|
Log-Analyse und Auswertung: 2 Trojaner aufm pc Turkojan und unbekannt :(Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.07.2009, 19:09 | #31 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( hier der neue In der Datei 'C:\programme\outlook express\xp14.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dialer.144691' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben |
22.07.2009, 19:20 | #32 | ||||
| 2 Trojaner aufm pc Turkojan und unbekannt :(Zitat:
Zitat:
Zitat:
Rufe den Taskmanager mit [Strg][Alt][Entf] auf => Klick auf Taskmanager => Karte Prozesse => Suche WindowsUpdate.exe => Mausklick rechts => Prozess beenden Lasse die Datei Zitat:
ciao, andreas
__________________ Geändert von john.doe (22.07.2009 um 19:29 Uhr) |
22.07.2009, 19:29 | #33 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( hier das malewarebytes log
__________________Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2479 Windows 5.1.2600 Service Pack 1 22.07.2009 20:39:40 mbam-log-2009-07-22 (20-39-36).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 224538 Laufzeit: 1 hour(s), 53 minute(s), 51 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Generic Host Process for Win32 Services (Backdoor.Bot) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Bifrost (Backdoor.Bifrose) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\WindowsMsgEx\WindowsUpdate.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\win32\svchost.exe (Backdoor.Bifrose) -> No action taken. Datei checked: Datei WindowsUpdate.exe empfangen 2009.07.22 18:34:20 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/41 (2.44%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 40 und 57 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.07.22 - AhnLab-V3 5.0.0.2 2009.07.22 - AntiVir 7.9.0.222 2009.07.22 - Antiy-AVL 2.0.3.7 2009.07.22 - Authentium 5.1.2.4 2009.07.22 - Avast 4.8.1335.0 2009.07.22 - AVG 8.5.0.387 2009.07.22 - BitDefender 7.2 2009.07.22 - CAT-QuickHeal 10.00 2009.07.22 - ClamAV 0.94.1 2009.07.22 - Comodo 1733 2009.07.22 - DrWeb 5.0.0.12182 2009.07.22 - eSafe 7.0.17.0 2009.07.21 - eTrust-Vet 31.6.6634 2009.07.22 - F-Prot 4.4.4.56 2009.07.22 - F-Secure 8.0.14470.0 2009.07.22 - Fortinet 3.120.0.0 2009.07.22 - GData 19 2009.07.22 - Ikarus T3.1.1.64.0 2009.07.22 - Jiangmin 11.0.800 2009.07.22 - K7AntiVirus 7.10.799 2009.07.22 - Kaspersky 7.0.0.125 2009.07.22 - McAfee 5684 2009.07.22 - McAfee+Artemis 5684 2009.07.22 - McAfee-GW-Edition 6.8.5 2009.07.22 - Microsoft 1.4903 2009.07.22 - NOD32 4267 2009.07.22 - Norman 6.01.09 2009.07.22 - nProtect 2009.1.8.0 2009.07.22 - Panda 10.0.0.14 2009.07.22 - PCTools 4.4.2.0 2009.07.22 - Prevx 3.0 2009.07.22 - Rising 21.39.24.00 2009.07.22 - Sophos 4.43.0 2009.07.22 Mal/GamePSW-C Sunbelt 3.2.1858.2 2009.07.21 - Symantec 1.4.4.12 2009.07.22 - TheHacker 6.3.4.3.372 2009.07.21 - TrendMicro 8.950.0.1094 2009.07.22 - VBA32 3.12.10.8 2009.07.22 - ViRobot 2009.7.22.1847 2009.07.22 - VirusBuster 4.6.5.0 2009.07.22 - weitere Informationen File size: 73729 bytes MD5...: 4456aea8dfde1edfc05d7fa85780ba54 SHA1..: 190967915cb31dd2ec6256662a464c577a48411a SHA256: 09f3073e334661f75e5e0ae0bf4afe0ee50448be29a983d69cd0a4321f1f9c63 ssdeep: 384:mXI2oVXstkGV7RGhVUxbCR4jV/AB9a6kH/W1xq3UZU9w1xq3UZU9kw:etkU7 LFW4pAB9EfUZU9qZU9/ PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x224b timedatestamp.....: 0x4853c0e8 (Sat Jun 14 13:00:24 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x176b 0x2000 5.02 dedc57697fa7b9189a307eb7d11812be .rdata 0x3000 0x10ca 0x2000 3.42 86b5561120136059778b8cb23148df2e .data 0x5000 0x4d4 0x1000 0.14 736e8bcc590ada821603a677ad2d0ab6 .rsrc 0x6000 0xbe0c 0xc000 4.37 ea973c4df23b679d7749055891235243 ( 6 imports ) > WININET.dll: InternetCloseHandle, FtpPutFileA, InternetConnectA, InternetOpenA > KERNEL32.dll: QueryPerformanceCounter, CreateThread, TerminateThread, Sleep, GetModuleHandleW, GetModuleFileNameA, GetSystemDirectoryA, CreateDirectoryA, CopyFileA, GetTickCount, TerminateProcess, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetStartupInfoW, InterlockedCompareExchange, InterlockedExchange, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime > USER32.dll: FindWindowA, GetAsyncKeyState, DefWindowProcW, KillTimer, EndPaint, BeginPaint, CreateWindowExW, RegisterClassExW, DispatchMessageW, TranslateMessage, GetMessageW, SetTimer, PostQuitMessage > ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegSetValueExA, RegOpenKeyExA > MSVCP80.dll: __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBDABV10@@Z, __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@ABV10@PBD@Z, __$_9DU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBD@Z, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@ABV01@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z > MSVCR80.dll: __p__commode, __p__fmode, __set_app_type, _crt_debugger_hook, _except_handler4_common, __CxxFrameHandler3, _controlfp_s, _invoke_watson, __3@YAXPAX@Z, fopen, fputs, fclose, fputc, atoi, __2@YAPAXI@Z, _unlock, _encode_pointer, __dllonexit, _lock, _onexit, _decode_pointer, _amsg_exit, __wgetmainargs, _cexit, _exit, _XcptFilter, exit, _wcmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - |
22.07.2009, 19:40 | #34 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( Bifrost ist auch ein RAT, der scheint euer komplettes Netzwerk gekapert zu haben. Den Rechner kannst du auch Neuaufsetzen. Lade die Datei bitte hoch und schicke mir den Link. Die Antivirenprogramme erkennen den nicht, ich werde die Datei an die AVP-Hersteller schicken, damit sie die in Zukunft erkennen. Du hast noch einen dritten Rechner erwähnt, den werden wir als nächstes kontrollieren. Erstelle zuerst die RSIT-Logs. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
22.07.2009, 19:41 | #35 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( scheiße müssen wir den rechner wirklich neu aufsetzen geht das nicht anders? |
22.07.2009, 19:43 | #36 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( Wir können es versuchen, aber das wird mindestens 3 Tage dauern, eher länger. Lasse erstmal alle Funde von Malwarebytes löschen, nachdem du die Datei hochgeladen hast. Deine Eltern sollen sich vorher aber das hier durchlesen: http://en.wikipedia.org/wiki/Bifrost_(trojan_horse) ciao, andreas
__________________ --> 2 Trojaner aufm pc Turkojan und unbekannt :( |
22.07.2009, 19:52 | #37 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( Oh ne der 3 PC is nich so wichtig der is sau alt da is garnix drauf den kann ich neu aufsetzen oder müssen wir da noch was entfernen? Geändert von Luky-XXL (22.07.2009 um 20:00 Uhr) |
22.07.2009, 19:59 | #38 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( Nein, wenn du den sowieso neuaufsetzt, dann brauchen wir daran nichts zu machen. Der Rechner deiner Eltern macht mir wirklich Sorgen, der ist total veraltet, die Software ist nicht gepflegt, das ist ein RAT drauf und deine Eltern betreiben Onlinebanking. Bitte sprich mit deinen Eltern und erkläre ihn die Situation. Der sollte wirklich dringendst neuaufgesetzt werden. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
22.07.2009, 20:01 | #39 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( Scheiße so blöd wie ich war seh ich grad das ich die dateien schon gelöscht hab??? Scheiße is das schlimm? Aber irg. wie hatt der 3. PC noch keine Viren???? Muss ich dann den 3 PC auch neu aufsetzen? Geändert von Luky-XXL (22.07.2009 um 20:08 Uhr) |
22.07.2009, 20:09 | #40 | ||
| 2 Trojaner aufm pc Turkojan und unbekannt :(Zitat:
Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
22.07.2009, 20:12 | #41 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( Sorry ne der 1 war meiner der 2 war der meiner Eltern und der 3 ist ein weiterer alter XPler der 98 war garnich im Netzwerk |
22.07.2009, 20:15 | #42 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( Logfile of random's system information tool 1.06 (written by random/random) Run by Besitzer at 2009-07-05 21:17:42 Microsoft Windows XP Home Edition Service Pack 2 System drive C: has 15 GB (78%) free of 19 GB Total RAM: 127 MB (9% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:18:07, on 05.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\DT\Sinus 1054 data\Wifiusb.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\RSIT.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\Besitzer.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ? O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe -- End of file - 2274 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360] "MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-08-04 1667584] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Sinus 1054 data WLAN Manager.lnk - C:\WINDOWS\Installer\{BC09EF51-99D1-4044-ABCB-D14839E38D79}\NewShortcut2.exe [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\Dokumente und Einstellungen\Besitzer\Desktop\Debbo v3.5\Debbo V3.5.exe"="C:\Dokumente und Einstellungen\Besitzer\Desktop\Debbo v3.5\Debbo V3.5.exe:*:Enabledebbo V3.5" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" ======List of files/folders created in the last 1 months====== 2009-07-05 21:17:42 ----D---- C:\rsit 2009-07-05 18:01:47 ----D---- C:\WINDOWS\LastGood 2009-07-05 17:59:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-07-05 17:59:13 ----D---- C:\Programme\Avira 2009-07-04 13:51:05 ----D---- C:\xxx 2009-07-03 23:04:10 ----A---- C:\WINDOWS\ntbtlog.txt 2009-06-29 03:01:38 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$ 2009-06-29 03:01:18 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$ 2009-06-29 03:00:56 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$ 2009-06-16 11:15:58 ----D---- C:\Programme\Evrsoft First Page 2006 ======List of files/folders modified in the last 1 months====== 2009-07-05 21:17:47 ----D---- C:\WINDOWS\Prefetch 2009-07-05 20:53:37 ----D---- C:\Programme\Mozilla Firefox 2009-07-05 18:07:12 ----D---- C:\WINDOWS\system32\CatRoot2 2009-07-05 18:02:08 ----D---- C:\WINDOWS\system32\drivers 2009-07-05 18:02:07 ----HD---- C:\WINDOWS\inf 2009-07-05 18:01:47 ----D---- C:\WINDOWS 2009-07-05 17:59:13 ----RD---- C:\Programme 2009-07-05 17:57:30 ----SHD---- C:\WINDOWS\Installer 2009-07-05 17:57:27 ----D---- C:\WINDOWS\WinSxS 2009-07-05 17:40:26 ----D---- C:\WINDOWS\system32 2009-07-05 17:40:26 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-07-03 23:03:10 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-07-03 17:48:21 ----SD---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft 2009-06-29 03:01:37 ----HD---- C:\WINDOWS\$hf_mig$ 2009-06-29 03:01:27 ----A---- C:\WINDOWS\imsins.BAK 2009-06-29 03:01:22 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-06-16 16:53:48 ----A---- C:\WINDOWS\system32\t2embed.dll 2009-06-16 16:53:48 ----A---- C:\WINDOWS\system32\fontsub.dll ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 P3;Intel PentiumIII-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\p3.sys [2004-08-04 46592] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640] R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.9; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2009-01-20 15781] R3 ati2mtaa;ati2mtaa; C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-04 327168] R3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2001-08-18 117760] R3 es1969;ESS 1969-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 72192] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 PCANDIS5;PCANDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS [] R3 PRISM_A02;Sinus 1054 data; C:\WINDOWS\system32\DRIVERS\PRISMA02.sys [2004-05-20 379456] R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480] S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] S3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2009-01-21 25280] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-05-11 185089] -----------------EOF----------------- |
22.07.2009, 20:16 | #43 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( info.txt logfile of random's system information tool 1.06 2009-07-05 21:18:14 ======Uninstall list====== -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf 7-Zip 4.65-->"C:\Programme\7-Zip\Uninstall.exe" Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Shockwave Player-->C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE Evrsoft First Page 2006-->"C:\Programme\Evrsoft First Page 2006\unins000.exe" HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe" /uninstall Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mozilla Firefox (3.0.11)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Sinus 1054 data-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{BC09EF51-99D1-4044-ABCB-D14839E38D79} Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" ======Security center information====== AV: AntiVir Desktop ======System event log====== Computer Name: RÖHRIG Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet. Record Number: 5 Source Name: Service Control Manager Time Written: 20090625152240.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: RÖHRIG Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet. Record Number: 4 Source Name: Service Control Manager Time Written: 20090625152240.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: RÖHRIG Event Code: 7036 Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt". Record Number: 3 Source Name: Service Control Manager Time Written: 20090625152240.000000+120 Event Type: Informationen User: Computer Name: RÖHRIG Event Code: 6005 Message: Der Ereignisprotokolldienst wurde gestartet. Record Number: 2 Source Name: EventLog Time Written: 20090625152215.000000+120 Event Type: Informationen User: Computer Name: RÖHRIG Event Code: 6009 Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free. Record Number: 1 Source Name: EventLog Time Written: 20090625152215.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: RÖHRIG Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst ContentIndex (ContentIndex) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 5 Source Name: LoadPerf Time Written: 20090119232011.000000+060 Event Type: Informationen User: Computer Name: RÖHRIG Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 4 Source Name: LoadPerf Time Written: 20090119232005.000000+060 Event Type: Informationen User: Computer Name: RÖHRIG Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 3 Source Name: LoadPerf Time Written: 20090119170156.000000+060 Event Type: Informationen User: Computer Name: RÖHRIG Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 2 Source Name: LoadPerf Time Written: 20090119170055.000000+060 Event Type: Informationen User: Computer Name: RÖHRIG Event Code: 1000 Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte. Record Number: 1 Source Name: LoadPerf Time Written: 20090119170053.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, GenuineIntel "PROCESSOR_REVISION"=0801 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "T-Sinus1054data_dir"=C:\Programme\DT\Sinus 1054 data\ -----------------EOF----------------- |
22.07.2009, 20:25 | #44 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( So ich geh dann auch mal ein bissl. fern schaun und vil. mein PC neuaufsetzen... Danke nochmal morgen werde ich dir die Datei per PM schicken cya und dicksten dank hau rein andreas |
22.07.2009, 20:27 | #45 |
| 2 Trojaner aufm pc Turkojan und unbekannt :( Das ist der einzige saubere Rechner, den ihr noch habt. Wenn deine Eltern Onlinebanking machen möchten, dann erstmal von dem. Von dem kannst du auch alle Kennwörter ändern. 1.) Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe 2.) Lade dir:
Packe die am besten auf einem Memorystick, du wirst sie bei allen 3 Rechnern brauchen. Stelle erst wieder die Verbindung zum Internet her, nachdem du SP3 installiert hast. Besuche umgehend mit dem MSIE das Microsoftupdate und führe alle Updates durch. 3.) Installiere beide Pakete schonmal auf dem 3. Rechner. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu 2 Trojaner aufm pc Turkojan und unbekannt :( |
adobe, auswerten, avira, bho, defender, desktop, explorer, fehler, firefox, firewall, hijack, hosten, internet, internet explorer, launch, mozilla, plug-in, programdata, programm, rundll, senden, software, system, trojaner, virus, vista, windows, wmp |