| |
| |||||||
Log-Analyse und Auswertung: Trojaner ProblemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.11.2004, 22:00
| #1 |
| |  Trojaner Problem Hallo, ich benutze WinXP und habe seit heute so einige arge Probleme. Bit Defender findet ständig irgendwelche verdächtigen Objekte oder Trojaner (hauptsächlich im Windows/system32 Verzeichnis). Diese werden auch gleich danach gelöscht, und sind dann auch ständig wieder da. Ich benutze Bitdefender und habe mal mit HijackThis gescannt : Logfile of HijackThis v1.98.2 Scan saved at 20:44:37, on 08.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Aston\aston.exe C:\PROGRA~1\Aston\XP\internat.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\PROGRA~1\Softwin\BITDEF~1\bdlite.exe C:\WINDOWS\explorer.exe C:\WINDOWS\notepad.exe C:\Dokumente und Einstellungen\claus910\Eigene Dateien\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6127411 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6127411 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=6127411 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=137233 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://best-search.cc/index.php?v=6&aff=6127411 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097673940125 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll -------------------------------------------------------------------------- Summary: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[1].exe Suspect BehavesLike:Win32.ExplorerHijack C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[1].exe Deleted C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[2].exe Infected Win32.Worm.Korgo.K C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[2].exe Deleted Scanned files wie man sieht auch desöfteren im Temporary Internet Files Ordner :-/ Benutze aber hauptsächlich Mozilla Firefox, der eigentlich nicht für den Offline Mode speichert. Nur ab und zu nehm ich mal den IE falls mal was nicht korrekt angezeigt wird o.ä. Habe schon zig Viren / Trojaner Programme getestet, diese Dinger tauchen immer wieder auf. Kann mir vielleicht jemand erklären wie ich eine Boot CD erstelle mit Virenscanner drauf ?! Weil während Windows läuft scheints mir sinnlos zu sein die Dinger zu löschen. Viiielen Dank schonmal ! |
|
08.11.2004, 22:21
| #2 |
 | Trojaner Problem Hallo claus910
__________________Also ich hab dei log mal durch die autuauswertung gejagt hier sind die ergebnisse: http://www.hijackthis.de/logfiles/94...66d956a78.html starte deinen pc im abgesicherten modus und fixe alle einträge die als böse angezeigt werden alle die als unbekannt angezeigt werden solltest du auch fixen es sei denn du kennst das programm. und du must dein system updaten auf Service Pack 2 wenn du das gemacht hast dann poste hier noch mal nen log. MFG ZERO |
|
08.11.2004, 22:33
| #3 |
  | Trojaner Problem Hallo, claus, wo willst Du jetzt hin? In den thread, oder in Deinen Anderen?
__________________Hier nochmal meine Antwort: Hi claus, lade Dir erst mal clearprog runter, setze alle Häkchen und drücke auf löschen. Dann sind die weg: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[1].exe Suspect BehavesLike:Win32.ExplorerHijack C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[1].exe Deleted C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[2].exe Infected Win32.Worm.Korgo.K C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE3W96Z\x[2].exe Deleted Außerdem hast du jede Menge Schrott drauf, den Du mit HJT im abgesicherten Modus bei deaktivierter Systemwiederherstellung fixen mußt: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6127411 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6127411 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=6127411 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...count_id=137233 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://best-search.cc/index.php?v=6&aff=6127411 O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll folgende Dateien manuell löschen: C:\WINDOWS\nsdb\hosts C:\WINDOWS\System32\xplugin.dll Danach wieder booten und Systemwiederherstellung wieder aktivieren. Außerdem: Dein System ist nicht gepatcht, solltest du tun. Ebenfalls AdAware SE runterladen und laufen lassen. Danach bitte neues Logfile posten.
__________________ |
|
08.11.2004, 23:17
| #4 |
| | Trojaner Problem wollte mich nur kurz bedanken und werde eure Tips gleich mal testen! Ich melde mich dann morgen mit den Logs! |
|
10.11.2004, 22:46
| #5 |
| | Trojaner Problem sry für die späte antwort. Mir hat es gereicht und ich habe inzw. Windows neu installiert. dafür habe ich jetzt ein anderes Problem... wollte SP2 installieren (benutze jetz XP Home) aber bei der Hälfte der Installation bleibt er hängen und ich muss einen Hardware Reset machen. Am Anfang meckert er auch schon rum bei der atapi.sys das er die nicht kopieren kann obwohl sie im richtigen ordner liegt... Hatte jetzt auch ab und zu das Problem das das I-Net mal 10min ging, danach wurden alle Verbindungen gekappt. Konnte mich auch nicht neu einwählen... erst nach einem Neustart wieder. Trojaner o.ä. wurden keine gefunden, ich finde das aber schonwieder sehr merkwürdig :/ Vielleicht weiß ja einer Rat. |
|
| Themen zu Trojaner Problem |
| adobe, bho, bitdefender, content.ie5, dateien, defender, einstellungen, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, microsoft, mozilla, mozilla firefox, opera, ordner, problem, programme, server, software, trojaner, trojaner problem, viren, windows xp |
Linear-Darstellung
