Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Befall!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 23.11.2004, 17:12   #1
HeinzR
 
Befall! - Standard

Befall!



Hi,
auch mich hat es jetzt erwischt.
Ich benutze AntiVir das ich auch fast jeden Tag aktualisiere.
Nun bekomme ich verschiedene Meldungen:

Worm/Bagle.AT (allerdings ist dieser in einem Cab-Archive meines Emailprogs, hab ich wohl vor dem löschen mit archiviert, ist wohl auch nicht aktiv)
TR/HideRun.A.2

Habe mal HijackThis2 laufen lassen mit diesem Ergebnis:

Logfile of HijackThis v1.98.2
Scan saved at 16:52:44, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\msdev.exe
C:\WINDOWS\System32\iexplore.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\uline.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\logfile.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SpamPal\spampal.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Opera\opera.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Bandy-Script\Bandy-Script.exe
C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Downloads\Software\HiJackThis\hijackthis1982\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe
O4 - HKLM\..\Run: [nternet Explorer] iexplore.exe
O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\logfile.exe
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [nternet Explorer] iexplore.exe
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKLM\..\RunOnce: [msdev] msdev.exe
O4 - HKLM\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msdev] msdev.exe
O4 - HKCU\..\Run: [nternet Explorer] iexplore.exe
O4 - HKCU\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - HKCU\..\RunOnce: [msdev] msdev.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{E706CCCD-822E-44CF-B5CA-04B7692E9ACF}: NameServer = 217.237.150.33 217.237.151.161

Msdev hab ich bereits gefixt.

Allerdings weiss ich nicht was es hiermit auf sich hat:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Ich denke aber mal das war es nicht alleine, der Hide steckt laut AntiVir-Scan auch in einer Cap-Datei von win.

C:\Dokumente und Einstellungen\Heinz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTEJ05YV
0006_regular[1].cab
ArchiveType: CAB (Microsoft)
--> istactivex.dll
[FUND!] Ist das Trojanische Pferd TR/HideRun.A.2

Das temporäre Verzeichnis werde ich mal komplett löschen, mal sehen ob das was bringt.
Hat nix gebracht. Nachdem ich mich wieder ins Internet eingeloggt hab kam gleich wieder AntiVir-Meldung: TR/Dldr.Dyfuca.DB . Gleichzeitig hat auch wieder der IE geöffnet. Grundsätzlich arbeite ich allerdings mit Opera.


Ein erneuter Lauf von HiJack brachte folgendes Ergebnis:

Logfile of HijackThis v1.98.2
Scan saved at 17:55:02, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\msdev.exe
C:\WINDOWS\System32\iexplore.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\uline.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\logfile.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Downloads\Software\HiJackThis\hijackthis1982\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe
O4 - HKLM\..\Run: [nternet Explorer] iexplore.exe
O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\logfile.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [nternet Explorer] iexplore.exe
O4 - HKLM\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [nternet Explorer] iexplore.exe
O4 - HKCU\..\RunOnce: [nternet Explorer] iexplore.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...676fd4c28c535f
O17 - HKLM\System\CCS\Services\Tcpip\..\{E706CCCD-822E-44CF-B5CA-04B7692E9ACF}: NameServer = 217.237.150.33 217.237.151.161

Die Datei msdev.exe hab ich jetzt mal umbenannt. Mal schauen was jetzt passiert.

Ich werde auch wieder demnächst meine Firewall ZoneAlarm installieren.

Hat jemand weitere Infos?

Gruß

Heinz

Geändert von HeinzR (23.11.2004 um 17:53 Uhr)

 

Themen zu Befall!
aktiv, antivir, avg, button, content.ie5, dateien, einstellungen, ergebnis, excel, explorer, firewall, folge, heulen, hijack, hijackthis, internet, internet explorer, komplett löschen, links, löschen, microsoft, opera, programme, software, system, system32, tcpip, windows, windows xp, worm/bagle.a




Ähnliche Themen: Befall!


  1. Befall mit cdncache-a
    Log-Analyse und Auswertung - 22.09.2014 (3)
  2. virus befall ???
    Log-Analyse und Auswertung - 28.05.2013 (3)
  3. GVU Trojaner Befall
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (16)
  4. Gvu Trojaner Befall mit cam
    Log-Analyse und Auswertung - 05.12.2012 (2)
  5. Incredibar Befall
    Plagegeister aller Art und deren Bekämpfung - 20.11.2012 (3)
  6. IncrediBar Befall
    Plagegeister aller Art und deren Bekämpfung - 12.10.2012 (28)
  7. GVU 2.07 Befall
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (4)
  8. Mehrfachtrojaner-Befall
    Plagegeister aller Art und deren Bekämpfung - 06.07.2012 (7)
  9. Dropper.gen befall
    Plagegeister aller Art und deren Bekämpfung - 09.10.2010 (8)
  10. Verdacht auf Befall
    Log-Analyse und Auswertung - 24.09.2010 (1)
  11. Your Protection Befall
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (7)
  12. Verdacht auf Befall
    Log-Analyse und Auswertung - 18.02.2010 (1)
  13. Trjoaner befall ?
    Mülltonne - 09.01.2008 (0)
  14. TR/Vundo.Gen Befall
    Plagegeister aller Art und deren Bekämpfung - 27.11.2007 (28)
  15. PC Befall
    Plagegeister aller Art und deren Bekämpfung - 24.11.2007 (0)
  16. PC befall!!!!
    Plagegeister aller Art und deren Bekämpfung - 30.05.2007 (1)
  17. W32 Befall
    Plagegeister aller Art und deren Bekämpfung - 05.04.2006 (4)

Zum Thema Befall! - Hi, auch mich hat es jetzt erwischt. Ich benutze AntiVir das ich auch fast jeden Tag aktualisiere. Nun bekomme ich verschiedene Meldungen: Worm/Bagle.AT (allerdings ist dieser in einem Cab-Archive meines - Befall!...
Archiv
Du betrachtest: Befall! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.