|
Plagegeister aller Art und deren Bekämpfung: Trojaner-Hits verschiedener ProgrammeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.11.2008, 22:12 | #1 |
| Trojaner-Hits verschiedener Programme Hallo, mein Computer ist in letzter Zeit relativ langsam, und im Windows Prozess-Manager nimmt das Programm svchost.exe einen seltsam hohen Anteil des benutzen Arbeitsspeichers ein. Deshalb habe ich heute mal verschiedene Programme meinen Computer scannen lassen, und es kamen seltsame Dinge heraus. Ich poste hier erst die Kurzbeschreibung und meine Taten, dann die Protokolle. Ich habe nicht so dramatisch viel Ahnung von Trojanern, deshalb würde ich mich über Rat sehr freuen. Antivir Personal Edition (auch sonst aktiv und automatisch upgedated) hat 8 Trojanische Pferde gefunden, davon seltsamerweise 6 in meinem Statistik-Program. Warum würde sich ausgerechnet da ein Trojaner einnisten? Ansonsten hatte es in temp und Windows System den Trojaner "TR/Dldr.VB.VPG". A-square Anti-Malware (neu heruntergeladen) hat 6 Trojaner sowie etliche Trace.TrackingCookies gefunden. Als Ergebnis zeigte es mir 2 Trojaner mit hohem Risiko an. "Trojan.Win32.Buzus.acql!A2" habe ich dann als Beschreibung im Avira-Forum gefunden, und dort stand dass selbst die Entfernung des Trojaner selber nichts mehr bringen würde da dieser schon so viele Löcher in mein Windows geschossen hat dass ich die ganzen backdoors nicht mehr schließen kann. Beängstigend. Seit heute meldet mir mein Spybot, dass ständig irgendwelche komischen .exe-Programme meine Registrierungsdatenbank ändern wollen. Und dies bevor, nicht nachdem ich A-square runtergeladen hat. Zusätzlich gehr gerade immer wieder IE auf (genau 3x), ohne eine Webadresse. Dies die Berichte: a-squared Anti-Malware - Version 4.0 Letztes Update: 07.11.2008 19:21:29 Scan Einstellungen: Objekte: Speicher, Traces, Cookies, C:\ Archiv Scan: An Heuristik: An ADS Scan: An Scan Beginn: 07.11.2008 19:50:52 [860] C:\windows\system32\c00414E.mat gefunden: Trojan-Downloader.Win32.ConHook.chj!A2 [1564] C:\windows\system32\c00414E.mat gefunden: Trojan-Downloader.Win32.ConHook.chj!A2 [1052] C:\Dokumente und Einstellungen\H\Anwendungsdaten\Microsoft\Windows\lsass.exe gefunden: Trojan.Win32.Buzus.acql!A2 c:\programme\spss gefunden: Trace.Directory.Thinkertec SpyPal!A2 C:\Dokumente und Einstellungen\H\Cookies\h@2o7[1].txt gefunden: Trace.TrackingCookie.2o7!A2 C:\Dokumente und Einstellungen\H\Cookies\h@adtech[1].txt gefunden: Trace.TrackingCookie.adtech!A2 C:\Dokumente und Einstellungen\H\Cookies\h@atdmt[1].txt gefunden: Trace.TrackingCookie.atdmt!A2 C:\Dokumente und Einstellungen\H\Cookies\h@doubleclick[1].txt gefunden: Trace.TrackingCookie.doubleclick!A2 C:\Dokumente und Einstellungen\H\Cookies\h@mediaplex[1].txt gefunden: Trace.TrackingCookie.media!A2 C:\Dokumente und Einstellungen\H\Cookies\h@mediaplex[1].txt gefunden: Trace.TrackingCookie.mediaplex!A2 C:\Dokumente und Einstellungen\H\Cookies\h@windowsmedia[2].txt gefunden: Trace.TrackingCookie.windowsmedia!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1219909091359411 gefunden: Trace.TrackingCookie.count!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1219909091359618 gefunden: Trace.TrackingCookie.tradedoubler!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1219909091359664 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1219909091359701 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1223648845187502 gefunden: Trace.TrackingCookie.tradedoubler!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1223760275281250 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1224080286328125 gefunden: Trace.TrackingCookie.zedo!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1224080286843751 gefunden: Trace.TrackingCookie.zedo!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225028340765625 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225130688625000 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225196108687500 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225467509718750 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225730976062500 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225755067140625 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225789703515625 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225821256734375 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225832254593750 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1225899494171876 gefunden: Trace.TrackingCookie.media!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1226001987055866 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1226001987680866 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1226001987837116 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1226005923290241 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1226080499046875 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Mozilla\Firefox\Profiles\eiag1cda.default\cookies.sqlite:1226080544968750 gefunden: Trace.TrackingCookie.pop!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Microsoft\Windows\lsass.exe gefunden: Trojan.Win32.Buzus.acql!A2 C:\Dokumente und Einstellungen\H\Anwendungsdaten\Microsoft\Windows\sys32.dll gefunden: Trojan-Downloader.Win32.ConHook.chj!A2 C:\WINDOWS\system32\c00414E.mat gefunden: Trojan-Downloader.Win32.ConHook.chj!A2 Gescannt Dateien: 80496 Traces: 563921 Cookies: 995 Prozesse: 39 Gefunden Dateien: 3 Traces: 1 Cookies: 31 Prozesse: 3 Registry Keys: 0 Scan Ende: 07.11.2008 21:21:17 Scan Zeit: 1:30:25 Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 7. November 2008 18:52 Es wird nach 1010229 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: H Versionsinformationen: BUILD.DAT : 8.2.0.334 16933 Bytes 16.10.2008 14:53:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 09:34:57 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 09:34:57 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 09:34:57 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 09:34:57 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 09:53:16 ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31.10.2008 08:31:15 ANTIVIR2.VDF : 7.1.0.44 139264 Bytes 06.11.2008 11:32:46 ANTIVIR3.VDF : 7.1.0.46 4096 Bytes 06.11.2008 11:32:47 Engineversion : 8.2.0.26 AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 13:27:14 AESCRIPT.DLL : 8.1.1.13 332156 Bytes 06.11.2008 11:32:54 AESCN.DLL : 8.1.1.3 123252 Bytes 15.10.2008 13:27:12 AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 11:32:53 AEPACK.DLL : 8.1.3.3 393591 Bytes 06.11.2008 11:32:52 AEOFFICE.DLL : 8.1.0.29 196988 Bytes 24.10.2008 12:01:22 AEHEUR.DLL : 8.1.0.68 1479029 Bytes 06.11.2008 11:32:51 AEHELP.DLL : 8.1.1.2 115062 Bytes 15.10.2008 13:27:10 AEGEN.DLL : 8.1.0.43 319862 Bytes 06.11.2008 11:32:48 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 13:27:08 AECORE.DLL : 8.1.2.9 172407 Bytes 29.10.2008 09:53:24 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 13:27:06 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 09:34:57 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 09:34:57 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 15:03:43 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 09:34:57 AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 08:29:42 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 09:34:56 SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 08:29:43 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 09:34:57 NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 08:29:43 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 09:34:53 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 09:34:53 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Freitag, 7. November 2008 18:52 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'prun.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sol.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AliceCnn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LOGI_HDS.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FRITZWLanMini.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ADeck.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '65' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\H\Eigene Dateien\Statistica\MULTIMED\fscommand\Spreadsheet.EXE [FUND] Ist das Trojanische Pferd TR/Unpacked.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\H\Eigene Dateien\Statistica\MULTIMED\fscommand\Workbook.EXE [FUND] Ist das Trojanische Pferd TR/Unpacked.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\H\Eigene Dateien\Statistica 2006\MULTIMED\fscommand\Graph.EXE [FUND] Ist das Trojanische Pferd TR/Unpacked.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\H\Eigene Dateien\Statistica 2006\MULTIMED\fscommand\Report.EXE [FUND] Ist das Trojanische Pferd TR/Unpacked.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\H\Eigene Dateien\Statistica 2006\MULTIMED\fscommand\Spreadsheet.EXE [FUND] Ist das Trojanische Pferd TR/Unpacked.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\H\Eigene Dateien\Statistica 2006\MULTIMED\fscommand\Workbook.EXE [FUND] Ist das Trojanische Pferd TR/Unpacked.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\H\Lokale Einstellungen\Temp\snapsnet.exe [0] Archivtyp: NSIS --> pac.txt [FUND] Ist das Trojanische Pferd TR/Dldr.VB.VPG [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\pac.txt [FUND] Ist das Trojanische Pferd TR/Dldr.VB.VPG [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Freitag, 7. November 2008 20:37 Benötigte Zeit: 1:45:01 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7526 Verzeichnisse wurden überprüft 612471 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 8 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 612462 Dateien ohne Befall 2301 Archive wurden durchsucht 1 Warnungen 8 Hinweise Würde mich über eine schnelle Antwort sehr freuen!!! Heikedine |
Themen zu Trojaner-Hits verschiedener Programme |
.dll, 0 bytes, antivir, avg, avgnt.exe, computer, einstellungen, firefox, firefox.exe, immer wieder, jusched.exe, langsam, logon.exe, microsoft, modul, mozilla, neu, nt.dll, programm, programme, registrierungsdatenbank, scan, schließen, services.exe, suchlauf, svchost.exe, system, temp, traces, trojaner, trojanische pferde, verweise, virus, virus gefunden, warnung, warum, windows, windows system, winlogon.exe, wuauclt.exe, ändern |