|
Log-Analyse und Auswertung: Trojaner Zlob - HiJAckThis Log-File, bitte um analyse!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.06.2008, 20:02 | #1 |
| Trojaner Zlob - HiJAckThis Log-File, bitte um analyse! auf meinem XP System hat sich wohl ein Trojaner breit gemacht, welcher von Avast als "Zlob" identifiziert wurde. Avast ist so konfiguriert, dass infizierte Files sofort gelöscht werden. Das scheint allerdings nichts geholfen zu haben. Auch ein Scan mit Reboot, wie man es in Avast machen kann, hat keine Abhilfe gebracht. Der Trojaner bringt auf meinem Desktop eine Meldung, dass mein System von Spyware befallen ist und dass ich doch bitte noch mehr Malware von irgendwelchen dubiosen Adressen runterladen und installieren soll - was ich natürlich nicht gemacht habe. Auch äußert sich der Trojaner darin, dass ich nicht auf den Taskmanager zugreifen kann und das System sich sonst auch "merkwürdig" verhält (z.B. schließt sich ein geöffneter Windows-Explorer "von selbst"). Nachfolgend das HijackThis Logfile welches ich aufgrund der hier zu findenden Anleitungen erstellt habe: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:59:53, on 24.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\cjpcsc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\Programme\USBDLM\USBDLM.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe C:\WINDOWS\system32\Pen_Tablet.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe C:\Programme\Pantone\hueyPRO\hueyPROTray.exe C:\Programme\AutoHotkey\AutoHotkey.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32Info.exe C:\WINDOWS\explorer.exe E:\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {ACED1C9F-2718-4512-9F69-F4E28C1F484F} - C:\WINDOWS\system32\opnlLCTj.dll O2 - BHO: (no name) - {BE3569CC-A4A1-435C-91C1-4770041270BB} - C:\WINDOWS\system32\byXPIxxW.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2007_2008_PLUS\TrayServer.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPWH myPrintMileage Agent] C:\Programme\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: ac'tivAid.lnk = C:\Programme\ac'tivAid\ac'tivAid.ahk O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE O4 - Global Startup: hueyPROTray.lnk = C:\Programme\Pantone\hueyPRO\hueyPROTray.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://w*w.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://up*date.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177356951015 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://w*w.creative.com/softwareupdate/su/ocx/15035/CTPID.cab O20 - Winlogon Notify: opnlLCTj - C:\WINDOWS\SYSTEM32\opnlLCTj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MsSecurity Updated (MsSecurity1.209.4) - Unknown owner - C:\WINDOWS\444.471.exe (file missing) O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe O23 - Service: USBDLM - Uwe Sieber - w*w.uwe-sieber.de - C:\Programme\USBDLM\USBDLM.exe -- End of file - 7532 bytes Oder hilft letzten Endes nur "tabula rasa" also Neuinstallation? Gruss Stefan |
25.06.2008, 19:35 | #2 |
| Trojaner Zlob - HiJAckThis Log-File, bitte um analyse! Also wenn es wirklich Zlob sein solte, dann hilft für eine sichere Entfernung nur noch format c:, also Neuinstallation. Allein schon anhand der merkwürdigen Geschenisse auf deinem Rechner kann man schon ziemlich sicher sagen (auch ohne den log anzuschauen) das es sich um einen Trojaner handelt und auch höchstwahrscheinlich um Zlob (nach den Meldungen auf dem desktop her). Es gibt zwar Tools die Zlob entfernen sollten (ob sie das machen ist dahingestellt, da es von Zlob sehr viele Varianten gibt) ist die Neuinstallation die sicherste Lösung. Auch wennn es sich nicht um Zlob handelt.
__________________Hast du möglicherweise irgendwelche Videocodecs heruntergeladen oder warst auf Unseriösen Seiten? |
Themen zu Trojaner Zlob - HiJAckThis Log-File, bitte um analyse! |
1.exe, adobe, antivirus, avast, avast!, bho, bonjour, computer, ctfmon.exe, desktop, firewall, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, infizierte, internet, internet explorer, log-file, logfile, magix, malware, scan, software, spyware, system, taskmanager, trojaner, von selbst, windows xp, windows-explorer, zlob |