.02.2009 (1)
  5. Problem mit google.com und Auswertung der Logfile
    Log-Analyse und Auswertung - 03.12.2008 (6)
  6. Bitte um Auswertung von Logfile und Rat!
    Log-Analyse und Auswertung - 07.07.2008 (4)
  7. LogFile auswertung nach einem IE Problem
    Log-Analyse und Auswertung - 21.06.2008 (1)
  8. LogFile Auswertung hab Trojaner problem !!!!!! bitte hilft mir
    Mülltonne - 20.05.2008 (0)
  9. Bitte um Logfile Auswertung
    Log-Analyse und Auswertung - 18.03.2008 (0)
  10. Logfile bitte überprüfen/Trojaner-Problem
    Log-Analyse und Auswertung - 09.02.2008 (4)
  11. Bitte um Logfile Auswertung - Trojaner
    Log-Analyse und Auswertung - 13.12.2007 (5)
  12. HJT-logfile, bitte um Auswertung
    Log-Analyse und Auswertung - 29.10.2007 (3)
  13. bitte um HJT-Logfile-Auswertung (Problem: Google "infiziert")
    Log-Analyse und Auswertung - 22.10.2007 (6)
  14. Bitte Logfile Auswertung!!!
    Mülltonne - 16.06.2007 (1)
  15. Bitte um Logfile-Auswertung
    Log-Analyse und Auswertung - 31.03.2007 (1)
  16. Auswertung HiJackThis-LogFile und Internet-Problem
    Log-Analyse und Auswertung - 21.11.2004 (10)
  17. Bitte um Logfile-auswertung für searchfind.info Problem
    Log-Analyse und Auswertung - 28.09.2004 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema bitte logfile-auswertung - trojaner? + windows-problem - hallo. ich habe beim internet-explorer ein "hacked by" in der titelleiste stehen. ist das ein trojaner? ich krieg das nicht weg und antivir findet auch nichts. gleichzeitig (soweit ich das - bitte logfile-auswertung - trojaner? + windows-problem...
Archiv
Du betrachtest: bitte logfile-auswertung - trojaner? + windows-problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130