| |
| |||||||
Log-Analyse und Auswertung: Checken der Logs nach Trojaner Fund in Java DateienWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
| |
05.09.2010, 18:29
| #1 |
 |  Checken der Logs nach Trojaner Fund in Java Dateien Ich fange mal mit meinen HijackThis Logs an. HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:33:11, on 05.09.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\ADVANC~1\wh_exec.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe C:\java\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\Razer\Lycosa\razertra.exe C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Sophos\Sophos Anti-Rootkit\sargui.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\qgfbtq.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.live.com/sphome.aspx O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\java\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\java\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [WheelMouse] C:\ADVANC~1\wh_exec.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Lycosa] "C:\Programme\Razer\Lycosa\razerhid.exe" O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: CurseClientStartup.ccip O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\java\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe -- End of file - 5700 bytes Nun folgt der Log meines Anti Viren Programmes Eset NOD 32 Antivirus Log Version der Signaturdatenbank: 5424 (20100905) Datum: 05.09.2010 Uhrzeit: 17:08:20 Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;A:\Bootsektor;A:\;C:\Bootsektor;C:\;D:\Bootsektor;D:\ Bootsektor von Laufwerk A: - Fehler beim Öffnen [4] A:\ - Fehler beim Öffnen [4] C:\pagefile.sys - Fehler beim Öffnen [4] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\540626da-48d739a3 » ZIP » dev/s/AdgredY.class - Variante von Java/Exploit.CVE-2009-3867.AC Trojaner C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\540626da-48d739a3 » ZIP » dev/s/DyesyasZ.class - Variante von Java/TrojanDownloader.OpenStream.NAO Trojaner C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\540626da-48d739a3 » ZIP » dev/s/LoaderX.class - Variante von Java/TrojanDownloader.Agent.NBQ Trojaner C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44\46ae4bac-4f6cc5bf » ZIP » KAK/NED/crime4u.class - möglicherweise Variante von Java/TrojanDownloader.OpenStream.NAO Trojaner C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44\46ae4bac-4f6cc5bf » ZIP » KAK/NED/NOD32.class - Variante von Java/TrojanDownloader.Agent.NBQ Trojaner C:\Dokumente und Einstellungen\***\Desktop\***\***.rar » RAR » RenameMe.dll - möglicherweise Variante von Win32/Agent.JVFOOYA Trojaner C:\Dokumente und Einstellungen\***\Desktop\***\RenameMe.dll - möglicherweise Variante von Win32/Agent.JVFOOYA Trojaner - Gesäubert durch Löschen - in Quarantäne kopiert [1] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpaceSP2.db - Fehler beim Öffnen [4] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\CardSpace\CardSpaceSP2.db.shadow - Fehler beim Öffnen [4] C:\Programme\ICQ6.5\ConfigFiles\TopSearches.7z » 7ZIP » TopSearches.xml - Falsche Prüfsumme (CRC). Datei ist möglicherweise passwortgeschützt. C:\Programme\ICQ6.5\ConfigFiles\TopSearchesDe.7z » 7ZIP » TopSearchesDe.xml - Falsche Prüfsumme (CRC). Datei ist möglicherweise passwortgeschützt. D:\Zocken Etc krams\Css.part1.rar » RAR » Css\CSS-DZ-Full.exe » NSIS - Archiv beschädigt C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\540626da-48d739a3 » ZIP » dev/s/AdgredY.class - Variante von Java/Exploit.CVE-2009-3867.AC Trojaner - war Teil des gelöschten Objekts C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\540626da-48d739a3 » ZIP » dev/s/DyesyasZ.class - Variante von Java/TrojanDownloader.OpenStream.NAO Trojaner - war Teil des gelöschten Objekts C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\540626da-48d739a3 » ZIP » dev/s/LoaderX.class - Variante von Java/TrojanDownloader.Agent.NBQ Trojaner - war Teil des gelöschten Objekts C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44\46ae4bac-4f6cc5bf » ZIP » KAK/NED/crime4u.class - möglicherweise Variante von Java/TrojanDownloader.OpenStream.NAO Trojaner - war Teil des gelöschten Objekts C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44\46ae4bac-4f6cc5bf » ZIP » KAK/NED/NOD32.class - Variante von Java/TrojanDownloader.Agent.NBQ Trojaner - war Teil des gelöschten Objekts C:\Dokumente und Einstellungen\***\Desktop\***\***.rar » RAR » RenameMe.dll - möglicherweise Variante von Win32/Agent.JVFOOYA Trojaner - war Teil des gelöschten Objekts Geprüfte Objekte: 319453 Erkannte Bedrohungen: 7 Anzahl gesäuberter Objekte: 7 Abgeschlossen: 18:39:41 Benötigte Zeit: 5481 Sek. (01:31:21) Hinweise: [1] Objekt wurde gelöscht. Es enthielt ausschließlich Viruscode. [4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem. Anschlißend das Log von Malwarebytes Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4550 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 05.09.2010 19:16:50 mbam-log-2010-09-05 (19-16-50).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 239302 Laufzeit: 38 Minute(n), 36 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Desktop\***\RenameMe.exe (Trojan.Agent) -> No action taken. Wenn ich OTL installieren möchte kommt folgende Meldung: Exeption EoleSysError in module OTL.exe at 000571A5. Klasse nicht registriert. Vielen Dank im Voraus für die Hilfe!!! |
| Themen zu Checken der Logs nach Trojaner Fund in Java Dateien |
| 0 bytes, antivirus, bho, browser, converter, desktop, eset nod32, fehler, firefox, google, helper, hijack, hijackthis, hilfe!!, hkus\s-1-5-18, internet, internet explorer, mozilla, mp3, otl.exe, plug-in, rundll, senden, server, software, sophos anti-rootkit, system, trojaner, viren, windows, windows xp |
Baum-Darstellung