|
Log-Analyse und Auswertung: Trojaner auf USB-StickWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.11.2008, 15:28 | #1 |
| Trojaner auf USB-Stick Hallo, ich habe auf meinem USB-Stick einen Trojaner entdeckt (bzw. AntiVir) der über die autorun.inf startet. AntiVir meldet WORM/Small.I.35 Im Ordner Recycled auf dem Stick sind zwei Dateien Driveinfo.exe und voinfo.dll vorhanden. Der Stick war schon länger im Gebrauch - McAffee hat bisher allerdings nichts gemeldet. Kann mir jemand das Hijack Logfile ansehen, ob irgendetwas ungewöhnliches drin ist? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:37:09, on 12.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\McAfee\Common Framework\udaterui.exe C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe C:\Programme\McAfee\Common Framework\McTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\PrintKey2000\Printkey2000.exe C:\Programme\Citrix\ICA CLient\wfcrun32.exe C:\PROGRA~1\Citrix\ICACLI~1\WFICA32.EXE C:\Programme\HP\HP Software Update\HPWUCli.exe D:\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://*** R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = *.***.**.**:8080 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\PROGRAMME\Java\jre1.5.0_14\bin\ssv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll O3 - Toolbar: I.R.I.S. Desktop Search - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - C:\Programme\IRIS Desktop Search\IRISDesktopSearchIntegration910.dll O4 - HKLM\..\Run: [IeZonesClient] C:\Programme\Internet Explorer\IE_CliCfg.exe O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [ICAKONFIG] C:\Programme\Citrix\ICA Client\SI\ICA_Konfig_3_0.EXE O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /systrayIconn /fln /frn /appDatan O4 - HKLM\..\Run: [HPUsageTracking] C:\Programme\HP\HP UT\bin\hppusg.exe "C:\Programme\HP\HP UT\" O4 - HKLM\..\Run: [SIExecuteUserProfile] SiExecuteUserProfile.exe O4 - HKLM\..\Run: [SYS-JRE] cscript.exe /b /nologo /e:vbs "C:\PROGRAMME\Java\SYS-JRE\jre_login_config.vbs" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\Java\jre1.5.0_14\bin\npjpi150_14.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\Java\jre1.5.0_14\bin\npjpi150_14.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *** O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *** O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *** O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: DevLock2 - Unknown owner - C:\PROGRA~1\DevLock2\DEVLOC~1.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SIDefrag - Unknown owner - C:\WINDOWS\SYSTEM32\srvany.exe O23 - Service: SMSSIAMon - Unknown owner - C:\VRZ\BIN\srvany.exe O23 - Service: Soll/Ist Wert-Vergleich (Systemabgleich) - keine - C:\VRZ\Bin\SYSABG\SOLL\sysabgl.exe -- End of file - 6195 bytes Gruß Holger |
12.11.2008, 15:47 | #2 | |
/// AVZ-Toolkit Guru | Trojaner auf USB-Stick Halli hallo reihol
__________________Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________ |
12.11.2008, 16:13 | #3 |
| Trojaner auf USB-Stick das ist ein Haufen Zeug - ich mach' mich mal an die Arbeit!
__________________ |
12.11.2008, 16:24 | #4 |
/// AVZ-Toolkit Guru | Trojaner auf USB-Stick =) das ist es in der Tat. Sieht auch nicht grade rosig aus bei dir..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
Themen zu Trojaner auf USB-Stick |
1.exe, adobe, antivir, antivir meldet, bho, cscript.exe, dateien, desktop, excel, explorer, explorer.exe, helper, hijack, hijack logfile, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, microsoft, ordner, pdf, programme, software, system, trojaner, trojaner auf usb-stick, usb-stick, windows, windows xp |