Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verdacht ... find' aber nix

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.02.2009, 16:24   #1
Ba'el
 
Verdacht ... find' aber nix - Standard

Verdacht ... find' aber nix



so, Tach erstmal, hier mein Verdachtsmoment
also ich habe eine Einwahlsoftware um ins Internet zukommen, diese ist nicht im Autostart, aber seit einigen Tagen öffnet sich diese Einwahlfenster immer sofort nach dem Hochfahren

diese Einwahlsoftware meldet sich normalerweise immer dann zu Wort wenn irgendein Programm ins Internet will, aber keine Verbindung besteht, d.h. im Prinzip das ein Programm schon kurz nach dem Hochfahren ins Internet will (wofür meines Erachtens nur Malware in Frage kommt, oder?)

nun die Auflistungen meiner bisherigen Unternehmungen

AntiVir -> findet nix


danach habe ich nach spezieller Trojaner Software gesucht, das Erste gefundene war TrojanCheck (gut der Name war etwas Irreführend, ist eigentlich ein Registry/Autostart Überwacher)

hab die Registry Standardeinträge mit dieser Liste verglichen -> Ergebnis == keine Einträge die nicht dort hingehören würden


das nächste Programm was irgendwo empfohlen wurde war TrojanHunter

das Programm hat keine Trojaner gefunden, allerdings spuckte er diese Warnungen aus
Zitat:
TrojanHunter Warnungen

Port 31416/TCP is open (matches Lithium.100)
Port 31416/TCP is open (matches Lithium.101)
Port 31416/TCP is open (matches Lithium.102)
Port 31416/TCP is open (matches Lithium.103)

das Nächste war HijackThis, das logfile hab ich mit HijackThis Logfileauswertung ausgewertet, war eigentlich überall ein grüner Haken (außer zwei Fragezeichen, welche aber Notebook spezifische Treiber waren)

Zitat:
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Intel\Wireless\Bin\EvtEng.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
E:\Programme\Intel\Wireless\Bin\WLKeeper.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
E:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
E:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\RTHDCPL.EXE
E:\Programme\Java\jre6\bin\jusched.exe
E:\WINDOWS\MHotkey.exe
G:\Programme\Trojancheck 6\tcguard.exe
E:\WINDOWS\system32\ctfmon.exe
G:\Programme\DAEMON Tools Lite\daemon.exe
G:\Programme\OpenOffice.org 2.4\program\soffice.exe
E:\WINDOWS\CleGameKey\driver\ZClevoGKY.exe
G:\Programme\OpenOffice.org 2.4\program\soffice.BIN
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
E:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
E:\WINDOWS\system32\wbem\wmiapsrv.exe
E:\Programme\Versatel\Versatel.exe
G:\Programme\Azureus\Azureus.exe
G:\Programme\BOINC\boincmgr.exe
G:\Programme\BOINC\boinc.exe
G:\Programme\BOINC\projects\spin.fh-bielefeld.de\metropolis_3.12_windows_intelx86.exe
G:\CryptLoad_1.0.3\CryptLoad.exe
G:\Programme\BOINC\projects\qah.uni-muenster.de\Amolqc-preRC1_5.01_windows_intelx86.exe
G:\Programme\Mozilla Firefox\firefox.exe
g:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SMSERIAL] E:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] E:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LchGKey] E:\WINDOWS\LchGKey.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "E:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "E:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] G:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [THGuard] "G:\Programme\TrojanHunter 5.0\THGuard.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [SchedulingAgent] E:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "G:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = G:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208174183593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7E57F2B-831B-431C-BFE7-A0A8ADCC2A3B}: NameServer = 82.144.41.8 82.145.9.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - g:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - E:\Programme\Intel\Wireless\Bin\WLKeeper.exe

als Letztes habe ich dann noch Malwarebytes' Anti-Malware installiert

der über 4-stündige Scan brachte dieses Ergebnis
Zitat:
...\Lokale Einstellungen\Temp\bng2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
allerdings war nach löschen und Neustart das Ausgangsproblem immer noch ungelöst, sprich das Einwahlfenster kommt immer noch bei jedem Start, ein zweiter Scan brachte kein weitern Fund

so, das war's erstmal ... komm' irgendwie net weiter

Alt 19.02.2009, 16:37   #2
john.doe
 
Verdacht ... find' aber nix - Standard

Verdacht ... find' aber nix



Hallo und

Bitte klick auf den Link, lies alles aufmerksam und arbeite die Liste ab.
http://www.trojaner-board.de/69886-f...icherheit.html

ciao, andreas

p.s.: Beim nächsten HJT-Log bitte alles mitkopieren.
__________________


Antwort

Themen zu Verdacht ... find' aber nix
adobe, avira, bho, bonjour, cdburnerxp, computer, einstellungen, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, malware, malwarebytes' anti-malware, monitor, mozilla, object, plug-in, programm, rojaner gefunden, rundll, scan, server, system, temp, trojaner, trojaner gefunden, windows




Ähnliche Themen: Verdacht ... find' aber nix


  1. Great Find
    Plagegeister aller Art und deren Bekämpfung - 21.07.2015 (5)
  2. Find-All-You-Want.com entfernen
    Anleitungen, FAQs & Links - 17.02.2015 (2)
  3. Schrauber? Find ich gut!
    Lob, Kritik und Wünsche - 31.10.2014 (0)
  4. Key-Find.com entfernen
    Anleitungen, FAQs & Links - 17.03.2014 (2)
  5. virus wo find ich die
    Mülltonne - 02.09.2013 (0)
  6. Computer langsam, Internet schleppend - Verdacht ... aber was?
    Log-Analyse und Auswertung - 23.04.2013 (5)
  7. can not find dwlgina3.dll
    Log-Analyse und Auswertung - 03.02.2012 (33)
  8. Windows 7: can not find dwlgina3.dll
    Log-Analyse und Auswertung - 11.01.2012 (5)
  9. Nur ein Verdacht, aber ...
    Plagegeister aller Art und deren Bekämpfung - 23.05.2011 (2)
  10. Rootkit verdacht aber kann keine scanner installieren!
    Plagegeister aller Art und deren Bekämpfung - 23.01.2010 (16)
  11. Verdacht auf Trojaner - Aber wo und was?
    Log-Analyse und Auswertung - 22.09.2009 (3)
  12. AV meldet Vundo.gen259, find ihn aber nicht
    Log-Analyse und Auswertung - 27.08.2008 (2)
  13. Problem mit find.bat
    Log-Analyse und Auswertung - 20.07.2008 (13)
  14. verdacht auf virenbefall aber ich finde nix
    Plagegeister aller Art und deren Bekämpfung - 25.01.2006 (3)
  15. Verständnisproblem - Find.bat
    Lob, Kritik und Wünsche - 02.10.2005 (12)
  16. Find.bat
    Plagegeister aller Art und deren Bekämpfung - 15.05.2005 (2)

Zum Thema Verdacht ... find' aber nix - so, Tach erstmal, hier mein Verdachtsmoment also ich habe eine Einwahlsoftware um ins Internet zukommen, diese ist nicht im Autostart, aber seit einigen Tagen öffnet sich diese Einwahlfenster immer sofort - Verdacht ... find' aber nix...
Archiv
Du betrachtest: Verdacht ... find' aber nix auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.