![]() |
|
Log-Analyse und Auswertung: Befall!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() | ![]() Befall! Hi, auch mich hat es jetzt erwischt. ![]() Ich benutze AntiVir das ich auch fast jeden Tag aktualisiere. Nun bekomme ich verschiedene Meldungen: Worm/Bagle.AT (allerdings ist dieser in einem Cab-Archive meines Emailprogs, hab ich wohl vor dem löschen mit archiviert, ist wohl auch nicht aktiv) TR/HideRun.A.2 Habe mal HijackThis2 laufen lassen mit diesem Ergebnis: Logfile of HijackThis v1.98.2 Scan saved at 16:52:44, on 23.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\msdev.exe C:\WINDOWS\System32\iexplore.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\uline.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\logfile.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\SpamPal\spampal.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Opera\opera.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Bandy-Script\Bandy-Script.exe C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Downloads\Software\HiJackThis\hijackthis1982\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe O4 - HKLM\..\Run: [nternet Explorer] iexplore.exe O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\logfile.exe O4 - HKLM\..\Run: [msdev] msdev.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [nternet Explorer] iexplore.exe O4 - HKLM\..\RunServices: [msdev] msdev.exe O4 - HKLM\..\RunOnce: [msdev] msdev.exe O4 - HKLM\..\RunOnce: [nternet Explorer] iexplore.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [msdev] msdev.exe O4 - HKCU\..\Run: [nternet Explorer] iexplore.exe O4 - HKCU\..\RunOnce: [nternet Explorer] iexplore.exe O4 - HKCU\..\RunOnce: [msdev] msdev.exe O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{E706CCCD-822E-44CF-B5CA-04B7692E9ACF}: NameServer = 217.237.150.33 217.237.151.161 Msdev hab ich bereits gefixt. Allerdings weiss ich nicht was es hiermit auf sich hat: O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx Ich denke aber mal das war es nicht alleine, der Hide steckt laut AntiVir-Scan auch in einer Cap-Datei von win. C:\Dokumente und Einstellungen\Heinz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OTEJ05YV 0006_regular[1].cab ArchiveType: CAB (Microsoft) --> istactivex.dll [FUND!] Ist das Trojanische Pferd TR/HideRun.A.2 Das temporäre Verzeichnis werde ich mal komplett löschen, mal sehen ob das was bringt. Hat nix gebracht. Nachdem ich mich wieder ins Internet eingeloggt hab kam gleich wieder AntiVir-Meldung: TR/Dldr.Dyfuca.DB . Gleichzeitig hat auch wieder der IE geöffnet. Grundsätzlich arbeite ich allerdings mit Opera. Ein erneuter Lauf von HiJack brachte folgendes Ergebnis: Logfile of HijackThis v1.98.2 Scan saved at 17:55:02, on 23.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\msdev.exe C:\WINDOWS\System32\iexplore.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\uline.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\logfile.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\SpamPal\spampal.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\Heinz\Eigene Dateien\Downloads\Software\HiJackThis\hijackthis1982\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\uline.exe O4 - HKLM\..\Run: [nternet Explorer] iexplore.exe O4 - HKLM\..\Run: [winlogin.exe] C:\WINDOWS\logfile.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [nternet Explorer] iexplore.exe O4 - HKLM\..\RunOnce: [nternet Explorer] iexplore.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [nternet Explorer] iexplore.exe O4 - HKCU\..\RunOnce: [nternet Explorer] iexplore.exe O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...676fd4c28c535f O17 - HKLM\System\CCS\Services\Tcpip\..\{E706CCCD-822E-44CF-B5CA-04B7692E9ACF}: NameServer = 217.237.150.33 217.237.151.161 Die Datei msdev.exe hab ich jetzt mal umbenannt. Mal schauen was jetzt passiert. Ich werde auch wieder demnächst meine Firewall ZoneAlarm installieren. Hat jemand weitere Infos? Gruß Heinz Geändert von HeinzR (23.11.2004 um 17:53 Uhr) |
Themen zu Befall! |
aktiv, antivir, avg, button, content.ie5, dateien, einstellungen, ergebnis, excel, explorer, firewall, folge, heulen, hijack, hijackthis, internet, internet explorer, komplett löschen, links, löschen, microsoft, opera, programme, software, system, system32, tcpip, windows, windows xp, worm/bagle.a |