Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner an Board.

Trojaner an Board.


Log-Analyse und Auswertung: Trojaner an Board.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Thema geschlossen
Alt 12.10.2008, 01:07   #1
shake
 
Trojaner an Board. - Pfeil

Trojaner an Board.


Jetzt habe ich das System nochmal mit Avast gescant dabei ist das herausgekommen.

D:\system volume information\...\A0061967.exe
D:\system volume information\...\A0062898.exe
D:\system volume information\...\A0062298.dll
D:\Windows\System32\dlcxtjuh.dll
D:\Windows\System32\gvdfgw.dll
D:\Windows\System32\jeaefl.dll
D:\Windows\System32\mrykee.dll
D:\Windows\System32\nplubukc.dll
D:\Windows\System32\vpgcdjyo.dll

Mein Betriebsystem ist Windows XP mit SP-1.
Der befall ist in dem Systemordner system32 u.a.

Habe Jetzt neu gestartet scheint als wäre der Virus entfernt.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:17:58, on 12.10.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\JMRaidTool.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\SyncroSoft\Pos\H2O\cledx.exe
D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: {d71299a3-1693-72a9-e884-1299c5697046} - {6407965c-9921-488e-9a27-39613a99217d} - D:\WINDOWS\System32\jeaefl.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [JMB36X Configure] "D:\WINDOWS\System32\JMRaidTool.exe" boot
O4 - HKLM\..\Run: [SkyTel] "D:\WINDOWS\system32\REM.exe" SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] "D:\WINDOWS\RTHDCPL.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] "D:\WINDOWS\system32\REM.exe" RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "D:\WINDOWS\system32\REM.exe" nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "D:\WINDOWS\system32\REM.exe" D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\WINDOWS\system32\REM.exe" "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [H2O] "D:\Programme\SyncroSoft\Pos\H2O\cledx.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "D:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "D:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] "D:\WINDOWS\system32\REM.exe" D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - h**ps://webmail.saxion.nl/dwa7W.cab
O20 - AppInit_DLLs: jeaefl.dll
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - D:\WINDOWS\system32\Brmfrmps.exe (file missing)
O23 - Service: digiSPTIService - Digidesign, A Division of Avid Technology, Inc. - D:\Programme\Digidesign\Pro Tools\digiSPTIService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4555 bytes
Geändert von shake (12.10.2008 um 01:20 Uhr)

Alt 12.10.2008, 06:26   #2
nochdigger
 
Trojaner an Board. - Standard

Trojaner an Board.


Hallo

Warum nur Servicepack 1 ?

Deaktiviere zuerst die Systemwiederherstellung
Zitat:
deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
und deaktiviere den Teatimer von SpyBot S&D
Zitat:
Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.
überprüfe dein System dann bitte mit Malwarebytes und lass alles gefundene löschen, anschließend lass Combofix laufen.
Zitat:
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Erstelle bitte ein frisches HijackThis Log und poste die anderen Logs ebenfalls hierher.

MFG
__________________

__________________
Alt 07.12.2008, 02:44   #3
shake
 
Trojaner an Board. - Standard

Trojaner an Board.


So hier ein Frisches Log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:42:45, on 07.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\JMRaidTool.exe
D:\Programme\SyncroSoft\Pos\H2O\cledx.exe
D:\Programme\ScanSoft\PaperPort\pptd40nt.exe
D:\Programme\Winamp\winampa.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Java\jre6\bin\jusched.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Java\jre6\bin\jucheck.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {2950ACE8-4AD4-4B8A-A934-10B212ED122C} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [JMB36X Configure] "D:\WINDOWS\System32\JMRaidTool.exe" boot
O4 - HKLM\..\Run: [NvCplDaemon] "D:\WINDOWS\system32\REM.exe" RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "D:\WINDOWS\system32\REM.exe" nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\WINDOWS\system32\REM.exe" "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [H2O] "D:\Programme\SyncroSoft\Pos\H2O\cledx.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "D:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "D:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] "D:\WINDOWS\system32\REM.exe" D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - ***://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) -***://webmail.saxion.nl/dwa7W.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65449DF7-3954-44D5-96FB-171D87863157}: NameServer = 217.237.151.115,217.237.148.102
O17 - HKLM\System\CS1\Services\Tcpip\..\{65449DF7-3954-44D5-96FB-171D87863157}: NameServer = 217.237.151.115,217.237.148.102
O17 - HKLM\System\CS2\Services\Tcpip\..\{65449DF7-3954-44D5-96FB-171D87863157}: NameServer = 217.237.151.115,217.237.148.102
O20 - AppInit_DLLs: jeaefl.dll gogkdv.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - D:\WINDOWS\system32\Brmfrmps.exe (file missing)
O23 - Service: digiSPTIService - Digidesign, A Division of Avid Technology, Inc. - D:\Programme\Digidesign\Pro Tools\digiSPTIService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6112 bytes
__________________
Alt 07.12.2008, 14:44   #4
nochdigger
 
Trojaner an Board. - Standard

Trojaner an Board.


Hallo

nach knappen zwei Monaten willst du dein System weiter behandeln, das ist nicht dein ernst oder?
Setz die Kiste lieber neu auf mit Servicepack 3 und allem was dazu gehört.
http://www.trojaner-board.de/51262-a...sicherung.html

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Thema geschlossen

Themen zu Trojaner an Board.
adobe, avast, bho, ctfmon.exe, dateien, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, micro, microsoft, neu, nvidia, popup, programme, rundll, software, system, system volume information, trojaner, urlsearchhook, virus, windows, windows xp, yahoo


« Verdächtige Dateien und Win-Taste deaktiviert? | spoolsv.exe im Tempverzeichnis »


Ähnliche Themen: Trojaner an Board.


  1. Trojaner an Board?
    Log-Analyse und Auswertung - 05.01.2015 (16)
  2. Lob an Trojaner Board!
    Lob, Kritik und Wünsche - 19.11.2013 (0)
  3. Erfolgreich vom Trojaner befreit - Vielen Dank Cosinus & Trojaner Board
    Lob, Kritik und Wünsche - 14.09.2013 (1)
  4. Erfolgreich vom Trojaner befreit - Vielen Dank Cosinus & Trojaner Board
    Lob, Kritik und Wünsche - 10.09.2013 (0)
  5. GVU Trojaner hat Windows 7 gesperrt - Webcam - paysafecard oder ukash - Trojaner-Board
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (3)
  6. Trojaner an Board
    Log-Analyse und Auswertung - 27.12.2011 (3)
  7. Trojaner an Board!?
    Plagegeister aller Art und deren Bekämpfung - 16.06.2011 (1)
  8. h**p://trojaner-board.de.
    Log-Analyse und Auswertung - 27.02.2011 (1)
  9. habe glaub ich üblen Trojaner, kann nicht auf Trojaner board, malbytes Seiten
    Plagegeister aller Art und deren Bekämpfung - 29.06.2009 (2)
  10. Zurück Trojaner-Board > Sicherheit - Trojaner-Info.de Forum > Plagegeister aller
    Mülltonne - 11.09.2008 (1)
  11. Hab ich Trojaner an Board???
    Mülltonne - 12.06.2007 (0)
  12. Trojaner Board
    Mülltonne - 12.01.2006 (0)
  13. Trojaner on board...?
    Log-Analyse und Auswertung - 17.09.2005 (1)
  14. h**p://trojaner-board.de.
    Log-Analyse und Auswertung - 12.09.2005 (5)
  15. Trojaner on Board
    Plagegeister aller Art und deren Bekämpfung - 31.05.2005 (14)
  16. Trojaner an board ?!
    Log-Analyse und Auswertung - 12.02.2005 (7)
  17. Trojaner-Board
    Lob, Kritik und Wünsche - 07.08.2004 (14)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner an Board. - Jetzt habe ich das System nochmal mit Avast gescant dabei ist das herausgekommen. D:\system volume information\...\A0061967.exe D:\system volume information\...\A0062898.exe D:\system volume information\...\A0062298.dll D:\Windows\System32\dlcxtjuh.dll D:\Windows\System32\gvdfgw.dll D:\Windows\System32\jeaefl.dll D:\Windows\System32\mrykee.dll D:\Windows\System32\nplubukc.dll D:\Windows\System32\vpgcdjyo.dll Mein Betriebsystem - Trojaner an Board....
Archiv
Du betrachtest: Trojaner an Board. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55