| |
| |||||||
Log-Analyse und Auswertung: Win32 Trojan-Gen oder falscher Alarm GDATA?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.10.2008, 20:18
| #1 |
| Gast |  Win32 Trojan-Gen oder falscher Alarm GDATA? Hallo! Bin noch ganz neu hier, deshalb weiss ich nicht, ob ich alles richtig mache. Vor 2 Wochen hatte ich einen Trojaner namens Virtumonde in Windows/System32, der dazu führte, dass ich keine automatischen Updates durchführen konnte (Service Pack 3) und im Explorer wurde ich mit Warnmeldungen bombardiert, mein System sei infiziert. Außerdem lief das System sehr langsam. Ich habe im abgesicherten Modus Spybot laufen lassen, da er sich im normalen Modus bei "Virtumonde.dll" immer aufgehängt hat. Dann konnte ich die Infektionen entfernen, habe auch noch GDATA durchlaufen lassen und alles war ok. Seit zwei Tagen kommt aber immer, wenn ich den PC hochfahre, die Meldung "es wurde versucht, auf eine infizierte Datei zuzugreifen, Win32 Trojan-Gen, die Datei heisst "agqhpq.dll" Führe ich einen Virenscan durch, selbst im abgesicherten Modus, und versuche ich, die Datei zu desinfizieren oder löschen, stürzt mein System ab. Habe auch versucht, die Datei mit Unlocker zu löschen, was aber zum selben Ergebnis führte. Der Spybot sagt, keine Spione vorhanden. Soweit läuft auch alles normal. Habe mal ein bißchen gegoogelt und in einem Forum wurde gesagt, dass G-Data manchmal einen Trojaner findet, wo es gar keinen gibt aufgrund von geänderten Virensignaturen. Dort handelte es sich aber um userdll oder so ähnlich. ich poste mal Hijack-This: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:12:44, on 06.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\PROGRA~1\Magentic\bin\MgApp.exe C:\Programme\IncrediMail\bin\IMApp.exe C:\Programme\G DATA AntiVirus\AVK\AVKService.exe C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\Opera\Opera.exe C:\Programme\IncrediMail\bin\IncMail.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O1 - Hosts: 80.190.241.30 home.edonkey.com O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {0AFB563C-C86B-4423-A36F-97B9D9316FBD} - (no file) O2 - BHO: (no name) - {0CDBD96B-E2D6-4661-9A55-041B20BDC6DA} - (no file) O2 - BHO: (no name) - {103F6042-20BD-4276-822F-6F50FEAB61A5} - (no file) O2 - BHO: (no name) - {3C464F14-0F23-4B1D-8893-ADAFB2DB4582} - (no file) O2 - BHO: (no name) - {464E435A-510E-4329-9E16-55C0B7B53729} - (no file) O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {545732E8-6743-4544-890A-C64EE82B1468} - (no file) O2 - BHO: (no name) - {5B90B3AC-FF08-41FC-9E5B-EDD0DACAC8B9} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {858FDE05-345A-4182-B40A-FC23A3A56924} - (no file) O2 - BHO: (no name) - {995268A4-D26F-4104-8CBF-48BEBB4E03B5} - (no file) O2 - BHO: (no name) - {BBCB207B-7C46-4E9A-A678-CCDFEF891078} - (no file) O2 - BHO: (no name) - {C0D4C48A-8769-4741-BFF3-BD28BB64E20C} - (no file) O2 - BHO: (no name) - {CB83E7BA-8E12-4C98-8D23-786CC3C1564F} - (no file) O2 - BHO: (no name) - {DB1A5022-5ECE-42B6-B460-44F732A1F8EA} - (no file) O2 - BHO: {191aec32-8b24-121a-4b34-c0f95073a4cd} - {dc4a3705-9f0c-43b4-a121-42b823cea191} - C:\WINDOWS\system32\agqhpq.dll O2 - BHO: (no name) - {DF8EDEBE-93C9-47F0-BA90-C5CEE7E8598B} - (no file) O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131018820546 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\..\{F1B1983D-0A39-4DE5-AABB-47254AF45139}: NameServer = 192.168.122.252,192.168.122.253 O18 - Filter hijack: text/html - (no CLSID) - (no file) O20 - AppInit_DLLs: pnvyse.dll oduroo.dll agqhpq.dll O20 - Winlogon Notify: pmnkKeBS - pmnkKeBS.dll (file missing) O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 9844 bytes Kann jemand mir helfen? Vielen Dank im Voraus! |
| Themen zu Win32 Trojan-Gen oder falscher Alarm GDATA? |
| abgesicherten modus, adobe, antivirus, askbar, aufgehängt, bho, ctfmon.exe, desinfizieren, dsl, entfernen, excel, explorer, g data, g-data, gdata, google, handel, helfen, hijack-this, hijackthis, hkus\s-1-5-18, infiziert., infizierte, infizierte datei, internet, internet explorer, locker, nvidia, object, opera, programme, rundll, scan, software, trojaner, updates, virtumonde, virtumonde.dll, warnmeldungen, windows xp, windows xp sp3, xp sp3 |
Baum-Darstellung