| |
| |||||||
Log-Analyse und Auswertung: Noch ein Trojaner OpferWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.11.2004, 21:53
| #1 |
 |  Noch ein Trojaner Opfer Hallo! Ich hoffe ihr könnt mir weiterhelfen. Ich habe den Kaspersky Scanner im abgesicherten Modus den ganzen Rechner durchjagen lassen. Er hat auch einige Trojaner gefunden und sie entfernt. Aber sobald ich wieder normal starte, habe ich das gleich Problem. Meine Cpu Auslastung ist bei 100% und ich kann nach kurzer Zeit nichts mehr machen. Hier mein HiJackthisLog während des normalen Betriebes: Logfile of HijackThis v1.98.2 Scan saved at 21:46:41, on 18.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\Programme\iTunes\iTunesHelper.exe C:\programme\powerstrip\pstrip.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\flcss.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\YA\Desktop\anti_trojaner\HijackThis.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\imapi.exe C:\WINDOWS\system32\rundll32.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0\\RegistryController.exe" O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...show.php?cc=de O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095838883125 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3502B3A-F97A-4423-BDA9-5267079EE830}: NameServer = 192.168.0.1 |
|
18.11.2004, 21:58
| #2 |
  |  Noch ein Trojaner Opfer Dies im abgesicherten modus bei deaktivierter Systemwiederherstellung Fixen:
__________________O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MT.../show.php?cc=de O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...aa2edc6fc4885a4 Dein Problem ist wahrscheinlich folgendes: Wenn ichs richtig sehe hast du Panda Antivirus und Kaspersky Anti Virus gleichzeitig laufen, das sollte man auf keinen Fall machen. 2 Virenscanner behindern sich nur und verursachen fehler, wenn sie paralell laufen. Also entscheide dich für einen der beiden VirenWächter. Für On-Demand scans kannst du den zweiten dann natürlich aktviert lassen. |
|
18.11.2004, 22:11
| #3 |
| | Noch ein Trojaner Opfer 1. Frage: wie stell ich das ein: abgesicherter Modus bei deaktiviertter Systemwiederherstellung?
__________________also wie ich in den abgesichertten Modus komme weiss ich, aber wie asktiviere ich die "deaktivierung der systemwiederherstellung"? 2.Frage  was ist mit F-Prot und esacn?kann man die zusammen laufen lassen? |
|
18.11.2004, 22:16
| #4 | |
 | Noch ein Trojaner OpferZitat:
zu 2 - F-Prot kann ausgestellt werden, im abgesicherten Modus, wie alle anderen Programme auch. eScan hat keinen Hintergrundwächter und wird nur zur Prüfung des Rechners verwendet. Beide Programme laufen also nicht zusammen. SD |
|
18.11.2004, 22:22
| #5 |
| | Noch ein Trojaner Opfer danke für die schnelle Antwort. Habe alles umgesetzt, es hat sich aber prinzipiel nichts geändert. Die Cpu Auslastung ist immer noch auf 100%. Hier die aktuelle Log datei: Logfile of HijackThis v1.98.2 Scan saved at 22:09:10, on 18.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\Programme\iTunes\iTunesHelper.exe C:\programme\powerstrip\pstrip.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\flcss.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\YA\Desktop\anti_trojaner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0\\RegistryController.exe" O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095838883125 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3502B3A-F97A-4423-BDA9-5267079EE830}: NameServer = 192.168.0.1 |
|
18.11.2004, 22:25
| #6 | |
| | Noch ein Trojaner OpferZitat:
|
|
18.11.2004, 22:34
| #7 |
| | Noch ein Trojaner Opfer Das wird auch in dem von SD geposteten Link erklärt |
|
18.11.2004, 22:35
| #8 |
| | Noch ein Trojaner Opfer |
|
18.11.2004, 22:40
| #9 |
| | Noch ein Trojaner Opfer Kein Virus gefunden! Service load: 0% 100% File: flcss.exe Status: OK Packers detected: None AntiVir No viruses found (0.15 seconds taken) Avast No viruses found (1.72 seconds taken) BitDefender No viruses found (0.95 seconds taken) ClamAV No viruses found (0.64 seconds taken) Dr.Web No viruses found (0.46 seconds taken) F-Prot Antivirus No viruses found (0.05 seconds taken) Kaspersky Anti-Virus No viruses found (0.55 seconds taken) mks_vir No viruses found (0.19 seconds taken) NOD32 No viruses found (0.32 seconds taken) Norman Virus Control No viruses found (0.57 seconds taken) |
|
18.11.2004, 22:44
| #10 |
| | Noch ein Trojaner Opfer ich denke schon dran mein System neu aufzusetzen, aber das wäre eine sau Arbeit, weil allein schon die Einstellungen und die Daten zu sichern ist total aufwendig. Kann man vielleicht Windows drüberkopieren, sodass alle Benutzer und Programme erhalten bleiben? Aber ich muss sagen, dass sich das ganze sehr verbessert hat. Also es läuft um einiges viel besser, aber der Cpu ausschlag ist immer noch auf 100%. Und der Prozess svchost.exe beansprucht etwa 38mb Geändert von Yaap (18.11.2004 um 22:49 Uhr) |
|
18.11.2004, 22:47
| #11 |
| | Noch ein Trojaner Opfer Hallo Yaap, um sicher zu gehen, ob Du richtig denkst, könntest Du bitte den eScan auf Deinem Rechner ausführen: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. SD |
|
18.11.2004, 22:54
| #12 |
| | Noch ein Trojaner Opfer @SD Er hat doch schon mit KAV gescannt @YAPP Was hat KAV denn eigentlich gefunden? |
|
19.11.2004, 00:06
| #13 |
| | Noch ein Trojaner Opfer @SD Da hat Lidius recht! @LD folgende Einträge hat er als Trojanisches Programm bzw. Virus TrojanDownloader identifiziert und gelöscht: c:/windows/nsdb/hosts -> Win32.Qhost.y c:/windows/system32/tksrv98.exe -> Win32.Esepor.q c:/windows/system32/tmksrvu.exe -> Win32.Esepor.s c:/windows/system32/xplugin.dll -> Win32.Esepor.q c:/windows/system32/config/systemprofile/Anwendungsdaten/Opera/Opera75/profile/cache4/opr0001T.js -> JS.FlingStone |
|
19.11.2004, 00:19
| #14 |
| | Noch ein Trojaner Opfer Läuft KAV mit den Standart oder den erweiterten Signaturen? (Um nachzusehen KAV öffnen -> Einstellungen ->Update ->dort muss "aus dem Internet, erweiterte Datenbanken" angewählt sein) Falls nicht bisher mit Standart Signaturen gearbeitet wurde, das in KAV umstellen, updates runterladen, nochmal den PC mit KAV scannen |
|
19.11.2004, 00:25
| #15 |
| | Noch ein Trojaner Opfer Habe das ganze umgestellt und er zieht sich gerade die erweiterten Signaturen. Das Scannen kann wieder eine Zeit lang dauern. Melde mich morgen wieder. Vielen Dank! |
|
| Themen zu Noch ein Trojaner Opfer |
| 100%, abgesicherten modus, adobe, antivirus, auslastung, bho, converter, cpu, desktop, dll, einstellungen, explorer, hijack, internet, internet explorer, kaspersky, nvidia, pdf, registry, rundll, scan, software, sun java, system, tcpip, trojaner, trojaner gefunden, viewpoint, windows, windows messenger, windows xp |
Linear-Darstellung
