|
Log-Analyse und Auswertung: Nerviger Trojaner TR/Iceroe.128000AWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.03.2009, 19:26 | #1 |
| Nerviger Trojaner TR/Iceroe.128000A Seit einiger Zeit dauert es bei mir ewig, bis mein Rechner hochgefahren ist. Er will sich nicht defragmentieren lassen (bleibt bei etwa 70% stehen und hängt dann wie verrückt) und minimiert Programme im die im Vollbildmodus laufen in Abständen von ca. 10-15 Minuten. Vorhin habe ich mir auf Empfehlung eines Freundes mal Avira gezogen, durchlaufen und einige Viren löschen lassen. Nun bekomme ich immer wieder Meldungen wie 'In der Datei 'C:\WINDOWS\system32\.6706716b8f1f1c36\6706716b8f1f1c36.core.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Iceroe.128000A' [trojan] gefunden.'. Im Internet habe ich nichts darüber gefunden, löschen lässt es sich bisher nicht. Hier mein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:16:51, on 22.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\sstray.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by119fd.bay119.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140872078265 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140872061390 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=1202938681 O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe |
22.03.2009, 19:30 | #2 |
| Nerviger Trojaner TR/Iceroe.128000A Lass mal bitte Malwarebytes drüberlaufen und poste das log hier.
__________________Arbeite halt genau das ab, was hier unter Punkt 2 aufgelistet wird: http://www.trojaner-board.de/69886-a...-beachten.html Hat die Überschrift "Bitte diese Programme nacheinander ausführen:"
__________________ |
22.03.2009, 21:27 | #3 |
| Nerviger Trojaner TR/Iceroe.128000A Dein System ist höchstwahrscheinlich von einem "Zbot" befallen, vermeide unbedingt Onlinebanking, Ebay und andere Onlineaktivitäten an diesem Rechner, am besten du gehst von einem anderen Rechner Online, solange es nicht klar ist.
__________________Lade "C:\Windows\System32\twext.exe" bei VirusTotal.com oder Jotti.org hoch. Wenn es der ZBot ist, solltest du möglichst bald Neuaufsetzen und vorher deine Daten sichern. Befolge erstmal die Anweisungen von Angel21 und führe im Anschluss SUPERAntiSpyware aus, damit du erstmal mit dem Rechner vernünftig arbeiten kannst. Versuch aber dann, wenn du die Möglichkeit hast, all deine Onlinepasswörter zu ändern und zwar von einem sauberen Rechner aus. Poste hier alle Logs, von den Programmen, die du benutzt. |
23.03.2009, 01:47 | #4 |
| Nerviger Trojaner TR/Iceroe.128000A Vielen Dank vorab schonmal für eure raschen Antworten. Nach sechs Stunden und fünf Minuten bin ich jetzt mit Malwarebytes durch. Die anderen Programme werde ich gleich auchnoch runterladen und laufen lassen, hier habt ihr aber erstmal den Log: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1885 Windows 5.1.2600 Service Pack 3 23.03.2009 01:43:46 mbam-log-2009-03-23 (01-43-46).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 172636 Laufzeit: 6 hour(s), 5 minute(s), 5 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Dokumente und Einstellungen\*******\Desktop\Weisseradler-Script 1.071\Weisseradler-Script.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINDOWS\wr.txt (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\myalbum2007.zip (Backdoor.Bot) -> Quarantined and deleted successfully. |
23.03.2009, 13:06 | #5 |
| Nerviger Trojaner TR/Iceroe.128000A Mit SUPERAntiSpyware bin ich nun auch durch, hier der Log: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 03/23/2009 at 11:51 AM Application Version : 4.25.1014 Core Rules Database Version : 3809 Trace Rules Database Version: 1763 Scan type : Complete Scan Total Scan Time : 09:39:04 Memory items scanned : 437 Memory threats detected : 0 Registry items scanned : 6026 Registry threats detected : 1 File items scanned : 103871 File threats detected : 3 Trojan.NewDotNet HKU\S-1-5-21-1390067357-261903793-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E} Trojan.Downloader-Gen/A C:\PROGRAMME\EBESUCHER RESTARTER\A.EXE C:\PROGRAMME\MOZILLA FIREFOX\A.EXE RelevantKnowledge Spyware Component C:\SYSTEM VOLUME INFORMATION\_RESTORE{15433C11-EE0A-4EB0-83C5-BD01FB7E5CD5}\RP774\A0599773.DLL |
23.03.2009, 13:08 | #6 |
| Nerviger Trojaner TR/Iceroe.128000A Das sieht sehr schlecht aus, du solltest wirklich Neuaufsetzen und zwar möglichst bald. Diese Backdoorinfektion ist übel und zudem wohl schon länger auf deinem System, denn du sagtest ja, dass es seit einiger Zeit so ist. Bevor du neuinstallierst, sichere deine Daten. Allerdings keine ausführbaren Dateien. Lese dir die Anleitung zum Neuaufsetzen gut durch. Avira hast du ja bereits. Mach ein Update, stelle die Einstellungen auf Aggressiv und lass ALLE deine Partitionen scannen. Dies machst du, bevor du deine Daten sicherst. Mbr.exe Lade dir Mbr.exe und speichere sie auf dem Desktop. Mbr.exe prüft deinen Master Boot Record auf Viren. Wenn dort folgendes steht: Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user kernel MBR OK Combofix Lade dir schonmal Combofix Dort ist ein Leitfaden, wie es benutzt wird. Führe es noch nicht aus, mach das erst kurz bevor du mit dem Neuaufsetzen beginnst und du alles gesichert hast. (Wichtig ist, dass du alle Laufwerke, Cams, Mp3-Player etc. Anschließt, bevor du es startest). Damit werden weitere mögliche Wiederinfektionen durch Autorunviren verhindert. mfg, Kaos |
23.03.2009, 13:17 | #7 |
| Nerviger Trojaner TR/Iceroe.128000A Machst du Onlinebanking, Ebay oder ähnliches? Der Zbot stiehlt Passwörter und andere sensible Informationen. Deshalb ist es wichtig, alle Passwörter zu ändern. |
23.03.2009, 13:29 | #8 |
| Nerviger Trojaner TR/Iceroe.128000A kurz reinspring Wenn du Onlinebanking, eBay, Amazon etc betreibst und du stellst Auffälligkeiten fest, bitte sofort die bank informieren und das Konto sperren lassen. Deine Datentransfers können mitgelesen werden! rausspring mit dem Tipp am Rande Ich drücke Dir die Daumen
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
23.03.2009, 13:32 | #9 |
| Nerviger Trojaner TR/Iceroe.128000A Nein, Onlinebanking und Ähnliches mache ich hier nicht. Mein Log von Mbr.exe sieht genau aus wie der unten, Avira lasse ich gleich nochmals durchlaufen. Neuaufsetzen ist eher schlecht.. Das hätte ich längst gemacht, wenn ich meine Daten irgendwo sichern könnte, für CDs etc. sind es wohl leider zu viele. Daher wäre ich euch dankbar, wenn ich es mit eurer Hilfe anders in den Griff bekommen könnte. |
23.03.2009, 14:00 | #10 |
| Nerviger Trojaner TR/Iceroe.128000A Meiner Meinung nach kommt hier nur eine Neuinstallation in Frage, denn dein System ist nicht mehr vertrauenswürdig (Technische Kompromittierung). Wenn du keine Möglichkeit hast, deine Daten zu sichern, dann gehe nur noch online, wenn es notwendig ist, bis du halt deine Daten sichern kannst. Auch wenn alle Infektionen beseitigt sind, ist es nicht sicher, das nicht noch irgendwas auf dem Rechner ist, was dort nicht hingehört. Superantispyware und Malwarebytes finden eine ganze Menge an Schadsoftware, aber eben nicht alles. Rootkitsuche mit Gmer Lade dir bitte gmer von gmer.net. Beende alle Programme und trenne dich vom Internet. Enpacke GMER auf dem Desktop, starte es und klicke auf Scan. Die Logfile lädst du bei http://www.materialordner.de/ hoch und postest den Link. Ich denke nicht, das da noch ein Rootkit bei ist, aber man kann ja nie wissen, ob noch weiterer Mist nachgeladen wurde. Ich hoffe mal, das du bald deine Daten sichern kannst, um wieder sicher am PC arbeiten zu können. mfg, Kaos |
Themen zu Nerviger Trojaner TR/Iceroe.128000A |
adobe, antivir, antivir guard, avira, bho, desktop, firefox, google, hijack, hijackthis, hängt, immer wieder, internet, internet explorer, logfile, mozilla, object, plug-in, software, symantec, system, trojan, trojaner, tuneup.defrag, userinit.exe, viren, virus, vollbildmodus, windows, windows xp |