|
Log-Analyse und Auswertung: win32.troja-gen im System gemeldetWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.10.2008, 20:48 | #1 |
| win32.troja-gen im System gemeldet Hallo. Avast hat eben in meinem 'System den Trojaner win32.troja-gen gemeldet. Ich nutze Wind Xp. Zuerst Kam er in der World of Warcraft Datei c/ Programme/world of Warcraft\scan.dll vor. dort hat ihn der System Check von Avast aber nicht gefunden. Avast meldete den Trojaner in C\System Volume Information \.....\A0104108.dll Das hijack log ist Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:26:58, on 28.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\stsystra.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.ex e C:\Programme\Trillian\trillian.exe C:\Programme\Alwil Software\Avast4\ashSimpl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bsplayer-search.com/startpage O1 - Hosts: 88.198.11.22 L2testauthd.lineage2.com O1 - Hosts: 88.198.11.22 L2authd.lineage2.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe " O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.ex e O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe Für alle entstandenen Fehler entschuldige ich mich, ich bin absoluter Neuling. Danke im Vorraus |
28.10.2008, 21:06 | #2 |
win32.troja-gen im System gemeldet Grüß Dich,
__________________sieht ziemlich übel aus, da sind einige böse Dateien: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\rdirector.exe
Geh noch in Systemsteuerung => Software und deinstalliere die Ask Toolbar. Auf den Internet Explorer 7 solltest du auch noch updaten. mfg
__________________ |
28.10.2008, 21:45 | #3 |
| win32.troja-gen im System gemeldet Hallo,
__________________trotz Deiner Empfehlung versteckte Dateien Anzeigen zu lassen findet er die Datei rdirector.exe nicht. Was nun? vielen dank für deine Bemühungen Lg Kali Geändert von LadyKali (28.10.2008 um 21:52 Uhr) |
28.10.2008, 21:50 | #4 |
win32.troja-gen im System gemeldet Ok, schauen wir, ob die Datei noch vorhanden ist:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
28.10.2008, 21:55 | #5 |
| win32.troja-gen im System gemeldet Hier das neue Log. Ich bedanke mich nun am ende wenns geklappt hat (oder auch nicht) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:56:02, on 28.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\stsystra.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trillian\trillian.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bsplayer-search.com/startpage O1 - Hosts: 88.198.11.22 L2testauthd.lineage2.com O1 - Hosts: 88.198.11.22 L2authd.lineage2.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (filesize 63128 bytes, MD5 F17B2B264072B921FC66A0BE16626BAB) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (filesize 1562448 bytes, MD5 32981ADE44D01EC2A9EBC2E311291707) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (filesize 501136 bytes, MD5 D6137540BDF0F9F9B9055C60ADD8007A) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (filesize 1198080 bytes, MD5 1F1E78A15137C0C1914101C5CF8D1FD5) O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL (filesize 241664 bytes, MD5 C849DC7BF341EC7DE92CD1295F9380A0) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (filesize 1198080 bytes, MD5 1F1E78A15137C0C1914101C5CF8D1FD5) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (filesize 343112 bytes, MD5 5E2F2DB01F934243B74440F534880D19) O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL (filesize 241664 bytes, MD5 C849DC7BF341EC7DE92CD1295F9380A0) O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" (filesize 344064 bytes, MD5 DAC3F5F1A61DC00ECF5D855C6A7E9DDB) O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime (filesize 98304 bytes, MD5 76A3A30B58405C2C6D833895253A51A9) O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe (filesize 339968 bytes, MD5 0F869E88FA4489FBE231A42646488CE8) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" (filesize 132496 bytes, MD5 896E712A34D654A337C8CBB9DEB07200) O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun (filesize 490952 bytes, MD5 79CC43BE17E1D1AC58844574ABD58941) O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exeC:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (filesize 113664 bytes, MD5 C2FF17734176CD15221C10044EF0BA1A) O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (filesize 83360 bytes, MD5 5BC65464354A9FD3BEAA28E18839734A) O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (filesize 501136 bytes, MD5 D6137540BDF0F9F9B9055C60ADD8007A) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll (filesize 501136 bytes, MD5 D6137540BDF0F9F9B9055C60ADD8007A) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (filesize 1562448 bytes, MD5 32981ADE44D01EC2A9EBC2E311291707) O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (filesize 1562448 bytes, MD5 32981ADE44D01EC2A9EBC2E311291707) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (filesize 558080 bytes, MD5 AAC1D4EE39DF138C5D30AC5883E3B59F) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (filesize 558080 bytes, MD5 AAC1D4EE39DF138C5D30AC5883E3B59F) O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (filesize 603416 bytes, MD5 B615F3369CE4FCA3048A5E569413B42F) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (filesize 1695232 bytes, MD5 E2AA953ED6A296B6BF399A783B32CCDE) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (filesize 1695232 bytes, MD5 E2AA953ED6A296B6BF399A783B32CCDE) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) (filesize 140 bytes, MD5 464583A5065679C9452679BE4524AAF0) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) (filesize 140 bytes, MD5 464583A5065679C9452679BE4524AAF0) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL (filesize 1942864 bytes, MD5 2F7520EFE75CA986F9E41B53162B7144) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exeC:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exeC:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeC:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exeC:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exeC:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exeC:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exeC:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exeC:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exeC:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exeC:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exeC:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exeC:\Programme\CDBurnerXP\NMSAccessU.exe -- End of file - 10269 bytes |
28.10.2008, 21:59 | #6 |
win32.troja-gen im System gemeldet Ok, die Datei ist gelöscht worden. Das ist mehr oder weniger gut. Führe bitte folgende Tools der Reihe nach aus: 1.) MalwareBytes Anti-Malware :
2.) ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ --> win32.troja-gen im System gemeldet |
28.10.2008, 22:10 | #7 |
| win32.troja-gen im System gemeldet Malware log : Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1333 Windows 5.1.2600 Service Pack 3 28.10.2008 22:10:28 mbam-log-2008-10-28 (22-10-28).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 57967 Laufzeit: 3 minute(s), 41 second(s) und hier combo fix log : ComboFix 08-10-28.01 - Michelsen 2008-10-28 22:30:26.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Michelsen\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-28 )))))))))))))))))))))))))))))) . 2008-10-28 22:18 . 2008-10-28 22:18 <DIR> d-------- C:\Programme\CCleaner 2008-10-28 22:06 . 2008-10-28 22:06 <DIR> d-------- C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\Malwarebytes 2008-10-28 22:05 . 2008-10-28 22:05 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-28 22:05 . 2008-10-28 22:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2008-10-28 22:05 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-28 22:05 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-28 21:50 . 2008-10-28 21:51 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-10-28 21:50 . 2008-10-28 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy 2008-10-28 20:26 . 2008-10-28 20:26 <DIR> d-------- C:\Programme\Trend Micro 2008-10-24 11:54 . 2008-10-15 17:35 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll 2008-10-21 10:39 . 2008-10-21 10:39 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-10-21 10:39 . 2008-10-21 10:39 <DIR> d-------- C:\WINDOWS\system32\de 2008-10-21 10:39 . 2008-10-21 10:39 <DIR> d-------- C:\WINDOWS\system32\bits 2008-10-21 10:39 . 2008-10-21 10:39 <DIR> d-------- C:\WINDOWS\l2schemas 2008-10-21 10:38 . 2008-10-21 10:40 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-10-21 10:32 . 2008-10-21 10:32 <DIR> d-------- C:\WINDOWS\EHome 2008-10-20 23:36 . 2004-08-03 23:38 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys 2008-10-20 18:20 . 2008-10-20 18:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Blizzard 2008-10-20 11:51 . 2008-08-14 14:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2008-10-20 11:51 . 2008-09-15 16:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys 2008-10-20 11:51 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-20 11:50 . 2008-08-14 14:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-10-20 11:50 . 2008-08-14 14:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2008-10-20 11:50 . 2008-08-14 14:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe 2008-10-07 11:15 . 2008-10-07 11:37 <DIR> d-------- C:\Programme\The Witcher 2008-10-06 22:10 . 2008-10-06 22:10 <DIR> d-------- C:\Programme\KompoZer 2008-10-06 22:10 . 2008-10-06 22:10 <DIR> d-------- C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\KompoZer 2008-10-05 12:00 . 2008-10-05 12:00 <DIR> d-------- C:\Programme\CDBurnerXP 2008-10-05 11:34 . 2008-10-05 11:34 <DIR> d-------- C:\finalburner 2008-10-04 15:50 . 2008-10-04 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\PPTminimizer 2008-10-04 13:09 . 2008-10-04 13:09 <DIR> d-------- C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\XRay Engine 2008-10-04 12:28 . 2008-10-04 12:28 279,712 --a------ C:\WINDOWS\system32\drivers\atksgt.sys 2008-10-04 12:28 . 2008-10-04 12:28 25,888 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys 2008-10-03 16:48 . 2008-10-03 16:48 <DIR> d--h-c--- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\{0691F710-1ECA-4B5A-9727-25554F1BFDC6} 2008-10-03 16:37 . 2008-10-03 16:37 <DIR> d-------- C:\ProgramData 2008-10-01 12:38 . 2008-10-02 14:59 <DIR> d-------- C:\freigabe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-28 21:14 --------- d-----w C:\Programme\Trillian 2008-10-28 21:04 --------- d-----w C:\Programme\World of Warcraft 2008-10-28 16:37 --------- d-----w C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\Skype 2008-10-28 15:51 --------- d-----w C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\skypePM 2008-10-07 10:15 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-05 12:14 --------- d-----w C:\Programme\Drakensang 2008-10-04 13:13 --------- d-----w C:\Programme\Scratches 2008-10-04 12:11 --------- d-----w C:\Programme\Electronic Arts 2008-10-04 04:53 --------- d-----w C:\Programme\PokerStars.NET 2008-10-03 15:49 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-09-17 11:12 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Adobe Systems 2008-09-17 10:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-09-17 10:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2008-09-17 10:28 --------- d-----w C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\SPORE 2008-09-17 09:47 --------- d-----w C:\Programme\DAEMON Tools Lite 2008-09-17 09:42 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2008-09-17 09:42 --------- d-----w C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\DAEMON Tools 2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-08-20 05:08 671,744 ----a-w C:\WINDOWS\system32\wininet.dll 2008-08-14 13:19 2,147,840 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-08-14 13:19 2,026,496 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2007-12-19 13:39 18,696 ----a-w C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-02-09 344064] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-31 98304] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496] "SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 C:\WINDOWS\stsystra.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] C:\Dokumente und Einstellungen\Michelsen\Startmen\Programme\Autostart\ Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Trillian\\trillian.exe"= "C:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.exe"= "C:\\Programme\\The All-Seeing Eye\\eye.exe"= "C:\\Programme\\World of Warcraft\\WoW-1.11.0-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-1.11.1.5462-to-1.11.2.5464-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-1.11.2.5464-to-1.12.0.5595-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"= "C:\\Dokumente und Einstellungen\\Michelsen\\Eigene Dateien\\Empfangene dateien\\mirc\\mirc.exe"= "C:\\Programme\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-2.0.3-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-2.0.4.6314-to-2.0.5.6320-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.5.6320-deDE-downloader.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\World of Warcraft\\WoW-2.0.5.6320-to-2.0.6.6337-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-2.0.6.6337-to-2.0.7.6383-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-2.0.8.6403-to-2.0.10.6448-deDE-downloader.exe"= "C:\\Programme\\World of Warcraft\\WoW-2.0.10.6448-to-2.0.12.6546-deDE-downloader.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2004-07-14 65536] R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096] R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2004-07-14 1527887] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{2C688203-7EB3-4327-9995-1CB417BA23F9} - (no file) . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Michelsen\Anwendungsdaten\Mozilla\Firefox\Profiles\sa8jcjal.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-28 22:33:54 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2008-10-28 22:37:07 ComboFix-quarantined-files.txt 2008-10-28 21:36:04 Vor Suchlauf: 19 Verzeichnis(se), 34.667.900.928 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 34,660,229,120 Bytes frei 147 --- E O F --- 2008-10-24 20:00:47 Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Geändert von LadyKali (28.10.2008 um 22:37 Uhr) |
28.10.2008, 22:56 | #8 |
| win32.troja-gen im System gemeldet *mal push* |
28.10.2008, 23:14 | #9 |
win32.troja-gen im System gemeldet Das ist ein Forum, keine Hotline! Hast du noch Probleme mit dem Rechner? Die Logfiles sind OK.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
28.10.2008, 23:21 | #10 |
| win32.troja-gen im System gemeldet Entschudlige, bin bissel nefjös und hoffe mein System is wieder ok Aber soweit sieht alles gut aus, ich werde noch mal Avast rüber laufen lassen. Ich danke dir ganz arg für deine Hilfe. hoffe nur ab jetzt verschont zu bleiben. vielen Dank Kali |
28.10.2008, 23:24 | #11 |
win32.troja-gen im System gemeldet Wenn Avast immer noch meckert, update es und das Problem dürfte behoben sein.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
Themen zu win32.troja-gen im System gemeldet |
.dll, adobe, antivirus, ask toolbar, avast!, bho, cdburnerxp, ctfmon.exe, explorer, fehler, firefox, google, helper, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, log, magix, microsoft, mozilla, pdf, software, system, system check, system volume information, trojaner, windows, windows xp, windows xp sp3, xp sp3, yahoo |