|
Log-Analyse und Auswertung: Schon 3 Trojaner gefunden,aberWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.10.2004, 10:52 | #1 |
| Schon 3 Trojaner gefunden,aber Hab mal den misshandelden PC von meinem Bruder angeguckt und das gefunden: Logfile of HijackThis v1.98.2 Scan saved at 11:02:48, on 23.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\ezSP_Px.exe E:\PROGRA~1\Tastatur\KEMailKb.EXE C:\index.exe E:\Programme\DU Meter\DUMeter.exe C:\Programme\Inet Delivery\inetdl_2.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe E:\Programme\Mozilla\Mozilla.exe E:\Programme\WinTV\Ir.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\Win RAR\WinRAR.exe C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [KEMailKb] E:\PROGRA~1\Tastatur\KEMailKb.EXE O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\giubuq.exe O4 - HKLM\..\Run: [REEGRUN] C:\index.exe O4 - HKLM\..\Run: [DU Meter] E:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [Inet Delivery] C:\Programme\Inet Delivery\inetdl_2.exe O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe O4 - HKLM\..\RunServices: [zervpack2] update2.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "e:\Programme\Mozilla\Mozilla.exe" -turbo O4 - Global Startup: AutoStart IR.lnk = E:\Programme\WinTV\Ir.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Office XP\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...67d9100f21782b O16 - DPF: {3717DF57-0396-463D-98B7-647C7DC6898A} - http://delivery.inet-traffic.com/inetdl.exe O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Fmialnai.dll Nach der Installation von Kaspersky gings normal gleich gar nicht mehr->abgesicherter Modus . Leider komm ich hier nicht ins Inet ->keine Updates für Kasper. Dennoch hat Kasper schon 3 Trojaner gefunden und gelöscht. Da aber die automat. Auswertung vom HiJack 9 böse Dateien vermutet bitte ich euch das mal durchzulesen. Danke |
23.10.2004, 12:13 | #2 |
| Schon 3 Trojaner gefunden,aber Ich hab es doch noch geschafft Kasper zu updaten und lasse jetzt nochmals eine vollständige Untersuchung laufen.
__________________Mittlerweile komm ich auch in den normalen Win Modus wieder rein. Die erste Untersuchung im abgesicherten ergab 11 Trojaner,Würmer.... Im zweiten jetzt ist er bei 50% und hat wieder 10 gefunden. Wenn es jemanden interessiert schreibe ich auch mal die Namen der Würmer rein. Also dann... |
23.10.2004, 12:25 | #3 |
Administrator, a.D. | Schon 3 Trojaner gefunden,aber Es sind immer noch einige Backdoor Trojaner aktiv, daher lautet meine Empfehlung:
__________________http://www.trojaner-board.de/showpos...28&postcount=2
__________________ |
23.10.2004, 12:44 | #4 |
| Schon 3 Trojaner gefunden,aber Danke, aber da wär mein Bruder wahrscheinlich nich so glücklich. Aber mal sehen. Wichtige Dateien zum ausspähen gab es da eh nicht. MAl sehen was sich noch so machen lässt. |
23.10.2004, 13:03 | #5 |
| Schon 3 Trojaner gefunden,aber Ich find auch, dass neuaufsetzten die Sicherste Methode ist. Und vielleicht auch die einfachste, aber einen Nutzen für mich bringt das ja auch nicht. Weder bekomme ich Einblick in der Arbeit mit HiJack noch eine Ahnung wie man befallene Systeme säubert. Schließlich macht es ja auch Spass etwas neues Kennenzulernen und damit zu arbeiten. Doch wenn die einzige ( war sicherlich gut gemeint ! ) Hilfe im Forum bei einem Neuaufsetzten liegt hätt ich ehrlich gesagt auch nich fragen brauchen. Falls jemand den Fehler kennt kann er ja bescheid sagen: Mozilla wird nach einer Weile befallen und es zeigt bei jeder gewählten Inet Adresse eine Zonealarm Seite an. Ich weiss nich was es ist vielleicht ihr ! Danke |
23.10.2004, 13:21 | #6 | |
Administrator, a.D. | Schon 3 Trojaner gefunden,aberZitat:
Es geht nicht nur darum, ob dein Bruder sich selbst in Gefahr bringt, sondern dass sein Rechner eine Gefahr für andere I-net User darstellt: - Online-Banking - Ebay - Keylogging - Online-Shoppen - Bewerbungen, Kreditkartennummern, - vertrauliche Dokumente und Emails - Missbrauch des System für illegale Sachen, wie Spamversand (rechtsradikalen Propaganda-Mails) - Server für abgelegte Daten wie z.B. Kinderpornografie usw. - DDOS-Attacken usw. Bot-Netze zurzeit das größte Problem im Internet Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29
__________________ --> Schon 3 Trojaner gefunden,aber |
23.10.2004, 13:43 | #7 | |
Administrator, a.D. | Schon 3 Trojaner gefunden,aberZitat:
Man muss eben als Helfender differenzieren: Welche Schadroutine hat die Malware? Wie ist sie eingedrungen? Welchen Wissensstand hat der Themenstarter? usw. Fakt ist, dass per Ferndiagnose eine Bereinigung bei solcher Malware nur ein Neuaufaufsetzen als wirklich sinnvolle Lösung zulässt. http://www.microsoft.com/technet/arc.../10imlaws.mspx http://www.microsoft.com/technet/com...mt/sm0504.mspx Wenn du dein System einigermassen sinnvoll bereinigen willst, dann gehe nach folgender Anleitung vor: http://cert.uni-stuttgart.de/os/ms/w...-detection.php Auch hier gibt es keine 100%ige Sicherheit, dass danach dein System wirklich sauber ist. Wichtiger wäre die Absicherung des Systems um eine Kompromittierung zu vermeiden: http://www.mathematik.uni-marburg.de...ompromise.html |
23.10.2004, 14:37 | #8 |
| Schon 3 Trojaner gefunden,aber Ich verstehe dich ja aber die Neugierde war halt da. Mal was Neues zu verstehen. http://cert.uni-stuttgart.de/os/ms/...r-detection.php ist sehr gut Ich hab jetzt den PC vom INET abgekapselt und lass spasseshalber escan und ad aware laufen. Sind sogar schon fertig und haben keine Viren mehr gefunden. Hat wahrscheinlich Kasper alle bekannten gefunden. Naja egal. Dann halt DVD rein und formatieren. Dann schliess ich mal mit dem Thema ab und hab noch ne andere Frage: Ich hab eScan bei meinem Rechner laufen lassen und was merkwürdiges entdeckt : File E:\RECYCLER\NPROTECT\00000721. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File E:\RECYCLER\NPROTECT\00000741. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File E:\RECYCLER\NPROTECT\00000767. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File E:\RECYCLER\NPROTECT\00000991. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File E:\RECYCLER\NPROTECT\00000992. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File E:\RECYCLER\NPROTECT\00000997. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File E:\RECYCLER\NPROTECT\00001003. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File E:\RECYCLER\NPROTECT\00001004. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. File E:\RECYCLER\NPROTECT\00001005. infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. Ich hab diese Art noch nie gesehen fall mir jemand helfen kann DANKE :aplaus: |
23.10.2004, 15:35 | #9 |
| Schon 3 Trojaner gefunden,aber Wenn du norton utillities drauf hast werden dateien nach dem löschen nochmals in diesem "Norton protectec recycle bin" oder wie sich das schimpft gespeichert. Mach einen rechtsklick auf den papierkorb und klicke "dateien aus norton protection entfernen" (oder so ähnlich an), dann müssten die gelöscht werden. Gruß Lidius PS: Sorry hab norton schon ewig nimmer drauf, daher is mein wissen über die genaue namensgebung etwas lückenhaft. Poste aber sicherheitshalber nochmal ein HijackThis logfile von dir |
23.10.2004, 18:06 | #10 |
| Schon 3 Trojaner gefunden,aber Das Problem ist das ich Kaspersky drauf hab und die deinstallation von Norton wahrscheinlich nich Vollständig war. BLOß die dähmlichen Dateien lassen sich noch nicht einmal mit dem TuneUp assistenten löschen. mein Log: Logfile of HijackThis v1.98.2 Scan saved at 19:03:59, on 23.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\DU Meter\DUMeter.exe C:\WINDOWS\system32\sstray.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Gregor\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-cache.marienberg.km3.de:8080;gopher=www-cache.marienberg.km3.de:8080;http=www-cache.marienberg.km3.de:8080;https=www-cache.marienberg.km3.de:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.marienberg.km3.de;home.marienberg.km3.de;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [DU Meter] D:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095957364125 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab Achja ich finde es merkwürdig das ad Aware und Freunde den PC von meinem Bruder für clean halten ??? |
23.10.2004, 19:22 | #11 |
| Schon 3 Trojaner gefunden,aber @gger wechsle in den abgesicherten modus und fixe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) den kannst du löschen wenn du diese eintrag nicht brauchst O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) ansonsten schaut das lög ok aus. chaosman
__________________ Bonus vir semper tiro |
23.10.2004, 19:33 | #12 |
| Schon 3 Trojaner gefunden,aber Danke!!! @chaosman Wenn du noch ne Idee zum Löschen hast kann ich in Ruhe mein Bier trinken. |
Themen zu Schon 3 Trojaner gefunden,aber |
adobe, auswertung, bho, confused, dll, excel, explorer, google, hijack, hijackthis, installation, internet, internet explorer, kaspersky, launch, meinem, microsoft, mozilla, object, programme, rojaner gefunden, rundll, shockwave, software, system, tastatur, temp, trojaner, trojaner gefunden, windows, windows xp |