|
Log-Analyse und Auswertung: Trojaner Befall! z.B Backdoor.win32.Agent.ichWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.01.2010, 17:10 | #1 |
| Trojaner Befall! z.B Backdoor.win32.Agent.ich Ich vermute mal das ich Viren und Trojaner auf dem Laptop habe. Auf einmal funktioniert Antivir nicht mehr und andauernd kommt da etwas wo High-Risk steht und mich dazu fordert ein Programm(Security Center Alert) zu kaufen. Wie gesagt funktioniert Antivir nicht mehr und ist auch völlig weg vom laptop. Auf anderen Foren habe ich die HijackThis programm empfohlen bekommen und habe es auch ausgeführt nun bräuchte ich einen Profi der mir mein Logfile anguckt und bescheid sagt was ich dort löschen muss. Ich danke schonmal im Vorraus und liebe Grüße. Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 16:36:43, on 05.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\TEMP\settdebugx.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\TEMP\wscsvc32.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [settdebugx.exe] C:\WINDOWS\TEMP\settdebugx.exe O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5335 bytes Es wäre super nett von euch wenn das schnell ginge. |
06.01.2010, 00:31 | #3 |
| Trojaner Befall! z.B Backdoor.win32.Agent.ich Hey danke dir dass du mir hilfst
__________________Hab alles gemacht in den Zip-Ordnern sind html und xml Dateien wenn ich drauf klicke kommt in Internetexplorer eine Tabelle. Wie poste ich dir alles? rüber? Bin ganz neu hier musst du verstehen. Frauen und Technik das wird schon. |
06.01.2010, 06:32 | #4 |
/// AVZ-Toolkit Guru | Trojaner Befall! z.B Backdoor.win32.Agent.ich In der Anleitung unter Punkt #9 wird beschrieben wie du die beiden .zip Archive an deinen nächsten Post anhängen kannst.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
07.01.2010, 00:32 | #5 |
| Trojaner Befall! z.B Backdoor.win32.Agent.ich Hier ist das was du von mir wolltest. Hoffe es bringt dich weiter. |
07.01.2010, 10:21 | #6 | |
/// AVZ-Toolkit Guru | Trojaner Befall! z.B Backdoor.win32.Agent.ich Führe bitte folgendes Skript mit AVZ aus: Zitat:
__________________ --> Trojaner Befall! z.B Backdoor.win32.Agent.ich |
07.01.2010, 17:18 | #7 |
| Trojaner Befall! z.B Backdoor.win32.Agent.ich sorry ich steig da nicht durch. ich brauche schritte wie ich das ausführen soll :S |
07.01.2010, 17:53 | #8 |
/// AVZ-Toolkit Guru | Trojaner Befall! z.B Backdoor.win32.Agent.ich Steht in der Anleitung zu AVZ alles Schritt für Schritt drinn... Weiter unten unter Ausführen von Bereinigungs-Skripten.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
09.01.2010, 15:28 | #9 |
| Trojaner Befall! z.B Backdoor.win32.Agent.ich Diese eckligen Meldungen kommen nicht mehr. Ist mein Pc jetzt wieder rein von diesen ganzen Trojanern Würmern und Viren?? |
09.01.2010, 15:30 | #10 | |
/// AVZ-Toolkit Guru | Trojaner Befall! z.B Backdoor.win32.Agent.ich Starte den Rechner bitte neu und estelle zwei neue AVZ logs. AVZ scheint sich da etwas verheddert zu haben.... EDIT führe bitte vorher noch dieses Skript aus: Zitat:
Danach poste zwei frische AVZ logs.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
09.01.2010, 16:48 | #11 |
| Trojaner Befall! z.B Backdoor.win32.Agent.ich okay hab alles gemacht was du gesagt hast hier die logs |
09.01.2010, 16:53 | #12 |
/// AVZ-Toolkit Guru | Trojaner Befall! z.B Backdoor.win32.Agent.ich Das sieht besser aus aber das log gefällt mir nicht. Da ist immer noch was nicht ganz sauber. Poste bitte ein GMER log.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
09.01.2010, 18:51 | #13 |
| Trojaner Befall! z.B Backdoor.win32.Agent.ich hier hat etwas lange gedauert: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-09 18:42:15 Windows 5.1.2600 Service Pack 3 Running: gvgekjnz.exe; Driver: C:\WINDOWS\TEMP\pxtdypow.sys ---- System - GMER 1.0.15 ---- SSDT B3A4BA86 ZwCreateKey SSDT B3A4BA7C ZwCreateThread SSDT B3A4BA8B ZwDeleteKey SSDT B3A4BA95 ZwDeleteValueKey SSDT B3A4BA9A ZwLoadKey SSDT B3A4BA68 ZwOpenProcess SSDT B3A4BA6D ZwOpenThread SSDT B3A4BAA4 ZwReplaceKey SSDT B3A4BA9F ZwRestoreKey SSDT B3A4BA90 ZwSetValueKey SSDT B3A4BA77 ZwTerminateProcess ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTpvbubndjnl.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTgwujnkrfuf.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTordrmskklt.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTxqoirmtdrx.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTtbstmjcjao.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTpvbubndjnl.sys Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTgwujnkrfuf.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTordrmskklt.dat Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTxqoirmtdrx.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTtbstmjcjao.dll Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0AiLeM\xb0 1 Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0ArKiLeR\xb0 0 ---- EOF - GMER 1.0.15 ---- |
09.01.2010, 20:21 | #14 | ||
/// AVZ-Toolkit Guru | Trojaner Befall! z.B Backdoor.win32.Agent.ich Öffne bitte gmer. Oben links findest du einen Reiter der etwa so aussieht: Zitat:
Wähle den Reiter cmd aus. Dann kopiere bitte in das schwarze obere Feld folgendes rein: Zitat:
Der Rechner startet neu. Räume mit dem CCleaner auf und poste ein frisches GMER log.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
10.01.2010, 09:13 | #15 |
| Trojaner Befall! z.B Backdoor.win32.Agent.ich Hier ist der neue GMER Log GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-10 09:04:57 Windows 5.1.2600 Service Pack 3 Running: gvgekjnz.exe; Driver: C:\WINDOWS\TEMP\pxtdypow.sys ---- System - GMER 1.0.15 ---- SSDT B4237E2E ZwCreateKey SSDT B4237E24 ZwCreateThread SSDT B4237E33 ZwDeleteKey SSDT B4237E3D ZwDeleteValueKey SSDT B4237E42 ZwLoadKey SSDT B4237E10 ZwOpenProcess SSDT B4237E15 ZwOpenThread SSDT B4237E4C ZwReplaceKey SSDT B4237E47 ZwRestoreKey SSDT B4237E38 ZwSetValueKey SSDT B4237E1F ZwTerminateProcess ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- Registry - GMER 1.0.15 ---- Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0AiLeM\xb0 1 Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0ArKiLeR\xb0 0 ---- EOF - GMER 1.0.15 ---- |
Themen zu Trojaner Befall! z.B Backdoor.win32.Agent.ich |
acroiehelper.dll, adobe, alert, antivir, auf einmal, bho, bonjour, browseui preloader, explorer, google, hijack, hijackthis, internet, internet explorer, logfile, malware, pdf, plug-in, programm, programme, rundll, security, software, super, system, temp, trojaner, trojaner befall, trojaner hilfe virus, viren, windows, windows xp, windows\temp |