| |
| |||||||
Log-Analyse und Auswertung: merkwürdiger TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
06.09.2004, 07:39
| #1 |
| |  merkwürdiger Trojaner Hab einen Trojaner (Downloader.delf.3.L) den mein Antivirus Programm zwar gelöscht hat, der aber immer wieder kommt obwohl ich nichts mache. Hier mein HijackThis log: Logfile of HijackThis v1.97.7 Scan saved at 08:36:20, on 06.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\WINDOWS\system32\netdde.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\Programme\eMule\emule.exe C:\hijackthis\hijackthis.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [2D5A3B68] C:\WINDOWS\System32\mrpmgesgkb.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [Microsoft Windows Update] wupdate.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [6EC5FE36] C:\WINDOWS\System32\mrpmgesgkb.exe O4 - HKLM\..\RunServices: [Microsoft Windows Update] wupdate.exe O4 - HKCU\..\Run: [Microsoft Windows Update] wupdate.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url] O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab |
|
06.09.2004, 08:09
| #2 |
  | merkwürdiger Trojaner Hallo lagwagon,
__________________prüfe mit dem online-scan von Kaspersky: C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\mrpmgesgkb.exe Bitte im abgesicherten Modus mit Hijack This fixen: O4 - HKLM\..\Run: [Microsoft Windows Update] wupdate.exe O4 - HKLM\..\RunServices: [Microsoft Windows Update] wupdate.exe O4 - HKCU\..\Run: [Microsoft Windows Update] wupdate.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab Lade Dir bitte - entsprechend der Anleitung - den eScan runter, update ihn online und führe ihn offline aus. Teile uns dann bitte das Ergebnis mit incl. Namen der Viren: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: =>Total Number of Errors: Lade Dir bitte die aktuelle Version (v1.98.2) von Hijack This runter: http://www.trojaner-board.de/51130-a...ijackthis.html, erstelle damit ein neues Logfile und poste es hier im Forum. SD Geändert von Shadowdance (06.09.2004 um 08:16 Uhr) |
|
06.09.2004, 09:44
| #3 |
| | merkwürdiger Trojaner Online prüfung mit Kaspersky
__________________C:\WINDOWS\system32\slserv.exe ist OK C:\WINDOWS\System32\mrpmgesgkb.exe die Datei hab ich nicht im System32 Ordner gefunden und die Such-Funktion von Windows hat die auch nichts gefunden. escan: Total Numbers of Files Scanned 2366 Total Number of Virus(es) Found 2 Total Number of Disinfected Files 0 Total Number of Deleted Files 2 Total Number of Files Renamed 0 Total Number of Errors 4 File C:\Windows\baddom3.exe infected by "Trojan.Win32.Dissec.a" Virus - deleted File C:\Windows\fame1.exe infected by "Trojan.Win32.Small.v" Virus - deleted hijack this log: Logfile of HijackThis v1.98.2 Scan saved at 10:47:23, on 06.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\flo\Desktop\hijackthis1982\HijackThis.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime |
|
06.09.2004, 10:03
| #4 |
 | merkwürdiger Trojaner Welches Motherboard verwendest du? Ist das tatsächlich das ganze Log, das scheint arg kurz zu sein. |
|
06.09.2004, 10:19
| #5 |
| | merkwürdiger Trojaner Hallo lagwagon, ich habe den Virus versucht zu finden, er steht bei google unter einem anderen Namen, ich nehme aber an, dass es sich dabei um den gleichen Virus handelt: Dropper.Delf.3.L In einem französischen Forum wird empfohlen bei auftauchen dieses Virus den online-scan bei http://www.pandasoftware.com/activescan/ oder http://www.ravantivirus.com/scan/ zu machen, es scheint zu helfen. In einem niederländischen Forum fand ich den Hinweis, dass dieser Virus unter "c://temp" zu finden ist. Man soll im abgesicherten Modus folgende Datei löschen: => C://temp//bdl74125.exe, notfalls "c://temp" leeren. Die User in beiden Foren schildern die gleichen Probleme wie Du. SD |
|
06.09.2004, 10:44
| #6 |
| | merkwürdiger Trojaner ... man muss nur lang genug suchen ;-) Es scheint sich um einen relativ neuen Trojaner zu handeln, der zur Familie Troj/Delf-.. gehört. Sophos kennt eine ganze Menge davon und gibt zu einem Spross dieser Familie folgende Beschreibung: Troj/Delf-DW Somit wissen wir schon wieder etwas mehr. SD |
|
06.09.2004, 11:26
| #7 |
| | merkwürdiger Trojaner Hallo shadowdance. Erstmal vielen dank für die ganze Mühe. Ich hab nur einen Temp ordner im Windows Menü und da ist die Datei von dem in dem niederländischen Forum die Rede war nicht drin. Den Panda ActiveScan 5.01 hab ich gemacht und der hat 9 infizierte Dateien gefunden und gelöscht mir aber nicht gesagt was das war was er da gefunden wurde. Der andere Online scanner konnte nur einzelne Dateien scannen. Ich schätze mal die HijackThis Log war so kurz weil sie aus dem abgesicherten modus stammt. Der Rechner ist ein FujitsuSiemens Notebook mit einem mobile AMD Athlon XP 3000+ Prozessor. Keine Ahnung auf was für nem Board der ist. Die AVG-Shield-Fehlermeldung mit dem Trojaner kommt übrigens immer nachdem ich den Bildschirmschoner deaktiviere. Vielleicht hat Panda den ja jetzt gelöscht. |
|
06.09.2004, 11:31
| #8 |
| | merkwürdiger Trojaner wohin muss ich denn die ide datei von sophos kopieren? |
|
06.09.2004, 11:48
| #9 |
| | merkwürdiger Trojaner Dann erstelle bitte mal ein Logfile aus dem normalen Modus. Panda hat sicher auch eine Logdatei in der du nachsehen kannst, was gelöscht wurde. Die Sophos-Datei nützt dir nichts, wenn du nicht deren Scanner benutzt, das ist nur ein Update für die Virensignaturen. Lässt du dir auch alle Dateien anzeigen inklusive Systemdateien und -ordner? Das musst du in den Ordneroptionen erst aktivieren. |
|
06.09.2004, 12:10
| #10 | |
| | merkwürdiger TrojanerZitat:
Ich glaube der Virus ist weg, denn normalerweise kam die warnung immer nachdem mein Spongebob schwammkopf Bildschirmschoner deaktiviert wurde und jetzt nicht mehr. ich glaube Panda hat den gekillt. Hier nnur so noch mal das Hijacklog im normalen modus direkt nach nem Neustart. Vielen Dank! Logfile of HijackThis v1.98.2 Scan saved at 13:02:22, on 06.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\netdde.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\Dokumente und Einstellungen\flo\Desktop\hijackthis1982\HijackThis.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab |
|
| Themen zu merkwürdiger Trojaner |
| antivirus, avg, boot, check, dumprep, explorer, gelöscht, hijack, hijackthis, hijackthis log, immer wieder, internet, internet explorer, java, log, microsoft, nichts, object, programm, programme, shockwave, sun java, system, system32, tools, trojane, trojaner, windows, windows update, windows xp |
Linear-Darstellung
