Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 02.01.2009, 22:16   #1
calculationz
 
Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden? - Icon17

Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden?



Hallo,

ich habe vor kurzem den großen Fehler gemacht, mit meinem USB Stick Daten aus einem Copy Shop nach Hause zu nehmen, woraufhin sich ein ganzer Haufen von Malware auf meinem PC eingeschlichen hat. Avira Antivir Personal hat daraufhin einige Meldungen angezeigt, hier in chronologischer Reihenfolge:


In der Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/VB.htg.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe'
enthielt einen Virus oder unerwünschtes Programm 'BDS/IRC.ZGG.11' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe'
enthielt einen Virus oder unerwünschtes Programm 'WORM/Autorun.rhv' [worm].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

In der Datei 'C:\WINDOWS\system32\c_146939.nls'
wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.vxa.1' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen


BDS/Agent.vxa.1 hat sich als besonders hartnäckig erwiesen, das Löschen hat nix gebracht, denn nach dem Neustart des Rechners gab es wieder die selbe Fehlermeldung. „Zugriff verweigern“ war auch nicht erfolgreich, es kam sofort gleiche Meldung. Schließlich habe ich die Datei 'C:\WINDOWS\system32\c_146939.nls' in die Charantäne verschoben, das hat das Problem offenbar gelöst. Seit dem 25.12.08 hat Antivir keine weiteren Probleme angezeigt, aber ich traue dem Frieden nicht so ganz. Ich bekomme seitdem die folgende Fehlermeldung, wenn bei den Netzwerkeinstellungen die LAN-Verbindung deaktiviert ist und der Rechner neu gestartet wird:

„Programmfehler
smc.exe hat Fehler verursacht und wird geschlossen. Starten Sie das Programm neu.
Ein Fehlerprotokoll wird erstellt.“

Smc.exe gehört zur Sygate Personal Firewall. Ich habe von einem anderen Rechner aus alle wichtigen Passwörter abgeändert und vermeide es, mit dem infizierten PC ins Internet zu gehen. Es wäre super, wenn sich mal jemand die HijackThis Logfile ansehen und mir sagen könnte, ob diese Vorsichtsmaßnahme noch nötig ist oder der PC wirklich wieder sauber ist.

Für jegliche Hilfe wäre ich sehr dankbar!!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:11, on 02.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PeerGuardian2\pg2.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.133.131.69:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoriten
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] f:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B08DE6E-D8BD-4166-9BB5-D70226C4EEB8}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpcEnum - Unknown owner - C:\WINDOWS\system32\OpcEnum.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/AEAB5~1.92E/LOKALE~1/Temp/msohtmlclip1/01/clip_image001.jpg

--
End of file - 7726 bytes

Alt 02.01.2009, 23:25   #2
JoeAlz
 
Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden? - Standard

Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden?





Zitat:
Ich habe vor kurzem den großen Fehler gemacht, mit meinem USB Stick Daten aus einem Copy Shop nach Hause zu nehmen, woraufhin sich ein ganzer Haufen von Malware auf meinem PC eingeschlichen hat.


Folgendes:

Zitat:
C:\WINDOWS\system32\c_146939.nls
das ist schon übel

das sieht auch nicht gut aus, wenn es denn so war. Auch nicht mehr wirklich nachvollziehbar, da entweder gelöscht oder durch die Verseuchungen verschleiert. Deshalb sparen wir uns auch die Suche und Versuche, sie bei Virustotal hochzuladen:

Zitat:
n der Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/VB.htg.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe'
enthielt einen Virus oder unerwünschtes Programm 'BDS/IRC.ZGG.11' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'I:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe'
enthielt einen Virus oder unerwünschtes Programm 'WORM/Autorun.rhv' [worm].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Die Datei 'I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.


Zitat:
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
Hast du dir mit NLite ein eigenes Windows gebastelt???


Zitat:
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/AEAB5~1.92E/LOKALE~1/Temp/msohtmlclip1/01/clip_image001.jpg
Wo haste das denn her???

Zitat:
Ich habe von einem anderen Rechner aus alle wichtigen Passwörter abgeändert und vermeide es, mit dem infizierten PC ins Internet zu gehen
Weise Entscheidung!!!


Fazit:

Dein System ist alles andere als vertrauensvoll. Plattmachen und nach der folgenden Anleitung
NEUAUFSETZEN

Will hier auch nicht genauer erforschen, woher diese derartige Verseuchung tatsächlich stammt.

Viele Grüsse

Björn
__________________


Antwort

Themen zu Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden?
antivir, antivirus, avira, backdoor, bho, bonjour, browser, desktop, helper, hijack, hijackthis, hkus\s-1-5-18, lan-verbindung, logfile, malware, problem, programm, senden, software, starten, super, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', viren, virus, windows, windows xp, windows xp sp3




Ähnliche Themen: Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden?


  1. Mein Symantec bringt mir div. Trojaner u. Viren Warnungen, auch Optionen zum bereinigen, aber die dinger sind immer noch da :-(
    Plagegeister aller Art und deren Bekämpfung - 30.10.2015 (20)
  2. Windows 8: verschiedene Viren noch vorhanden?
    Plagegeister aller Art und deren Bekämpfung - 08.02.2015 (5)
  3. verschiedene Viren, adwaredealplygen und browsefox.gen2 jetzt nur noch schwarzer Bildschirm mit Mauszeiger
    Log-Analyse und Auswertung - 22.11.2014 (18)
  4. Win7 - Viren wirklich entfernt oder sind die noch da?
    Log-Analyse und Auswertung - 20.02.2014 (7)
  5. Trojan.Generic.8347442 Leider hat meine Antivierensoftware die Datei schon gelöscht. will nur sicher gehen ob noch teile vorhanden sind. d
    Plagegeister aller Art und deren Bekämpfung - 04.02.2013 (12)
  6. Bundestrojaner evtl . noch vorhanden, ComboFix + Malwarebytes ausgeführt, Logfiles vorhanden
    Log-Analyse und Auswertung - 27.07.2012 (5)
  7. Welche Viren waren oder sind immer noch die gefährlichsten?
    Diskussionsforum - 05.06.2012 (4)
  8. Dateien auf dem USB stick sind nur noch als Verknüpfungen vorhanden
    Log-Analyse und Auswertung - 22.11.2011 (18)
  9. Data Recovery entfernt. In Startmenü, auf Desktop und Rundll sind noch vorhanden.
    Log-Analyse und Auswertung - 24.09.2011 (6)
  10. Noch Schädlinge vorhanden ?
    Plagegeister aller Art und deren Bekämpfung - 16.05.2011 (7)
  11. Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden
    Plagegeister aller Art und deren Bekämpfung - 18.01.2011 (13)
  12. Verschiedene Webseiten sind nicht erreichbar
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (1)
  13. Trojaner,Viren,Backdoorprogramme mein pc is voll damit
    Plagegeister aller Art und deren Bekämpfung - 20.01.2009 (23)
  14. Sind noch Schädlinge auf meinem System?
    Log-Analyse und Auswertung - 29.10.2008 (51)
  15. 7 Viren bzw. Backdoorprogramme gefunden
    Plagegeister aller Art und deren Bekämpfung - 12.10.2008 (26)
  16. POPUPS und VERSCHIEDENE VIREN VIREN UND TROJANER !
    Mülltonne - 10.10.2008 (0)
  17. Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg?
    Log-Analyse und Auswertung - 22.08.2008 (11)

Zum Thema Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden? - Hallo, ich habe vor kurzem den großen Fehler gemacht, mit meinem USB Stick Daten aus einem Copy Shop nach Hause zu nehmen, woraufhin sich ein ganzer Haufen von Malware auf - Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden?...
Archiv
Du betrachtest: Verschiedene Viren & Backdoorprogramme - sind noch Schädlinge vorhanden? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.