|
Log-Analyse und Auswertung: Email wird in 24 Stunden gesperrt TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.12.2008, 14:34 | #1 |
| Email wird in 24 Stunden gesperrt Trojaner Vorgestern ist am Famillienrechner eine email: "Ihre Email "..." wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt" angekommen. Anschliessend wurde die angehängte Datei hinweis.exe dummerweise geöffnet. Seitdem Ist wohl ein Trojaner auf der Maschine. Als erstes wurde das Programm Avira Antivir angegriffen, Updates waren da nicht mehr möglich. Per USB Stick wurde dann eine ganz neue Version Avira Antivir installiert und ein neuer Trojaner gefunden und gelöscht (Name des Trojaners habe ich leider nicht). Beim starten heute morgen hat der Rechner keine Startleiste und kein Desktop angezeit. Nur noch über den Windows Task Manager kann man Programme ansteuern/öffnen. Eine zurücksetzung des System um 3 Tage hat nicht geholfen! Hier das Logfile: Ich bitte um Hilfe, da ich wohl ansonsten den Rechner Plattmachen muss! Vielen Dank. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:23:02, on 03.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\cJPCSC.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\StarMoney 6.0 S-Edition\StarMoney.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\ICQ6\ICQ.exe C:\PROGRA~1\MICROS~2\Office\WINWORD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://admin.klangundkleid.de/admin/login.asp R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32\restore\rstrui.exe -i O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Nokia Ovi Suite.lnk = C:\Programme\Nokia\Ovi\Suite\RunLauncher.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted IP range: 192.168.2.10 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093015005171 O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: cyberJack PC/SC Service (cjPCSC) - REINER SCT - C:\WINDOWS\System32\cJPCSC.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -- End of file - 6682 bytes |
03.12.2008, 14:39 | #2 | |
/// AVZ-Toolkit Guru | Email wird in 24 Stunden gesperrt Trojaner Halli hallo.
__________________Da mache ich mir mal garnicht erst die Mühe das log durch zu ackern.. Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________ |
03.12.2008, 14:51 | #3 |
| Email wird in 24 Stunden gesperrt Trojaner Gibt es keine Möglichkeit ohne den Rechner neu aufzusetzen? Das wird eine nicht endende Arbeit alle wichtigen Dateien zu sichern/nach Viren prüfen und wieder aufzuspielen. Bitte
__________________ |
03.12.2008, 14:56 | #4 |
/// AVZ-Toolkit Guru | Email wird in 24 Stunden gesperrt Trojaner Ist es wirklich absolut nicht anders möglich? Weisst du worauf du dich einlässt? Du darfst von dem Rechner aus dann kein online Banking, kein eBay, kein online Shopping, keine geschäflichen Dingen und keine vertrauenswürdigen Daten mehr bearbeiten!!! Ist dir das absolut bewusst? Dann kann ich versuchen dir zu helfen. Auf dein eigenes Risiko! Und der Rechner ist danach nicht sauber!!!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
03.12.2008, 15:10 | #5 |
| Email wird in 24 Stunden gesperrt Trojaner gewisse banking sachen und so laufen natürlich schon über den rechner. Ich bin etwas überrascht, dass es gleich so schlimm ist. Kann man das verifizieren ob das wirklich ein Schädling auf dem MBR ist. Ich hatte eher gedacht, dass der Trojaner nochmal was beschädigt hat weil ich ihn gelöscht habe. Es wurde ja auch eine von AntiVir gefunden. Vielen Dank für die Hilfe |
03.12.2008, 15:29 | #6 |
/// AVZ-Toolkit Guru | Email wird in 24 Stunden gesperrt Trojaner so langsam habe ich keine Lust mehr... Ich poste dir das hier alles nicht zum Spaß! Der Trojaner sitzt nicht im MBR! Das ist nur zur Sicherheit... Neuaufsetzten musst du trotzdem! Hast du dir das hier mal durchgelesen?: http://oschad.de/wiki/Virenscanner Wenn du online Banking über den Rechner betreibst dann wundert es mich, dass du überhaupt noch online bist! Du musst jetzt endlich verstehen, dass der Remote Admin grade alles das sehen kann was du siehst und wenn er da Bock drauf hat sogar einfach die Kontrolle übernehmen kann! Also ziehe dringend den LAN Stecker und ändere von einem definitiv sauberen PC aus alle deine ZugangsAccounts und Passwörter! Deine Bank solltest du ebenfalls benachrichtigen! Wenn du extrem viele unersetzliche Daten auf dem Rechner hast probiere ich auch gerne den Rechner wieder zu flicken aber das geht dann absolut auf deine Mütze und du musst dich nicht wundern wenn eines Tages dein Konto leer ist oder die Bullen bei dir klingeln..
__________________ --> Email wird in 24 Stunden gesperrt Trojaner |
Themen zu Email wird in 24 Stunden gesperrt Trojaner |
antivir, antivirus, avgnt, avgnt.exe, avira, bho, bitte um hilfe, computer, desktop, email, google, hijack, hijackthis, hkus\s-1-5-18, home, jusched.exe, logfile, neue version, programm, rojaner gefunden, rstrui.exe, security, software, solution, starmoney, starten, stick, symantec, system, trojane, trojaner, trojaner gefunden, updates, usb, windows, windows xp |