|
Log-Analyse und Auswertung: Trojaner: BackDoor.Generic10.TDZWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.10.2008, 20:55 | #1 |
| Trojaner: BackDoor.Generic10.TDZ Hallo! Ich hab mir vermutlich einen Trojaner eingefangen. Ich habe Windows XP Prof mit SP 3 und mein AVG-AntiVirus hat folgendes gefunden: "Trojaner: BackDoor.Generic10.TDZ" Habs in Quarantäne gestellt. Gefunden wurden die Einträge auf C:\WINDOWS\system32\wupdmgr.exe und C:\WINDOWS\system32\dllcache\wupdmgr.exe. Nachdem ich zweimal auf Quarantäne geklickt hab verschwand das Fenester meiner AV Software und dann kam ein neues: "Windows-Dateischutz". Da steht: "Es wurden Dateien, die zur Ausführung von Windows erforderlich sind, mit unbekannten Versionen ersetzt. DIe Originalversionen dieser Dateien müssen wiederhergestellt werden, um die Systemstabilität beizubehalten. Legen Sie Windows XP Professional-CD jetzt ein." Da kann ich drei Sachen auswählen: Wiederholen, Details und Abbrechen Hier mal meine HijackThis Log... Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\winsys2.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Veoh Networks\Veoh\VeohClient.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Steam\Steam.exe C:\Programme\Trillian\trillian.exe C:\Programme\Mozilla Firefox\firefox.exe C:\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKLM\..\Policies\Explorer\Run: [Q2sseKWiGq] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elkxwtox\axuzsbwt.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{D2A658D6-6E80-40D3-9BFD-77B061455E43}: NameServer = 192.168.123.254 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ich hoffe mir kann wer weiterhelfen. Danke! |
24.10.2008, 21:57 | #2 |
Trojaner: BackDoor.Generic10.TDZ Hi,
__________________wenn es geht, bitte noch den Kopf des Logfiles nachreichen. Und das hier zur Analyse verdächtiger Dateien: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\System32\winsys2.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elkxwtox\axuzsbwt.exe
mfg
__________________ |
24.10.2008, 22:04 | #3 |
Administrator > Competence Manager | Trojaner: BackDoor.Generic10.TDZ Nur zur Info bezüglich der Datei in:
__________________C:\windows\system32\dll cache\wupdmgr.dll C:\windows\system32\wupdmgr.dll http://www.trojaner-board.de/hijacker-hijackthis-logs-posten/announcements.html http://www.trojaner-board.de/62799-h...ic-10-tdz.html
__________________ |
24.10.2008, 22:23 | #4 |
| Trojaner: BackDoor.Generic10.TDZ Danke erst einmal. Hier der Kopf des Logfiles: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:09:46, on 24.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Die Datein ich nicht hochladen, da sie bei AVG in der Quarantäne stecken? Wo werden die aufbewahrt? Hab schon überall gesucht und auch gegoogelt, wie man die Dateien aus der Quarantäne wiederfinden kann. Leider erfolglos! @Sunny: Heißt das, dass diese Dateien harmlos uns keine Trojaner sind? Was mache ich wegen diesem "Windows-Datenschutz". Wenn mir jetzt Systemdateien fehlen (weil die befallenen Dateien in Quarantäne sind), kann ich den PC neustarten, ohne dass komplett neu aufsetzen muss? |
24.10.2008, 22:25 | #5 | ||
Administrator > Competence Manager | Trojaner: BackDoor.Generic10.TDZZitat:
Zitat:
(kann dir leider nicht viel zu sagen da ich AVG nicht benutze!)
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
24.10.2008, 22:28 | #6 |
Trojaner: BackDoor.Generic10.TDZ Bzgl. Systemdateien muss man nicht unbedingt neuaufsetzen. Öffne das AVG-Center, da müsste was von Quarantäne stehen. Da kannst du die Dateien aus der Quarantäne löschen oder sie wiederherstellen - das Zweite machst du und ladest sie anschließend hoch.
__________________ --> Trojaner: BackDoor.Generic10.TDZ Geändert von Silent sharK (24.10.2008 um 22:28 Uhr) Grund: Tippfehler ._. |
24.10.2008, 22:47 | #7 |
| Trojaner: BackDoor.Generic10.TDZ "Datei: wupdmgr.exe empfangen Datei: wupdmgr.exe empfangen Vorgang erfolgreich abgeschlossen. Warning: unlink(/srv/www/web2/html/../files/wupdmgr.exe): No such file or directory in /srv/www/web2/html/index.php on line 133 " Hab ich das jetzt richtig gemacht? |
Themen zu Trojaner: BackDoor.Generic10.TDZ |
ad-aware, adobe, avg free, avira, backdoor.generic, bho, browser, ctfmon.exe, download, e-mail, einstellungen, file, firefox, free download, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, microsoft, monitor, mozilla, nvidia, plug-in, programme, rundll, software, system, trojaner, windows, windows xp |