| |
| |||||||
Log-Analyse und Auswertung: Hilfe Trojaner BefallWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.11.2004, 22:51
| #1 |
| |  Hilfe Trojaner Befall Hallo Hab ein riesiges Trojanerproblem. Ich lösche andauernd Trojaner von meinem Computer aber die tauchen immer wieder auf meist dieselben. Und ich bin mit meinem Latein am Ende Benutze Windows XP und habe das Service Pack 2 Als Anti Virus programm hab ich F-Secure (automatische Updates). Systemwiederherstellung habe ich deaktiviert.. heute hab ich 3 Viren entdeckt durch f-secure Trojan.Win32.Favadd.d wurde gelöscht TrojanDownloader.Win32.Agent.ae konnte weder gelöscht noch sonst was werden weil in einem Archiv virus dropper in C:/Temp/Installer2.exe auch gelöscht mein HijackThis Log Logfile of HijackThis v1.98.2 Scan saved at 22:46:12, on 08.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\S3hotkey.exe C:\WINDOWS\system32\S3tray2.exe C:\Programme\Microsoft Works\WksSb.exe C:\NORMAN\nvc\BIN\ZLH.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\F-Secure\Common\FSM32.EXE C:\Program Files\Windows AdTools\WinAdTools.exe C:\Program Files\Windows AdTools\WinRatchet.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\WinZip\WZQKPICK.EXE C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\Programme\AMD\PowerNow!\GemServ.exe C:\Programme\AMD\PowerNow!\gemback.exe C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\slserv.exe C:\NORMAN\nvc\BIN\NYMSE.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\Programme\F-Secure\Common\FSMB32.EXE C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE C:\NORMAN\nvc\BIN\NVCSCHED.EXE C:\NORMAN\nvc\BIN\NJEEVES.EXE C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\F-Secure\Common\FIH32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\NORMAN\nvc\BIN\nvcoas.exe C:\NORMAN\nvc\BIN\cclaw.exe C:\Programme\Trillian\trillian.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Animes\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://crackspider.net/ie/sbar.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.com/nph...r=wesearch&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.windowenhancer.com/nph...r=wesearch&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.com/nph...r=wesearch&kw= R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://crackspider.net/ie/assist.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph...r=wesearch&kw= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph...r=wesearch&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph...r=wesearch&kw= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.170.48.226:3128 R3 - URLSearchHook: (no name) - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file) O1 - Hosts: 213.239.0.226 crackspider.com O1 - Hosts: 213.239.0.226 www.crackspider.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Guidescope.lnk = C:\Programme\Guidescope\guide.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O9 - Extra button: Popup Eliminator - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Programme\SurfSecret\Popup Eliminator\PEToolBar520.dll O9 - Extra 'Tools' menuitem: Popup Eliminator - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Programme\SurfSecret\Popup Eliminator\PEToolBar520.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Search cracks at CrackSpider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://crackspider.net/ie/btn.php (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Search cracks at CrackSpider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://crackspider.net/ie/btn.php (file missing) (HKCU) O16 - DPF: {10954C80-4F0F-11D3-B17C-00C0DFE39736} - http://hot.thebugs.ws/fav.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...e58ca20accdb9a O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.co...veX/winrep.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1108d7d1ae886fc...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099043839723 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {78A730D4-0DF3-4B65-8DD2-BFCD433CEE30} - http://www.surfsecret.com/inst/PEInstaller.exe O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab Ich hoffe irgendwer kann mir weiterhelfen... |
|
08.11.2004, 23:23
| #2 |
| Gast | Hilfe Trojaner Befall__________________ |
|
09.11.2004, 15:26
| #3 |
| | Hilfe Trojaner Befall hier mein Viren Log von eScan
__________________File C:\WINDOWS\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken. File C:\WINDOWS\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken. File C:\WINDOWS\Downloaded Program Files\WinAdToolsX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. File C:\WINDOWS\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken. File C:\WINDOWS\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\_update.dat infected by "TrojanSpy.Win32.Agent.l" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Patch202.0xe infected by "TrojanDropper.Win32.Agent.r" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Patch212.0xe infected by "TrojanDropper.Win32.Agent.r" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Patch222.0xe infected by "TrojanDropper.Win32.Agent.r" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI39AC.tmp\localNrd.cab tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI39AC.tmp\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\THI39AC.tmp\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTF7TOP\bridge-c18[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTF7TOP\bridge-c1[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Jutta\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Erasmus\fsupdate.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Erasmus\DivXPro511Adware.exe tagged as not-a-virus:AdWare.Gator. No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Mine\ascltt.backup.txt.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Mine\DivXPro511Adware.exe tagged as not-a-virus:AdWare.Gator. No Action Taken. File C:\Programme\KaZaA\My Shared Folder\kmd171_de.exe tagged as not-a-virus:AdWare.Cydoor. No Action Taken. File C:\Programme\KFH\cl\dating.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\Programme\Web_Rebates\disp1150.exe tagged as not-a-virus:AdWare.WebRebates.c. No Action Taken. File C:\DRVS\main\Raminkit.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.21. No Action Taken. File C:\r.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken. File C:\TEMP\lc.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken. File C:\TEMP\WebRebates_Auto_InstallSilent_Euro.exe tagged as not-a-virus:AdWare.WebRebates.b. No Action Taken. File C:\TEMP\INSTALLER2.0XE infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken. File C:\MSVC32.0XE infected by "Backdoor.Win32.Agobot.uq" Virus. Action Taken: No Action Taken. File C:\MSLTI64.0XE infected by "Backdoor.Win32.Agobot.vm" Virus. Action Taken: No Action Taken. File C:\AVP-32.0XE infected by "Backdoor.Agobot.pp" Virus. Action Taken: No Action Taken. File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File C:\explorer.0xe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken. File D:\explore.0xe infected by "Worm.P2P.SpyBot.gen" Virus. Action Taken: No Action Taken schaut nicht gut aus .. wie is das eigentlich sollte ich meine passwörter ändern? und ich habe auch Online Banking und Kreditkarte verwendet? bin ziemlich besorgt.. |
|
09.11.2004, 16:26
| #4 |
  | Hilfe Trojaner Befall Ja, schaut wirklich nicht besonders aus! Da waren ein paar TrojanDownloader drauf, was die Dinger nachgeladen haben, muss man in den Logs nicht unbedingt sehen, ich bin wirklich nicht der Panikmacher hier, aber ich würde schnellstens die PWs ändern und, ich kenne deine Fähigkeiten nicht, nicht sogar das OS neu aufsetzen, geht schneller und ist sicherer als Handarbeit! Liebe Grüße, Charlie
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. |
|
11.11.2004, 17:45
| #5 |
| | Hilfe Trojaner Befall also meine Computerkenntnisse sind wirklich net gut eher bescheiden... hab erstmal alle Passwörter auf nem anderen Computer geändert und mir ne Firewall zugelegt ZoneAlarm und dann mal begonnen mit rauslöschen was eScan erkannt hat, war noch net fertig damit hat mir F-Secure neue Viren angezeigt.. werd das weiter probieren, aber denke an neu aufsetzen komm ich net herum irgendwelche Tips wie ich meinen Computer sicherer machen kann, damit ich das Problem net noch mal hab.. wäre echt dankbar.. das ganze raubt mir den letzten Nerv |
|
11.11.2004, 18:12
| #6 |
 | Hilfe Trojaner Befall Hi sera, Du bist mit Deinem kompromittierten System eine Gefahr auch für andere. Deshalb: weg vom Netz und neu aufsetzen a` la cidre. Halte dich genau an die Anweisungen des Links! Alles Andere wäre leichtfertig!
__________________ --> Hilfe Trojaner Befall |
|
| Themen zu Hilfe Trojaner Befall |
| .exe, .html, adobe, askbar, besitzer, bho, computer, dateien, drivers, einstellungen, ellung, enigma, explorer, f-secure, file missing, google, hijack, hijackthis, hilfe, hilfe trojaner, immer wieder, internet, internet explorer, meinem, microsoft, norman, popup, programm, programme, software, trojaner, trojaner befall, updates, urlsearchhook, viren, virus, windows, windows messenger, windows xp |
Linear-Darstellung
