Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Befall durch Trojaner, was tun?

Befall durch Trojaner, was tun?


Log-Analyse und Auswertung: Befall durch Trojaner, was tun?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.08.2008, 07:01   #1
Fabo
 
Befall durch Trojaner, was tun? - Standard

Befall durch Trojaner, was tun?


Hallo Community,

als erstes muss ich gestehen nicht viel ahnung von rechnern zu haben...sorry!

auf dem rechner meiner eltern habe ich als virenscanner avira antivir installiert. der scanner findet dateien die auf den trojaner zlob hinweisen.

nachdem ich google befragt habe bin ich auf dieses board gestoßen und habe die "zlob-entfernungs-anleitung" (http://www.trojaner-board.de/30411-a...-von-zlob.htmlbefolgt.

antivir wurde nach verwendung von smitrem und smitfraudfix immer noch fündig.

aus diesem grund möchte ich euch darum bitten die folgenden logfiles zu beurteilen und mir dann einen tip zu geben was ich tun soll (neuaufsetzen, etc.). vielen vielen dank schonmal.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:52:31, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Me****\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://de.intl.acer.yahoo.com/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ALDI Foto Service] "C:\Dokumente und Einstellungen\Me**\Eigene Dateien\F**\Fotobuch\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 7908 bytes
Code:
ATTFilter
   smitRem © log file
     version 3.2

     by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="7.0000"

Running from
C:\Dokumente und Einstellungen\M***\Desktop\smit\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Code:
ATTFilter
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 587D-D91B

 Verzeichnis von c:\

07.08.2008  23:35                 0 dirdat.txt
07.08.2008  23:30       469.291.008 hiberfil.sys
07.08.2008  23:30       704.643.072 pagefile.sys
07.08.2008  09:55            62.650 mombi.log
06.08.2008  15:28             4.628 smitfiles.txt
06.08.2008  13:25             2.141 rapport.txt
15.08.2007  15:01             2.384 TDSLCheck.txt

              19 Datei(en)  1.174.311.513 Bytes
               0 Verzeichnis(se), 102.462.595.072 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 587D-D91B

 Verzeichnis von C:\WINDOWS\system32

07.08.2008  23:30            73.451 nvapps.xml
06.08.2008  13:23                 0 tmp.txt
06.08.2008  13:23             4.760 tmp.reg
22.07.2008  14:26             6.886 jupdate-1.6.0_07-b06.log
17.07.2008  10:12             1.158 wpa.dbl
            2297 Datei(en)    512.519.991 Bytes
               0 Verzeichnis(se), 102.462.468.096 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 587D-D91B

 Verzeichnis von C:\WINDOWS

07.08.2008  23:31         1.195.058 WindowsUpdate.log
07.08.2008  23:30                 0 0.log
07.08.2008  23:30               159 wiadebug.log
07.08.2008  23:30                50 wiaservc.log
07.08.2008  23:30             2.048 bootstat.dat
07.08.2008  23:29            32.582 SchedLgU.Txt
07.08.2008  23:29           442.778 setupapi.log
06.08.2008  15:53           492.292 ntbtlog.txt
06.08.2008  15:30           367.532 setupact.log
06.08.2008  11:56             2.147 cddabase.ini
26.07.2008  16:14            86.016 grswptdl.exe
26.07.2008  16:14            94.208 edbo.exe
26.07.2008  16:14           204.800 fdkowvbp.dll
26.07.2008  16:14           229.376 wnslvxtf.dll
26.07.2008  16:14           376.832 nfavxwdbsxo.dll
26.07.2008  16:14           180.224 eqvwamkl.dll
23.07.2008  23:08            67.980 ehOCGen.log
23.07.2008  23:08           142.032 MedCtrOC.log
23.07.2008  23:08           562.123 tsoc.log
23.07.2008  23:08             1.374 imsins.log
23.07.2008  23:08           247.603 ntdtcsetup.log
23.07.2008  23:08           411.727 comsetup.log
23.07.2008  23:08         1.350.477 iis6.log
23.07.2008  23:08            61.939 tabletoc.log
23.07.2008  23:08            66.549 ocmsn.log
23.07.2008  23:08            21.777 KB950759-IE7.log
23.07.2008  23:08           227.017 netfxocm.log
23.07.2008  23:08           138.393 plusoc.log
23.07.2008  23:08           583.352 ocgen.log
23.07.2008  23:08            61.126 msgsocm.log
23.07.2008  23:08         1.233.588 FaxSetup.log
23.07.2008  23:08           379.012 msmqinst.log
23.07.2008  23:08           105.448 updspapi.log
23.07.2008  23:07             1.374 imsins.BAK
23.07.2008  23:07            15.306 KB938127-IE7.log
23.07.2008  23:07            15.380 KB932823-v3.log
22.07.2008  14:45            17.691 spupdsvc.log
22.07.2008  14:37            24.334 ie7_main.log
22.07.2008  14:37            64.713 ie7.log
22.07.2008  14:35            13.368 IDNMitigationAPIs.log
22.07.2008  14:34            13.071 NLSDownlevelMapping.log
22.07.2008  14:34            12.793 KB915865.log
22.07.2008  14:32            11.640 KB914440.log
22.07.2008  14:32            24.173 KB904942.log
22.07.2008  13:49             2.950 OCA-X86Fre-ENU.-uninstall.log
14.07.2008  19:14            41.196 wmsetup.log
08.07.2008  22:47            21.280 KB951748.log
             331 Datei(en)     53.959.298 Bytes
               0 Verzeichnis(se), 102.462.468.096 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 587D-D91B

 Verzeichnis von C:\DOKUME~1\Menzen\LOKALE~1\Temp

07.08.2008  23:35               173 jusched.log
07.08.2008  23:30            16.384 ~DFE265.tmp
07.08.2008  23:28            14.524 hpodvd09.log
               3 Datei(en)         31.081 Bytes
               0 Verzeichnis(se), 102.462.468.096 Bytes frei
Code:
ATTFilter
Freitag, 8. August 2008 07:54:48
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 7/08/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1068087
 
 
Scan-Einstellungen 
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte 
Archive untersuchen ja 
Mail-Datenbanken untersuchen ja 
 
Untersuchungsobjekt Arbeitsplatz 
C:\
D:\
E:\
F:\
G:\
H:\
I:\  
 
Untersuchungsergebnisse 
Untersuchte Objekte insgesamt 85414 
Viren gefunden 8 
Infizierte Objekte gefunden 15 
Verdächtige Objekte gefunden 0 
Untersuchungszeit 00:56:32 

Name des infizierten Objekts Virusname Letzte Aktion 
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\History\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Cookies\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Lokale Einstellungen\Temp\hpodvd09.log  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Lokale Einstellungen\Temp\~DFE265.tmp  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Lokale Einstellungen\Verlauf\History.IE5\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008080720080808\index.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\MM****\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\M****\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\Dokumente und Einstellungen\Rolf\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2T70XGJA\MediaTubeCodec_ver1.1233.1[1].exe  Infizierte Objekte: Trojan-Downloader.Win32.Zlob.ubg  übersprungen  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  Das Objekt ist gesperrt  übersprungen  
 
C:\System Volume Information\tracking.log  Das Objekt ist gesperrt  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP191\A0037721.exe  Infizierte Objekte: Trojan-Downloader.Win32.Zlob.rzt  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP198\A0038254.dll  Infizierte Objekte: not-a-virus:AdWare.Win32.Comet.bb  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP200\A0038952.exe  Infizierte Objekte: Trojan-Downloader.Win32.Zlob.spb  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP201\A0039279.exe  Infizierte Objekte: Trojan-Downloader.Win32.Zlob.taj  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP201\A0039280.exe  Infizierte Objekte: Trojan-Downloader.Win32.Zlob.taj  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\A0041921.exe/AntispywareBot/AntispywareBot.srv.exe  Infizierte Objekte: not-a-virus:FraudTool.Win32.AntiSpyware.cf  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\A0041921.exe  7-Zip: infiziert - 1  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\A0041921.exe  UPX: infiziert - 1  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\A0041921.exe  PE_Patch.UPX: infiziert - 1  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\A0041925.exe/SmitfraudFix/IEDFix.exe  Infizierte Objekte: Hoax.Win32.Renos.vaoz  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\A0041925.exe/SmitfraudFix/Reboot.exe  Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\A0041925.exe  RAR: infiziert - 2  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\A0041933.exe  Infizierte Objekte: Hoax.Win32.Renos.vaoz  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\A0041936.exe  Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f  übersprungen  
 
C:\System Volume Information\_restore{5AD0C2B7-914C-4F07-90B4-1CAC62361721}\RP206\change.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\Debug\PASSWD.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{8CF6368D-2478-4193-85EF-9FA487301024}.crmlog  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\SchedLgU.Txt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\SoftwareDistribution\EventCache\{2B9F134D-6F3D-4033-A88B-91E00B3962BD}.bin  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\Sti_Trace.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\edb.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\CatRoot2\tmp.edb  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\default.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\Internet.evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\Media Ce.evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SAM.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\software.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\config\system.LOG  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\h323log.txt  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\wiadebug.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\wiaservc.log  Das Objekt ist gesperrt  übersprungen  
 
C:\WINDOWS\WindowsUpdate.log  Das Objekt ist gesperrt  übersprungen  
 
Die Untersuchung wurde abgeschlossen.

Alt 08.08.2008, 07:38   #2
Chris4You
 
Befall durch Trojaner, was tun? - Standard

Befall durch Trojaner, was tun?


Hi,

da sind eindeutig Reste von "TROJAN.AGENT.GEN" zu finden...
Sowie einige Files die ich (noch) nicht zuordnen kann, daher:
Bitte folgende Files prüfen:
Zitat:
c:\windows\cgrswptdl.exe
c:\windows\edbo.exe
c:\windows\fdkowvbp.dll
c:\windows\wnslvxtf.dll
c:\windows\nfavxwdbsxo.dll
c:\windows\eqvwamkl.dll
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste das Ergebnis jeweils mit Filename!

Die Systemwiederherstellung ist ebenfalls verseucht, die wird als letztes Bereinigt, wenn der Rechner vollständig läuft...

DSS:
Download dss zum Desktop (http://www.techsupportforum.com/sectools/Deckard/dss.exe)
Schliesse alle Anwendungen und Doppelklicke dss.exe
Während DSS läuft, keine anderen Aktionen ausführen!
Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread

Bitte MAM runterladen, installieren und updaten:
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Dann Combofix runterladen (noch nicht starten):
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Danach offline gehen und dann erst MAM laufen lassen, Log speichern, Combofix laufen lassen, online gehen und die Logs posten...

chris
__________________

__________________
Alt 08.08.2008, 14:05   #3
TR-Vundo
 
Befall durch Trojaner, was tun? - Standard

Befall durch Trojaner, was tun?


Hallo! Laut Computerbild tarnen sich schädlinge oft unter dem Namen isass.exe welchen ich bei dir im Verzeichnis C:\Windows\system32\isass.exe finde. Scanne das Programm nach schädlingen und poste hir das Ergebnis.
__________________
Alt 08.08.2008, 19:29   #4
Silent sharK
 
Befall durch Trojaner, was tun? - Standard

Befall durch Trojaner, was tun?


@TR-Vundo

also ich erkenn keine isass.exe, nur eine lsass.exe und die ist in dem system32-Ordner keinesfalls schädlich.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.

Alt 08.08.2008, 20:26   #5
TR-Vundo
 
Befall durch Trojaner, was tun? - Standard

Befall durch Trojaner, was tun?


Oh! Danke für den Hinweis. Hab mich verschrieben. Ich meine lsass.exe . Eigentlich verbürgt sich dahinter ein harmloser aber wichtiger Windowsprozess, welcher aber oft von Schadsoftware ausgenutzt wird(infizirt).


Alt 08.08.2008, 20:50   #6
Silent sharK
 
Befall durch Trojaner, was tun? - Standard

Befall durch Trojaner, was tun?


Zitat:
Eigentlich verbürgt sich dahinter ein harmloser aber wichtiger Windowsprozess, welcher aber oft von Schadsoftware ausgenutzt wird(infizirt).
Nur der Name wird missbraucht, der Prozess selber nicht.
Aus den Sasser-Zeiten sind wir draußen.
__________________
--> Befall durch Trojaner, was tun?

Antwort

Themen zu Befall durch Trojaner, was tun?
1.exe, 7-zip, antivir, antivirus, avira, banke, banken, bho, browseui preloader, content.ie5, desktop, downloader, drivers, einstellungen, excel, gesperrt, google, grinler, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, laufwerk c, pop-up-blocker, rundll, scan, software, solution, system, trojaner, urlsearchhook, usb, vielen dank, was tun, windows, windows xp, wlan, zlob


« Willkürlicher Absturz verschiedener Programme | TR/Crypt.FKM.Gen - Trojan »


Ähnliche Themen: Befall durch Trojaner, was tun?


  1. nach Befall durch BKA Virus Entfernung durch Fachhandel Jetzt startet Windows sicherheitsdienst nicht mehr
    Log-Analyse und Auswertung - 05.06.2014 (14)
  2. PC-Befall durch SoftwareUpdater.Ui.exe
    Log-Analyse und Auswertung - 04.10.2013 (9)
  3. Befall durch TR/Boigy.J und TR/Bublik.I.12
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (3)
  4. Trojaner-Befall durch Bundespolizeitrojaner 1.13
    Log-Analyse und Auswertung - 03.12.2012 (3)
  5. GVU-Trojaner Befall, 4 Funde durch MBM
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (18)
  6. Multibler Befall durch Trojaner
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (5)
  7. Trojaner Befall durch win32/ransom.ej
    Log-Analyse und Auswertung - 14.02.2012 (1)
  8. Trojaner-Befall durch Trojan:Win64/Sirefef.k .d .e
    Log-Analyse und Auswertung - 03.01.2012 (1)
  9. Nach Befall durch Gema - UKash Trojaner PC wie tot!
    Plagegeister aller Art und deren Bekämpfung - 21.11.2011 (11)
  10. Systembereinigung nach Befall durch Trojaner Windows Vista Repair
    Log-Analyse und Auswertung - 25.07.2011 (26)
  11. Logfileauswertung nach Befall durch BKA Trojaner.
    Log-Analyse und Auswertung - 01.07.2011 (4)
  12. Befall durch Trojan-BNK.Win32.Keylogger.gen / Was tun?
    Log-Analyse und Auswertung - 24.05.2011 (14)
  13. Diverser Befall durch Adware/Trojaner (?) Unter anderem 'TR/Spy.ZBot.aghs'
    Plagegeister aller Art und deren Bekämpfung - 20.03.2010 (1)
  14. Befall durch TR/Meredrop.A.4984
    Plagegeister aller Art und deren Bekämpfung - 29.01.2010 (1)
  15. Befall durch TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 01.04.2009 (8)
  16. Befall durch TR/Hijack.AE
    Plagegeister aller Art und deren Bekämpfung - 28.11.2008 (12)
  17. Befall durch Rootkit oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 20.11.2006 (17)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Befall durch Trojaner, was tun? - Hallo Community, als erstes muss ich gestehen nicht viel ahnung von rechnern zu haben...sorry! auf dem rechner meiner eltern habe ich als virenscanner avira antivir installiert. der scanner findet dateien - Befall durch Trojaner, was tun?...
Archiv
Du betrachtest: Befall durch Trojaner, was tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19