| |
| |||||||
Log-Analyse und Auswertung: Trojaner ProblemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.01.2010, 15:18
| #1 |
| |  Trojaner Problem Erstmal ein Herzliches Hallo an alle Hier  Hoffe ich mache jetzt alles richtig Betriebssystem: Windows 7 32-Bit Also ich hab folgendes Problem Diese beiden Meckert Avast immer beim Systemstart an: C:\Windows\System32\LorByj.exe Win32:Bredolab-BL [Trj] C:\Windows\System32\qwAxEz.exe Win32:Rootkit-gen [Rtk] Auch´nachdem beide in Karantäne stehen. Außerdem habe ich seit kurzem (Siet ca 2 Stunden) die exe zeena.exe unter den Prozessen, welcher den Prozessor zu 50% auslagert ( Mein Prozessor : 2 mal 3,33 GHZ Wenn ich versuche diesen zu beenden stürzt der Task Manager ab Habe eine Scan mit Malewarebytes Anti Maleware gemacht Ergebniss: Malwarebytes' Anti-Malware 1.43 Datenbank Version: 3468 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 08.01.2010 15:13:37 mbam-log-2010-01-08 (15-13-37).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 98567 Laufzeit: 2 minute(s), 44 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Users\Pan\AppData\Local\trevsL.dll (Trojan.Hiloti) -> Delete on reboot. C:\Windows\System32\spool\prtprocs\w32x86\CC33.tmp (Trojan.Dropper) -> Delete on reboot. Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ujurupalir (Trojan.Hiloti) -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\Pan\AppData\Local\trevsL.dll (Trojan.Hiloti) -> Delete on reboot. C:\Windows\System32\spool\prtprocs\w32x86\CC33.tmp (Trojan.Dropper) -> Delete on reboot. C:\Users\Pan\AppData\Local\Temp\CD0F.tmp (Trojan.Dropper) -> Quarantined and deleted successfully. Bei denen er einen Neustart verlangt, und ich auf weiter klicke stürzt auch diese Programm ab. Hier der Scan von Hijack This: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:08:35, on 08.01.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Analog Devices\SoundMAX\SoundMAX.exe C:\Windows\system32\taskhost.exe C:\Program Files\Alwil Software\Avast4\ashDisp.exe C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe D:\Programme\Winamp\winampa.exe D:\Programme\iTunes\iTunesHelper.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Users\Pan\zeena.exe C:\Windows\system32\svchost.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Windows\System32\rundll32.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Windows\system32\rstrui.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: 91.121.221.171 thepiratebay.org O1 - Hosts: 91.121.221.171 www.thepiratebay.org O1 - Hosts: 91.121.221.171 thepiratebay.org O1 - Hosts: 91.121.221.171 www.thepiratebay.org O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\soundmax.exe /tray O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [lauegaf] C:\Users\Pan\lauegaf.exe O4 - HKCU\..\Run: [zeena] C:\Users\Pan\zeena.exe O4 - HKCU\..\Run: [Ujurupalir] rundll32.exe "C:\Users\Pan\AppData\Local\trevsL.dll",Startup O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - Startup: 306313.lnk = Pan\AppData\Local\Temp\nvscv.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- End of file - 6297 bytes Hoffe jemand kann helfen  |
|
10.01.2010, 13:53
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojaner Problem Hallo,
__________________mit Malwarebytes bitte immer mit aktuellen Signaturen einen vollständigen Durchlauf machen! Du hast nur den Quickscan gemacht! Bitte erstelle Logfiles mit RSIT und poste diese.
__________________ |
|
10.01.2010, 14:38
| #3 |
| | Trojaner Problem Hat sich schon erledigt
__________________Habs mit 3 Avast Scans und nem Trojaner entfernungsporgramm hinbekommen |
|
10.01.2010, 14:53
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner Problem Du sollst die Tools ausführen und die Logs posten 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Trojaner Problem |
| adobe, anti maleware, antivirus, avast, avast!, bho, excel, explorer, firefox, hijack, hijack this, hijackthis, local\temp, microsoft, monitor, mozilla, neustart, nvidia, plug-in, problem, programm, programme, prozesse, registrierungsschlüssel, rundll, scan, software, temp, trojan.dropper, trojan.hiloti, trojaner, windows |
Linear-Darstellung
