| |
| |||||||
Log-Analyse und Auswertung: Älterer PC XP&ME mit Trojaner Hiloti, Trojan Agent, u.a. "befallen"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.03.2010, 23:52
| #1 |
 |  Älterer PC XP&ME mit Trojaner Hiloti, Trojan Agent, u.a. "befallen" Hallo, habe meinen alten PC in Gang geschmissen. Ist schon ein älteres Modell, a b e r der PC wo mein W-LanModem angeschlossen ist. Benutzte den PC vielleicht 1 mal im Monat, ansonnsten nur Laptop über w-lan bzw. lan. Der Pc hat 2 Festplatten mit XP und Me drauf. Nun habe ich vor ein paar wochen einen Vierenscan durchlaufen lassen und heute nochmal. (Antimalewarebyte + Avira) Poste hier: a) Bericht von Antivir vom 05.03.2010 b) 2 Berichte von Malewarebyte 5.3.2010 und 30.3.2010 c) RSIT Log.txt und info.txtdatei von 30.03.2010 d) HijackThis Auswertung Mein PC ist alt und langsam, ich weiss dass er alleine von seinen Eigenschaften kein High-Speed-PC wird aber er ist doch oftmals in Dingen träge wo ich denke dass er es nicht sein muss. (z.B. Aufbau einer Internetseite, wenn mal 4 oder 5 Tabs geöffnet sind mäkelt er herum) Kann mir jemand sagen 1. wie und ob meine Viren alle gefährlich sind und bereits etwas beschädigt haben. 2. ob diese Vieren für die doch arge Trägheit verantworltich sind. Freue mich über Rückmeldungen und sage auch gleich dass ich PC Technisch ein Laie bin. MIr wurde hier aber vor ein paar Wochen BESTENS geholfen. Grüße, ehkarch Zu den Berichten: a) Funde mit AVIRA(alle in Quaratäne geschoben): 'HEUR/Malware' [heuristic] gefunden in: - C:\_RESTORE\ARCHIVE\FS984.CAB' - C:\System Volume Information\_restore{4949C5C1-6AA8-4D77-A7C7-B00D23D471C1}\RP718\A0333798.exe' - C:\System Volume Information\_restore{4949C5C1-6AA8-4D77-A7C7-B00D23D471C1}\RP718\A0333799.exe' - C:\Programme\Gemeinsame Dateien\eAcceleration\CS_def.exe' - C:\Programme\Gemeinsame Dateien\eAcceleration\CS_t4c.exe' 'SPR/Tool.Tpatch.BC' [riskware] gefunden in: - 'F:\Dokumente und Einstellungen\*****\Data Becker Handy 5.0\Data Becker Handy Pack 5\crack.exe' - C:\System Volume Information\_restore{4949C5C1-6AA8-4D77-A7C7-B00D23D471C1}\RP718\A0333800.EXE' - C:\DATA BECKER\Handy Pack 5.0\CRACK.EXE' - 'F:\Programme\DATA BECKER\Handy Pack 5.0\crack.exe' - 'F:\System Volume Information\_restore{4949C5C1-6AA8-4D77-A7C7-B00D23D471C1}\RP718\A0333802.exe' - F:\System Volume Information\_restore{4949C5C1-6AA8-4D77-A7C7-B00D23D471C1}\RP718\A0333803.exe' 'SPR/Tool.Gator.Gain.Claria.BL' [riskware] gefunden in: - 'C:\_RESTORE\ARCHIVE\FS924.CAB' SPR/Tool.Gator.Gain.Claria.AX' [riskware] gefunden in: C:\_RESTORE\ARCHIVE\FS878.CAB' 'TR/Spy.425984.155' [trojan] gefunden in: C:\_RESTORE\ARCHIVE\FS799.CAB' 'SPR/SelfS.Agent.brd' [riskware] gefunden in: C:\_RESTORE\ARCHIVE\FS735.CAB' b) c) Malewarebyte/RSIT Berichte s. Anhang d) HijackThis Auswertung Code Tags Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:22:24, on 31.03.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\System32\Ati2evxx.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\Ati2evxx.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\spoolsv.exe F:\Programme\1&1 Programme\cFos\cFosDNT.exe F:\Programme\Java\j2re1.4.2_01\bin\jusched.exe F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe F:\Programme\QuickTime\qttask.exe F:\Programme\Gemeinsame Dateien\GMT\GMT.exe F:\Programme\PrecisionTime\PrecisionTime.exe F:\Programme\Microsoft Office\Office\OSA.EXE F:\Programme\AntiVir PersonalEdition Classic\sched.exe F:\Programme\AntiVir PersonalEdition Classic\avguard.exe F:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe F:\Programme\Mozilla Firefox\firefox.exe F:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h++p://www.searchv.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h++p://www.searchv.com/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h++p://www.searchv.com/search.html O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar3.dll O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [cFosDNT] F:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "F:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] F:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] F:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: GStartup.lnk = F:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: PrecisionTime.lnk = F:\Programme\PrecisionTime\PrecisionTime.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - F:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - F:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: In neuem Avant Browser öffnen - F:\Programme\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Suchen - F:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - F:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - F:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - F:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h++p://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h++p://software-dl.real.com/29e627ee32b091a28e17/netzip/RdxIE601_de.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h++p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h++p://a840.g.akamai.net/7/840/537/2002112801/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - h++p://***.mp3s4free.net/Searchmp3s.exe O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - h++p://213.131.225.4/esel2/webinstall.cab O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h++p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h++p://asp02.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h++ps://img.web.de/v/mail/activex/fa_os_mms/upload_1132.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F} - F:\DOKUME~1\*******\ANWEND~1\gqtprzbzea.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Google Updater Service (gusvc) - Google - F:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8430 bytes Geändert von ehkarch (31.03.2010 um 00:37 Uhr) |
| Themen zu Älterer PC XP&ME mit Trojaner Hiloti, Trojan Agent, u.a. "befallen" |
| 0 bytes, agent, antivir, aufbau, avira, becker, bericht, datei, dateien, einstellungen, festplatte, festplatten, gefährlich, handy, heur/malware, hkus\s-1-5-18, internetseite, langsam, laptop, malwarebytes' anti-malware, modem, programme, riskware, rsit, scan, seite, system, system volume information, tr/spy., trojan, trojan agent, trojaner, viren |
Baum-Darstellung