Logfile nach Trojanerbefall
 

Hallo Leute,

leider habe ich mich eben durch einen unbedachten Doppelklick in Bedrängnis begeben.
Ich habe eine Exe ausgeführt, worauf sich ein Fenster öffnete, das anscheinend einen Extrahierungsvorgang einleitete. Noch während des Vorgangs bekam ich etwa 5 oder 6 Trojanerwarnungen meines Antivir, teils im Temp-Ordner, teils schon in System32.

Ich habe daraufhin sofort die betroffenen Dateien gelöscht und ein erneuter Scan mit EScan im abgesicherten Modus ergab nchts bis auf zwei Adware-Files, die nun gelöscht sind.

Wäre super, wenn Ihr mal eine Blick auf mein Log werfen könntet. Die automatische Auswrtung hat nichts besonderes gefunden, aber sicher bin ich nicht.

Vielen Dank im Voraus!


Logfile of HijackThis v1.99.1
Scan saved at 20:20:48, on 21.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\WinSweep\WSPopup.Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Martin\LOKALE~1\Temp\Rar$EX00.545\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://v4.windowsupdate.microsoft.com/de/default.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe /STEP1 /SOUND
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094390417536
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - h**p://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42DBC3CA-907E-44DE-A3A4-D4EABEE65BBD}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB437CD4-2282-4ABF-AD41-9303ACDB8673}: NameServer = 62.27.27.62 195.247.247.195
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

_____________
Anm.
Aktive Links editiert!
Beachte die Hinweise dieser Anleitung: HiJackThis

LG Cidre
S-Mod TB

Ich kann nichts schlechtes finden.

Hallo,

Welcher Trojaner wurde denn von AntiVir identifiziert?

btw:
Beachte mein Edit in deinem Posting. ;)

Vielen Dank für deine rasche Antwort! Das klingt ja schon mal vielversprechend.

Jetzt stellt sich mir nur folgende Frage: Ich habe die per Antivir genannten Trojanerdateien ja alle im normalen Modus löschen lassen. Danach im abgesicherten Modus konnte der Scanner schon nichts mehr finden.

Ist das nicht a-typisch? Normalerweise hätte ein aktiver Trojaner doch wieder auftauchen müssen, oder?

Waren die angesprochenen Dateien eventuell keine aktiven Trojaner, sondern hätte ich diese nochmal anklicken müssen?

Entschuldigt die etwas naiven Fragen, aber ich bin da leider nicht so bewandert und will nur sicher gehen, dass mein System sauber ist.


@ Cidre:

Sorry, das mit den links war mir nicht bekannt. Kommt nicht wieder vor!

Hier mal das Antivir-Log:

21.05.2005,16:19:39 [WARNUNG] Ist das Trojanische Pferd TR/Agent.ABS!
C:\DOKUMENTE UND EINSTELLUNGEN\MARTIN\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\I12L4NOP\POLLER[1].EXE
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:19:51 [WARNUNG] Ist das Trojanische Pferd TR/Agent.ABS!
C:\WINDOWS\SYSTEM32\POLLER.EXE
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:20:07 [WARNUNG] Ist das Trojanische Pferd TR/Agent.ABS!
C:\WINDOWS\SYSTEM32\POLLER.EXE
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:20:06 [WARNUNG] Ist das Trojanische Pferd TR/Click.Age.DB.Dll!
C:\DOKUMENTE UND EINSTELLUNGEN\MARTIN\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\I12L4NOP\DRPMON[1].DLL
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:20:11 [WARNUNG] Ist das Trojanische Pferd TR/Click.Age.DB.Dll!
C:\WINDOWS\SYSTEM32\DRPMON.DLL
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:20:30 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.aqt!
C:\DOKUME~1\MARTIN\LOKALE~1\TEMP\NSN9C.TMP
21.05.2005,16:39:47 [INFO] Stop Filter Device.
21.05.2005,16:39:56 [EXIT] Der AVGuard Dienst wurde beendet!


//EDIT: Hatte ich denn da überhaupt einen aktiven Trojaner oder sind diese Dateien Installer oder sowas? //

@ Cidre:

Reicht das so mit dem Log oder kann ich dir noch irgendwas anderes Gutes tun? ;)

Das Log-File ist aussagekräftig genug. ;)

Wenn die Malware kein Selbstschutz besitzt, dann kann man diese auch im normalen Modus löschen. Es ist aber nicht unbedingt empfehlenswert.
Du hast diese ja schon aktiviert mit den 'unbedachten Doppelklick'.
Das kannst du letztlich nur mit einem Neuaufsetzen deines Systems erreichen.

Zukünftig den nervösen Zeigefinger unter Kontrolle halten und die Absicherungsmassnahmen in meiner Signatur studieren. ;)

An dieser Stelle mal vielen Dank für deine Hilfe! Ist wirklich spitze, wie schnell und kompetent einem hier geholfen wird. :daumenhoc


Du glaubst also, dass man jetzt keine Möglichkeit mehr hat zu überprüfen, ob diese Trojaner mein System gefährdet haben oder immer noch gefährden?
Kannst du mir noch ein Programm empfehlen, dass ich ausser HJT und EScan nochmal drüberschicken sollte?

Andernfalls werde ich das System wohl wirklich nochmal neu aufsetzen. Ich warte allerdings bis ich eine Windows-Upate-CD zugeschickt bekomme.
Will ja nicht danach direkt in die nächste Falle laufen... ;)


//EDIT: Gibt es vielleicht ein Programm, mit dessen Hilfe ich die Systempartition formatieren kann, ohne meine ganzen Daten zu verlieren, die auf einer anderen Festplatte liegen? //

Nein, du würdest es aufgrund der veränderten Startseite schon merken, wenn die Malware noch aktiv wäre. Also kannst du dir ein Gegenprüfen durch andere AV Anwendungen ersparen.