| |
| |||||||
Log-Analyse und Auswertung: Hijackthis file...vermutung von trojaner :SWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
05.03.2010, 13:26
| #1 |
 |  Hijackthis file...vermutung von trojaner :S hallo, ich poste mal die HijackThis log file,.. weil glaub hab mir nen trojaner eingefangen, villeicht könnt ihr mir weiter helfen..:S:S pc läuft seit kurzem ziehmlich lam .... danke im voraus Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:24:41, on 05.03.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\system32\taskhost.exe C:\Program Files\ASUS\ASUS Live Update\ALU.exe C:\Program Files\ASUS\ASUS CopyProtect\aspg.exe C:\Windows\Explorer.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe C:\Program Files\asus\ATK Hotkey\HControlUser.exe C:\Program Files\asus\ATKOSD2\ATKOSD2.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\asus\ATK Media\DMedia.exe C:\Program Files\asus\ASUS Data Security Manager\ADSMTray.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Gemalto\Classic Client\BIN\RegTool.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Windows\WindowsMobile\wmdc.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Windows\System32\spool\drivers\w32x86\3\E_FATIFIE.EXE D:\ProGramme\steam\Steam.exe C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE C:\Program Files\Opera\opera.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AmIcoSinglun] C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMedia.exe O4 - HKLM\..\Run: [ADSMTray] C:\Program Files\ASUS\ASUS Data Security Manager\ADSMTray.exe O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [RegTool] C:\Program Files\Gemalto\Classic Client\BIN\RegTool.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [EPSON SX510W Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE /FU "C:\Windows\TEMP\E_SED3B.tmp" /EF "HKCU" O4 - HKCU\..\Run: [Steam] "D:\ProGramme\steam\Steam.exe" -silent O4 - HKCU\..\Run: [EPSON883171] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE /FU "C:\Windows\TEMP\E_SF3DF.tmp" /EF "HKCU" O4 - HKCU\..\Run: [java2] C:\Windows\system32\java2.exe O4 - HKCU\..\Run: [svvhost2] C:\Windows\system32\svvhost2.exe O4 - HKCU\..\Run: [swinlogin] C:\Windows\system32\swinlogin.exe O4 - HKCU\..\Run: [systemlog] C:\Windows\system32\systemlog.exe O4 - HKCU\..\Run: [winlogin2] C:\Windows\system32\winlogin2.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O13 - Gopher Prefix: O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ASLDR Service (ASLDRService) - ASUS - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: GSL Share Memory (GslShmSrvc ) - Gemalto - C:\Program Files\Gemalto\Classic Client\BIN\GslShmSrvc.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: Remote Procedure Call (RPC) Net (rpcnet) - Absolute Software Corp. - C:\Windows\system32\rpcnet.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe -- End of file - 10020 bytes |
|
05.03.2010, 14:21
| #2 |
| | Hijackthis file...vermutung von trojaner :S ja da liegst richtig mit deiner Vermutung. Bitte einen KomplettScan mit Malwarebytes Anti-Malware machen. Logfile dann hier posten. mfg.TXL |
|
05.03.2010, 15:11
| #3 | |
 | Hijackthis file...vermutung von trojaner :SZitat:
Diese Einträge O4 - HKCU\..\Run: [java2] C:\Windows\system32\java2.exe O4 - HKCU\..\Run: [svvhost2] C:\Windows\system32\svvhost2.exe O4 - HKCU\..\Run: [swinlogin] C:\Windows\system32\swinlogin.exe O4 - HKCU\..\Run: [systemlog] C:\Windows\system32\systemlog.exe O4 - HKCU\..\Run: [winlogin2] C:\Windows\system32\winlogin2.exe geben mir das Gruseln...  |
|
05.03.2010, 15:21
| #4 |
| | Hijackthis file...vermutung von trojaner :S Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3825 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 05.03.2010 15:20:40 mbam-log-2010-03-05 (15-20-24).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 109866 Laufzeit: 21 minute(s), 12 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Cerberus (Backdoor.Trace) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Users\Charlie\AppData\Roaming\svchost (Backdoor.Agent) -> No action taken. Infizierte Dateien: C:\Users\Charlie\AppData\Local\Temp\MSN.abc (Malware.Trace) -> No action taken. C:\Users\Charlie\AppData\Roaming\logs.dat (Bifrose.Trace) -> No action taken. C:\Users\Charlie\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> No action taken. C:\Users\Charlie\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> No action taken. danke hoffe die werde ich noch los:S:S |
|
05.03.2010, 15:27
| #5 | |
| | Hijackthis file...vermutung von trojaner :SZitat:
Mal sehen wie dieser TXL das hier anpackt. Ich rate: PC nur zum nötigsten Online lassen bis das bereinigt wurde. |
|
05.03.2010, 15:28
| #6 |
| | Hijackthis file...vermutung von trojaner :S ja...:S:S und wie werde ich die wieder los?:S |
|
06.03.2010, 22:34
| #8 |
  | Hijackthis file...vermutung von trojaner :S Hallo Chaaali und Nichts ist unmöglich, gehen wir das ganz langsam in einzelnen Schritten an. 1. Starte nach folgender Anleitung, welche Du hier verlinkt siehst: http://www.trojaner-board.de/74908-a...t-scanner.html den Rootkitscan von Gmer. Stelle GMER genau der Anleitung ein. Wenn GMER sagt "Warning! Gmer has found some System Modifications caused by rootkit activity" so starte nicht den Fullscan (vollständigen Gmer-Scan) sondern setze das Log hier herein. 2. Ich brauche eine genauere Übersicht über dein System. Beginnen wir heirmit mit dem Tool OTL von Oldtimer. Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
Im nächsten Post möchte ich sehen, die Logs von GMER und die OTL Logs. EDIT: Hast du die Funde von Malwarebytes löschen lassen ?
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!  Geändert von Angel21 (06.03.2010 um 22:39 Uhr) |
|
07.03.2010, 20:53
| #9 |
| | Hijackthis file...vermutung von trojaner :S hallo, danke mal für die mühe, aber das erste problem ist schon gleich beim starten des gmer, es blockt dauernd und pc sagt: es ist ein problem aufgetreten das programm wird geschlossen... liegt das villeicht aN WINDOWS 7?? |
|
07.03.2010, 20:55
| #10 |
| | Hijackthis file...vermutung von trojaner :S Starte GMER mal mit "Rechtsklick -> ausführen als Administrator". Berichte. Welches Windows nutzt Du genau?
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
07.03.2010, 20:57
| #11 |
| | Hijackthis file...vermutung von trojaner :S windows 7 home premium 32 bit version... hab ich so geöffnet... |
|
07.03.2010, 20:58
| #12 |
| | Hijackthis file...vermutung von trojaner :S Geht GMER nun?
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
07.03.2010, 21:00
| #13 |
| | Hijackthis file...vermutung von trojaner :S nee. geht noch immer nicht.. |
|
07.03.2010, 21:01
| #14 |
| | Hijackthis file...vermutung von trojaner :S Hast du es MIT und OHNE Rechtsklick versucht?
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
07.03.2010, 21:05
| #15 |
| | Hijackthis file...vermutung von trojaner :S jop, es kann villeicht dran liegen dass ich noch dabei bin meine wichtigen dateien auf die festplatte zu kopieren.. |
|
| Themen zu Hijackthis file...vermutung von trojaner :S |
| 0 bytes, adobe, bho, browser, c:\windows\temp, computer, explorer, hijack, hijackthis, hijackthis log, internet, internet explorer, kaspersky, log, log file, nvidia, object, opera, plug-in, programme, rundll, security, senden, software, system, tastatur, temp, trojaner, trojaner eingefangen, windows |
Linear-Darstellung
