Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: befallene dateien löschen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 31.01.2010, 17:55   #1
aina
 
befallene dateien löschen? - Standard

befallene dateien löschen?



hallo,

folgendes problem:
firefox lief freitag nicht mehr, im fenster stand, es sei abgestürzt. antivir hat dann zwei schädlinge gefunden. hab die in quarantäne geschoben & gelöscht, auch die dateien, in denen antivir die dinger gefunden hatte. firefox neu installiert, ging trotzdem nicht. logfile erstellt und auf highjackthis.de auswerten lassen. es wurden zwei schädliche dateien gefunden und einige unbekannte mit ähnlichem namen. habe dann alles komplett formatiert, vorher allerdings meine eigenen dateien auf eine externe festplatte gezogen. nach dem formatieren die eigenen dateien dann wieder zurück auf den pc. es läuft so weit alles einwandfrei.
nun habe ich aber erneut ein logfile erstellt und auswerten lassen, es sind wieder zwei schädliche dateien und einige unbekannte dabei. heißt das jetzt, dass die viren/ würmer (??) in den eigenen dateien waren (also nun auch auf der externen festplatte)? und was kann ich jetzt tun? bringt es was, über highjack this die schädlichen/ unbekannten dateien zu löschen?

hier das logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:19, on 31.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\mom.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\DEUTSCH\APPS\REG\REGISTER.EXE
C:\Programme\Winamp\eMusic\eMusicClient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_2] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmnetmgr.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_3] C:\WINDOWS\system32\regsvr32 /s /u "C:\WINDOWS\system32\wmv8dmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_4] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmvdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_5] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmvdmoe2.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_6] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmadmoe.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_7] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmspdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_8] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmspdmoe.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_9] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmsdmoe.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_10] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmsdmoe2.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_20] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmadmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_21] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\mpg4dmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_22] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\mp43dmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_23] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\mp4sdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_24] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmsdmod.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_30] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\laprxy.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_31] "C:\WINDOWS\system32\logagent.exe" /RegServer
O4 - HKLM\..\RunOnce: [OE_WMPWMFSDK_Install_32] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmvcore.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_1] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\drmstor.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_2] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\drmclien.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_4] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\drmv2clt.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_5] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\blackbox.dll"
O4 - HKLM\..\RunOnce: [OE_WMPDRM_Install_6] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\msnetobj.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_0] C:\WINDOWS\INF\unregmp2.exe /MigrateLibrary
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_1] "C:\Programme\Windows Media Player\migrate.exe" /s
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_2] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmp.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_8] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmpshell.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_9] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmpasf.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_10] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\wmpdxm.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_11] C:\WINDOWS\system32\regsvr32 /s "C:\Programme\Windows Media Player\mpvis.dll"
O4 - HKLM\..\RunOnce: [OE_WMPWMDM_Install_7] C:\WINDOWS\system32\regsvr32 /s C:\WINDOWS\system32\mspmsnsv.dll
O4 - HKLM\..\RunOnce: [OE_WMPWMP7_Install_20] C:\WINDOWS\INF\unregmp2.exe /Shortcuts /RegExts
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs"
O4 - HKCU\..\RunOnce: [TSClientAXDisabler] cmd.exe /C "%systemroot%\Installer\TSClientMsiTrans\tscdsbl.bat"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

--
End of file - 7919 bytes


danke schonmal für jede hilfe, bin grad am rand der verzweiflung (auch, weil die externe festplatte nur geliehen ist...).

Alt 31.01.2010, 20:14   #2
MalwareHero
 
befallene dateien löschen? - Standard

befallene dateien löschen?



Zitat:
Zitat von aina Beitrag anzeigen
hallo,

habe dann alles komplett formatiert, vorher allerdings meine eigenen dateien auf eine externe festplatte gezogen. nach dem formatieren die eigenen dateien dann wieder zurück auf den pc.
Da kann es passiert sein, dass du die Viren/Malware auch wieder mit "gezogen hast" Beachte bitte dieses bei Datenrettung:
http://www.trojaner-board.de/75455-b...mitierung.html

Auszug:

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Zitat:
danke schonmal für jede hilfe, bin grad am rand der verzweiflung (auch, weil die externe festplatte nur geliehen ist...).

> Lade dir Malwarebytes runter und scanne deinen PC, poste dann das Log hier zur Ansicht.

lg.
__________________


Alt 01.02.2010, 21:57   #3
aina
 
befallene dateien löschen? - Standard

befallene dateien löschen?



hab ich gemacht, hier der bericht. ein fund wurde erfolgreich gelöscht, dann sollte jetzt auf dem pc selbst alles wieder ok sein, oder?
wenn ich nun aber die externe festplatte wieder anschließe um zu schauen, ob da noch was verdächtiges drauf ist, wie mach ich das dann am besten oder sichersten? kann sich da einfach nur durchs anschließen was übertragen?

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3674
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.02.2010 21:49:50
mbam-log-2010-02-01 (21-49-50).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 171337
Laufzeit: 56 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{A6102762-0594-4937-BBFD-39CBD8E4646E}\RP21\A0003850.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
__________________

Alt 01.02.2010, 23:45   #4
aina
 
befallene dateien löschen? - Standard

befallene dateien löschen?



ach, ganz vergessen dazu zu sagen:
hatte gestern schon über hijack die infizierten dateien gelöscht.

Alt 02.02.2010, 19:29   #5
MalwareHero
 
befallene dateien löschen? - Standard

befallene dateien löschen?



Zitat:
Zitat von aina Beitrag anzeigen
hab ich gemacht, hier der bericht. ein fund wurde erfolgreich gelöscht, dann sollte jetzt auf dem pc selbst alles wieder ok sein, oder?
Das kann man noch nicht sagen.

Zitat:
wenn ich nun aber die externe festplatte wieder anschließe um zu schauen, ob da noch was verdächtiges drauf ist, wie mach ich das dann am besten oder sichersten? kann sich da einfach nur durchs anschließen was übertragen?
Ich fürchte, diese zweite, externe Festplatte enthält verseuchte Dateien. Bitte bei allen Scanns alle Wechselmedien immer anschliessen. War diese Festplatte angeschlossen als Malwarebytes gescannt hatte?
Wenn nicht führe den Scann ein zweites Mal durch und schliesse die Festplatte davor an.

Zitat:
ach, ganz vergessen dazu zu sagen:
hatte gestern schon über hijack die infizierten dateien gelöscht.
> Welche Dateien? Gebe bitte die Pfade an.
> Mit HijackThis kann man Malware entdecken, nicht aber entfernen.

Wir werden dein System auf Rootkits untersuchen:

Lade dir SD fix von hier runter:
http://downloads.andymanchesta.com/R...ools/SDFix.zip

Führe es nun nach dieser Anleitung aus:

SDFix.zip entpacken

es erscheint folgende Meldung:
"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory
typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus
(die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

"RunThis.bat" doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten

kopiere mit der rechten Maustaste den Text ab, der erscheint - und poste das Log hier.

lg.


Antwort

Themen zu befallene dateien löschen?
adobe, antivir, antivir guard, auswerten, avira, bho, desktop, excel, explorer, externe festplatte, festplatte, firefox neu, highjack this, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, löschen?, mozilla, pdf, problem, software, system, usb, windows, windows xp




Ähnliche Themen: befallene dateien löschen?


  1. Eset Virenscan meldet befallene Website
    Plagegeister aller Art und deren Bekämpfung - 07.11.2014 (3)
  2. Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien
    Plagegeister aller Art und deren Bekämpfung - 14.09.2013 (13)
  3. Löschen von Dateien aus ProgramData
    Alles rund um Windows - 15.08.2013 (4)
  4. Viren befallene Festplatte Daten retten
    Alles rund um Windows - 11.03.2013 (10)
  5. TR/kazy.mekml.1 befallene Dateien gelöscht, dennoch nicht alles beim Alten
    Log-Analyse und Auswertung - 23.05.2011 (18)
  6. Gibt es Antivirenprogramme die befallene Dateien reparieren und nicht nur verschieben?
    Diskussionsforum - 20.09.2010 (3)
  7. Befallene WMPLAYER.EXE auf USB-Stick: W32/Virut.Gen
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (6)
  8. Log-Dateien löschen?!
    Mülltonne - 30.10.2008 (0)
  9. Befallene dateien vom trojanischen Pferd befreien
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (7)
  10. Dateien mit syntaxfehler löschen
    Alles rund um Windows - 26.08.2008 (14)
  11. Dateien mit der Endung dll löschen
    Alles rund um Windows - 11.02.2008 (8)
  12. Temp Dateien Löschen
    Alles rund um Windows - 23.12.2007 (7)
  13. Quarantäne-Dateien (72 Stk.) löschen?
    Antiviren-, Firewall- und andere Schutzprogramme - 08.02.2005 (1)
  14. Quarantäne-Dateien (72 Stk.) löschen?
    Plagegeister aller Art und deren Bekämpfung - 08.02.2005 (1)
  15. Dateien aus escan-log löschen ??
    Plagegeister aller Art und deren Bekämpfung - 26.01.2005 (7)
  16. Infizierte Dateien löschen
    Log-Analyse und Auswertung - 27.10.2004 (2)
  17. .dll-Dateien löschen
    Plagegeister aller Art und deren Bekämpfung - 21.05.2004 (1)

Zum Thema befallene dateien löschen? - hallo, folgendes problem: firefox lief freitag nicht mehr, im fenster stand, es sei abgestürzt. antivir hat dann zwei schädlinge gefunden. hab die in quarantäne geschoben & gelöscht, auch die dateien, - befallene dateien löschen?...
Archiv
Du betrachtest: befallene dateien löschen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.