| |
| |||||||
Log-Analyse und Auswertung: Heur.Invader, Trojan.Win32.Inject.mf oder was ganz anderes?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.07.2008, 18:14
| #1 |
| |  Heur.Invader, Trojan.Win32.Inject.mf oder was ganz anderes? Heyho. Habe mir mit Sicherheit etwas eingefangen. Wahrscheinlich einen Trojaner. Die Folgen dadurch sind folgende: Nach einem Neustart das Trojaner Übliche Popup "Windows wird heruntergefahren..." mit einem Counter. Das kann man ja ganz leicht mit shutdown -a umgehen. Viel Schlimmer ist es das ich im Browser den Befehl "Einfügen" nicht mehr benutzen kann. Egal ob über Bearbeiten -> Einfügen, rechte Maustaste -> Einfügen, oder über das Kürzel STRG + V. Des weiteren sind alle meine Windows Dienste komplett verschwunden, bedeutet über services.msc bekomme ich nur ein leeres verbugtes Fenster. Außerdem kann ich keine Dateien oder Icons mehr löschen die auf meinem Desktop liegen. Habe mit Kaspersky Internet Security 2009 gescannt und dieser hat die beiden Trojaner Heur.Invader und Trojan.Win32.Inject.mf gefunden und sie auch erfolgreich gelöscht. Beide Trojaner verweisen auf die Dateien catchme.cfexe (der name ist schon sehr verdächtig! *g*) und A0032564.exe sowie A0031630.exe. Diese Dateien befinden sich im Verzeichnis "System Volume Information\_restore{...}//PE_PATCH.UPX". Wie gesagt hat Kaspersky diese Dateien gelöscht, aber die Fehler bleiben erhalten, außerdem habe ich das gefühl das sich diese beiden Trojaner reproduzieren bzw. reaktivieren. Es könnte natürlich auch noch ein ganz anderer Trojaner auf meinem Rechner sein oder vielleicht auch ein Downloader der Viren nachläd. Bitte checkt doch mal mein Log und gebt mir bescheid! Liebe Grüße gif-nwelt Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:35:25, on 14.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Intel\Wireless\Bin\OProtSvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\ctfmon.exe P:\PSNLite\PsnLite.exe P:\PSNLite\PSNGive.exe C:\WINDOWS\explorer.exe P:\Kaspersky Internet Security 2009\avp.exe P:\Kaspersky Internet Security 2009\avp.exe P:\Kaspersky Internet Security 2009\avp.exe P:\Mozilla Firefox 3.0\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**P://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**P://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**P://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**P://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**P://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - P:\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVP] "P:\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKCU\..\Run: [DAEMON Tools] "P:\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [igndlm.exe] P:\Fileplanet Download Manager\DLM.exe /windowsstart /startifwork O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-1482476501-343818398-682003330-1004\..\Run: [DAEMON Tools] "P:\DAEMON Tools\daemon.exe" -lang 1033 (User '?') O4 - HKUS\S-1-5-21-1482476501-343818398-682003330-1004\..\Run: [igndlm.exe] P:\Fileplanet Download Manager\DLM.exe /windowsstart /startifwork (User '?') O4 - HKUS\S-1-5-21-1482476501-343818398-682003330-1004\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide (User '?') O4 - HKUS\S-1-5-21-1482476501-343818398-682003330-1004\..\Run: [] (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Post-it® Software Notes Lite.lnk = P:\PSNLite\PsnLite.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - P:\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - P:\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O15 - Trusted Zone: h**P://asia.msi.com.tw O15 - Trusted Zone: h**P://global.msi.com.tw O15 - Trusted Zone: h**P://w*w.msi.com.tw O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**P://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209394757250 O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - h**P://liveupdate.msi.com.tw/autobios/LOnline/install.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**P://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - h**P://driveragent.com/files/driveragent.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{603BC346-BE52-47C0-A51F-A2F31CBBFBD6}: NameServer = 192.168.95.1 O20 - AppInit_DLLs: P:\KASPER~1\mzvkbd.dll,P:\KASPER~1\adialhk.dll,P:\KASPER~1\kloehk.dll O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - P:\Kaspersky Internet Security 2009\avp.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6824 bytes |
| Themen zu Heur.Invader, Trojan.Win32.Inject.mf oder was ganz anderes? |
| bho, browser, dateien gelöscht, desktop, down, downloader, fehler, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, jusched.exe, kaspersky, keine dateien, maus, mein log, mozilla, mozilla firefox, object, plug-in, popup, rundll, schutz, security, shortcut, sicherheit, software, system, tuneup.defrag, unknown file in winsock lsp, verweise, viren, windows, windows xp |
Baum-Darstellung