Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 28.02.2010, 11:40   #1
samjatin
 
Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc - Standard

Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc



Schönen Sonntag Vormittag zusammen.
( HijackThis und mbam-log am Ende! )


Kurze Einleitung, habe gestern Windows 7 64bit installiert nachdem die RC nun beedet ist. Ja kurz vor Torschluß, aber bei sowas handel ich immer in letzter Sekunde. Hatte jetzt mit der Beta auch eigentlich keine Probleme und avira (keine Premium version) lief im Hintergrund still mit.

Einzig Windows Live Mail wurde mit diversen Phising-Mails überlaufen; habe dies aber oder weniger ignoriert und in Kauf genommen da dort nur Mail-Accounts liefen die nicht wirklich relevant für mich sind und ich diese Mails gleich entsorgt habe.

Nachdem Windows 7 frisch installiert war habe ich mit Avira gleich einen kompletten Scan laufen lassen und war jetzt doch etwas überrascht angesichts der schieren Menge an Meldungen.

Avira Log sprengt die Maximalanzahl an Zeichen im Posting.
*hier sollte Avira log kommen* (ich liste deshalb hier nur mal kur ein paar Funde auf, falls das komplette Log erwünscht ist bitte sagen)
** gut 95 % der Funde sind in Windows Live Mail

F:\Installationsdateien\Programme\Aimersoft Video Converter v2.2.0.19\VideoConverter.exe
[FUND] Ist das Trojanische Pferd TR/PWS.757044
F:\Programme\CryptLoad_1.0.4\CryptLoad_1.0.4\router\FRITZ!Box\nc.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes

Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
Enthält Erkennungsmuster der Phish-Datei/Email PHISH/MSFraud
Enthält Erkennungsmuster des Droppers DR/Delphi.Gen
Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
Enthält Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen

Trojanische Pferd TR/Crypt.ZPACK.Gen
Trojanische Pferd TR/Crypt.CFI.Gen

Trojanische Pferd TR/Dldr.Bredolab.I.5
Trojanische Pferd TR/Dldr.Bredolab.AZ.42
Trojanische Pferd TR/Dldr.Agent.37376
Trojanische Pferd TR/Dldr.Agent.512
Trojanische Pferd TR/Dldr.Agent.vzm
Trojanische Pferd TR/Dldr.Murlo.cba
Trojanische Pferd TR/Dldr.FraudLoad.gc
Trojanische Pferd TR/Dldr.Fraudl.wsut
Trojanische Pferd TR/Dldr.Genome.aifk

Trojanische Pferd TR/Spy.ZBot.JFG
Trojanische Pferd TR/Spy.ZBot.cjma
Trojanische Pferd TR/Spy.ZBot.aaat
Trojanische Pferd TR/Spy.ZBot.dbh
Trojanische Pferd TR/Spy.ZBot.xoe
Trojanische Pferd TR/Spy.ZBot.wal
Trojanische Pferd TR/Spy.ZBot.qta.7
Trojanische Pferd TR/Spy.ZBot.qfa.6
Trojanische Pferd TR/Spy.ZBot.QV.1

Trojanische Pferd TR/Fakealert.bij
Trojanische Pferd TR/Sasfis.vbw
Trojanische Pferd TR/Agent.X.2193 (+ diverse andere Nummernendungen)
Trojanische Pferd TR/Dropper.Gen
Trojanische Pferd TR/Ransom.DigiPog.AB.19

Wie man sieht schlägt hauptsächlich Windows Live Mail und ein Backup (Win7 Beta Backup) das auf einer externen Platte liegt Alarm.

Habe daraufhin einen HijackThis Scan laufen lassen.
Hier das Ergebniss

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:54:22, on 28.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\program files (x86)\avira\antivir desktop\avcenter.exe
C:\Program Files (x86)\Trend Micro\HijackThis\pruefung.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.facebook.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files (x86)\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6340 bytes


Und zur Vervollständigung eine Quick Scan von MalwareBytes

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3805
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28.02.2010 11:08:50
mbam-log-2010-02-28 (11-08-44).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 98689
Laufzeit: 2 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Mit freundlichen Grüßen
Sam

Geändert von samjatin (28.02.2010 um 11:54 Uhr)

 

Themen zu Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc
antivir, antivir guard, avg, avira, bho, desktop, diverse, dll, explorer, firefox, helper, hijack, hijack.displayproperties, hijackthis, hintergrund, internet, internet explorer, lsass.exe, microsoft, mozilla, nvidia, object, plug-in, poweriso, registrierungsschlüssel, rundll, scan, software, syswow64, toolbars, video converter, windows, windows 7 64bit




Ähnliche Themen: Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc


  1. Windows 7: Telekom Abuse-Team Mail wegen Zeus/ZBot
    Log-Analyse und Auswertung - 07.10.2015 (12)
  2. Windows 7: Telekom E-Mail betreffend Zeus/ZBot, AntiVir findet nichts
    Plagegeister aller Art und deren Bekämpfung - 30.06.2015 (9)
  3. Windows Live Mail startet nicht mehr nach Exe Passwort
    Plagegeister aller Art und deren Bekämpfung - 02.06.2015 (12)
  4. Windows 7: Avira meldet diverse Trojaner TR/Spy.Zbot.***
    Log-Analyse und Auswertung - 04.01.2015 (18)
  5. Win7: telekom E-Mail / ZeuS/ZBot-Schadprogramm
    Log-Analyse und Auswertung - 31.10.2013 (13)
  6. Mail delivery failed, aber nur in Windows live mail
    Plagegeister aller Art und deren Bekämpfung - 15.08.2013 (8)
  7. Trojan.zbot.FV und Spyware.zbot.-ED auf Netbook Asus Eee PC /Win7
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (23)
  8. Windows Live Mail - Spam versand ?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2013 (7)
  9. Kalendereinträge von Windows LIve Mail 2011 sichern? Wie?
    Alles rund um Windows - 10.06.2013 (2)
  10. Windows Live Mail - Einstellungen und Konten von Admin auf Benutzer übertragen
    Alles rund um Windows - 25.12.2012 (4)
  11. Mehrere Trojaner (Zbot) nach Live Security Platimun-Befall gefunden
    Plagegeister aller Art und deren Bekämpfung - 18.09.2012 (9)
  12. Diverse Viren, Trojaner (u.a. Live Security Platinum), Laptop, XP, Malwarbytes
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (3)
  13. Windows Live Mail verschickt an irgendwelche Adressen haufenweise Spam über meine Mail-Addy
    Plagegeister aller Art und deren Bekämpfung - 28.12.2011 (18)
  14. Spam mails in meinem namen. Windows Live mail
    Plagegeister aller Art und deren Bekämpfung - 17.12.2011 (2)
  15. Windows Live Mail öffnen
    Alles rund um Windows - 11.08.2009 (1)
  16. Windows Live Mail startet nicht
    Alles rund um Windows - 20.06.2009 (0)
  17. Virus beim Windows live mail, bitte um hilfe
    Mülltonne - 13.12.2008 (0)

Zum Thema Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc - Schönen Sonntag Vormittag zusammen. ( HijackThis und mbam-log am Ende! ) Kurze Einleitung, habe gestern Windows 7 64bit installiert nachdem die RC nun beedet ist. Ja kurz vor Torschluß, aber - Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc...
Archiv
Du betrachtest: Frisches Win7 | windows live mail | diverse Trojaner/ murlo.cba, Spy.ZBot.wal etc auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.