| |
| |||||||
Log-Analyse und Auswertung: Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
16.06.2008, 22:47
| #1 |
| |  Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) Hallo TB-Team, Ich habe folgendes Problem: Alle ausführungen wie cmd, taskmgr, etc. wurden angeblich vom Administrator gesperrt. Durch TuneUp Utilities 2007 konnte ich die Registrationsdatei editieren und die Werte von "disablecmd" und den vom taskmgr auf 0 setzen, so dass ich diese benutzen konnte. Doch nach einem Neustart waren diese wieder auf 1 gesetzt. Aufgrund des Verdachtes auf einen Trojaner habe ich sofort mit Norton Internet Security 2008 einen virenscan durchführen wollen (mache ich jeden sonntag). Doch anscheinend hat dieser Trojaner auch Norton angegriffen... Nun bekomme ich die Meldung, dass meine Lizens nicht original (gültig) sei. Alternativ habe ich versucht, mit dem Onlinescanner von Kaspersky meinen PC zu durchsuchen, vergebens. Nun wollte ich fragen, ob ihr in meinen Hijack-log anschauen könntet. Info: Ich bin im Besitz von Microsoft Windows XP Home Edition. Hoffentlich findet ihr was: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:29:39, on 16.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Ahmet\Lokale Einstellungen\Temp\jkos-Ahmet\binaries\ScanningProcess.exe C:\Programme\FLV Player\flvplayer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http:/// F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKLM\..\Policies\Explorer\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe -- End of file - 6657 bytes 4 fehler gefunden (Bitte um Ratschlag, ob ich diese Löschen soll bzw weiteres Vorgehen): Code:
ATTFilter
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Monday, June 16, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Monday, June 16, 2008 20:33:01
Records in database: 874421
--------------------------------------------------------------------------------
Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes
Scan area - Folder:
C:\
Scan statistics:
Files scanned: 73683
Threat name: 2
Infected objects: 4
Suspicious objects: 0
Duration of the scan: 01:13:31
File name / Threat name / Threats count
C:\WINDOWS\system32\2M7bisPblN.ini Infected: Backdoor.Win32.Ciadoor.13 1
C:\WINDOWS\system32\Bifrost\Riski.exe Infected: Trojan.Win32.Midgare.drn 1
C:\WINDOWS\system32\scvhost.exe Infected: Backdoor.Win32.Ciadoor.13 1
C:\WINDOWS\system32\wsock32.sys Infected: Backdoor.Win32.Ciadoor.13 1
The selected area was scanned.
Geändert von Takeo (16.06.2008 um 23:01 Uhr) |
|
16.06.2008, 22:56
| #2 |
  | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) Hi
__________________du hast einen Backdoor drauf, die scvhost.exe. (NICHT svchost.exe) Ich würde raten, dringend: http://www.trojaner-board.de/12154-a...sicherung.html mfg Ps. Sämtliche Kennwörter/Passwörter von einem cleanen Zweitrechner ändern! Geändert von Silent sharK (16.06.2008 um 23:34 Uhr) |
|
17.06.2008, 14:11
| #3 |
| | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) Das is ja ganz toll...
__________________Ich muss also Windows neu aktivieren und mir einen neuen Norton Internet Security 2008 Key kaufen oder wie darf ich das verstehen? Das Notebook ist grade mal einen Monat alt und der Preis der Produkte ist auch nicht immer billig  Kann man nicht die aktivierung beibehalten? Windows Key geht ja noch... den hab ich bisher nur einmal benutzt, aber der Norton key ist so um die 40€ und das kann ich mir momentan nicht leisten  Eine andere möglichkeit gibt es wirklich nicht? |
|
17.06.2008, 14:12
| #4 | |
| Gast | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert)Zitat:
|
|
17.06.2008, 14:55
| #5 |
| | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) und wie oft gedenkst du, kann man den key verwenden? O_o |
|
17.06.2008, 15:02
| #6 | |
| | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert)Zitat:
 Sollte Dich Norton nicht schützen? 
__________________ --> Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) |
|
17.06.2008, 15:05
| #7 | |
| > MalwareDB  | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) @Heike Wie kommt den der Bifrost dahin Zitat:
 Solange die Maschinen ID gleich bleibt kannst Du XP und Norton oft genug aktivieren. Ansonsten gibt es auch noch kostenfreie Lösungen.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
17.06.2008, 15:14
| #8 | |
| | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert)Zitat:
 durch selbst installieren oder klicken, wie immer. 
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
|
17.06.2008, 15:23
| #9 | |
| | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert)Zitat:
und welche? |
|
17.06.2008, 15:30
| #10 |
| > MalwareDB | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) kostenlose antivirenprogramme - Google Search Kann mein google mehr als Deins? Heike, war ja nicht so geiemt 
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
17.06.2008, 15:41
| #11 | |
| | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert)Zitat:
dass es kostenlose antivirenprogramme gibt, dass weiß ich ja... aber ist dieser backdoor denn einfach so zu löschen? oder kann ich die partition (in meinem fall die platte) gleich neu formatieren? |
|
17.06.2008, 15:44
| #12 | |
| > MalwareDB | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert)Zitat:
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
17.06.2008, 15:55
| #13 |
| | Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) dann werde ich nicht drum rumkommen können mal sehn, wann ich das dann machen kann >.< ich bedanke mich herzlich bei euch und hoffe mal, dass es möglichst keinen mehr gibt, der wie ich endet  für mich ist das topic :closed: |
|
| Themen zu Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) |
| adobe, bho, bifrost, browser, einstellungen, fehler, frage, generic host, generic host process, gesperrt, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, internet security, intrusion prevention, kaspersky, logfile, problem, rundll, scan, security, shortcut, software, solution, symantec, system, trojaner, trojaner?, windows, windows xp |
Linear-Darstellung
