Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile nach Trojanerbefall (https://www.trojaner-board.de/18097-logfile-trojanerbefall.html)

todesreiter 21.05.2005 19:24

Logfile nach Trojanerbefall
 
Hallo Leute,

leider habe ich mich eben durch einen unbedachten Doppelklick in Bedrängnis begeben.
Ich habe eine Exe ausgeführt, worauf sich ein Fenster öffnete, das anscheinend einen Extrahierungsvorgang einleitete. Noch während des Vorgangs bekam ich etwa 5 oder 6 Trojanerwarnungen meines Antivir, teils im Temp-Ordner, teils schon in System32.

Ich habe daraufhin sofort die betroffenen Dateien gelöscht und ein erneuter Scan mit EScan im abgesicherten Modus ergab nchts bis auf zwei Adware-Files, die nun gelöscht sind.

Wäre super, wenn Ihr mal eine Blick auf mein Log werfen könntet. Die automatische Auswrtung hat nichts besonderes gefunden, aber sicher bin ich nicht.

Vielen Dank im Voraus!


Logfile of HijackThis v1.99.1
Scan saved at 20:20:48, on 21.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\WinSweep\WSPopup.Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Martin\LOKALE~1\Temp\Rar$EX00.545\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://v4.windowsupdate.microsoft.com/de/default.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe /STEP1 /SOUND
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094390417536
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - h**p://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42DBC3CA-907E-44DE-A3A4-D4EABEE65BBD}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB437CD4-2282-4ABF-AD41-9303ACDB8673}: NameServer = 62.27.27.62 195.247.247.195
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

_____________
Anm.
Aktive Links editiert!
Beachte die Hinweise dieser Anleitung: HiJackThis

LG Cidre
S-Mod TB

felix1 21.05.2005 19:35

Ich kann nichts schlechtes finden.

Cidre 21.05.2005 19:42

Hallo,

Zitat:

5 oder 6 Trojanerwarnungen meines Antivir, teils im Temp-Ordner, teils schon in System32.
Welcher Trojaner wurde denn von AntiVir identifiziert?

btw:
Beachte mein Edit in deinem Posting. ;)

todesreiter 21.05.2005 19:44

Vielen Dank für deine rasche Antwort! Das klingt ja schon mal vielversprechend.

Jetzt stellt sich mir nur folgende Frage: Ich habe die per Antivir genannten Trojanerdateien ja alle im normalen Modus löschen lassen. Danach im abgesicherten Modus konnte der Scanner schon nichts mehr finden.

Ist das nicht a-typisch? Normalerweise hätte ein aktiver Trojaner doch wieder auftauchen müssen, oder?

Waren die angesprochenen Dateien eventuell keine aktiven Trojaner, sondern hätte ich diese nochmal anklicken müssen?

Entschuldigt die etwas naiven Fragen, aber ich bin da leider nicht so bewandert und will nur sicher gehen, dass mein System sauber ist.


@ Cidre:

Sorry, das mit den links war mir nicht bekannt. Kommt nicht wieder vor!

Hier mal das Antivir-Log:

21.05.2005,16:19:39 [WARNUNG] Ist das Trojanische Pferd TR/Agent.ABS!
C:\DOKUMENTE UND EINSTELLUNGEN\MARTIN\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\I12L4NOP\POLLER[1].EXE
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:19:51 [WARNUNG] Ist das Trojanische Pferd TR/Agent.ABS!
C:\WINDOWS\SYSTEM32\POLLER.EXE
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:20:07 [WARNUNG] Ist das Trojanische Pferd TR/Agent.ABS!
C:\WINDOWS\SYSTEM32\POLLER.EXE
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:20:06 [WARNUNG] Ist das Trojanische Pferd TR/Click.Age.DB.Dll!
C:\DOKUMENTE UND EINSTELLUNGEN\MARTIN\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\I12L4NOP\DRPMON[1].DLL
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:20:11 [WARNUNG] Ist das Trojanische Pferd TR/Click.Age.DB.Dll!
C:\WINDOWS\SYSTEM32\DRPMON.DLL
[INFO] Die Datei wurde gelöscht!
21.05.2005,16:20:30 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.aqt!
C:\DOKUME~1\MARTIN\LOKALE~1\TEMP\NSN9C.TMP
21.05.2005,16:39:47 [INFO] Stop Filter Device.
21.05.2005,16:39:56 [EXIT] Der AVGuard Dienst wurde beendet!


//EDIT: Hatte ich denn da überhaupt einen aktiven Trojaner oder sind diese Dateien Installer oder sowas? //

todesreiter 21.05.2005 21:05

@ Cidre:

Reicht das so mit dem Log oder kann ich dir noch irgendwas anderes Gutes tun? ;)

Cidre 21.05.2005 21:31

Das Log-File ist aussagekräftig genug. ;)

Zitat:

Ist das nicht a-typisch? Normalerweise hätte ein aktiver Trojaner doch wieder auftauchen müssen, oder?
Wenn die Malware kein Selbstschutz besitzt, dann kann man diese auch im normalen Modus löschen. Es ist aber nicht unbedingt empfehlenswert.
Zitat:

Waren die angesprochenen Dateien eventuell keine aktiven Trojaner, sondern hätte ich diese nochmal anklicken müssen?
Du hast diese ja schon aktiviert mit den 'unbedachten Doppelklick'.
Zitat:

und will nur sicher gehen, dass mein System sauber ist.
Das kannst du letztlich nur mit einem Neuaufsetzen deines Systems erreichen.

Zukünftig den nervösen Zeigefinger unter Kontrolle halten und die Absicherungsmassnahmen in meiner Signatur studieren. ;)

todesreiter 21.05.2005 21:38

An dieser Stelle mal vielen Dank für deine Hilfe! Ist wirklich spitze, wie schnell und kompetent einem hier geholfen wird. :daumenhoc


Du glaubst also, dass man jetzt keine Möglichkeit mehr hat zu überprüfen, ob diese Trojaner mein System gefährdet haben oder immer noch gefährden?
Kannst du mir noch ein Programm empfehlen, dass ich ausser HJT und EScan nochmal drüberschicken sollte?

Andernfalls werde ich das System wohl wirklich nochmal neu aufsetzen. Ich warte allerdings bis ich eine Windows-Upate-CD zugeschickt bekomme.
Will ja nicht danach direkt in die nächste Falle laufen... ;)


//EDIT: Gibt es vielleicht ein Programm, mit dessen Hilfe ich die Systempartition formatieren kann, ohne meine ganzen Daten zu verlieren, die auf einer anderen Festplatte liegen? //

Cidre 21.05.2005 21:45

Zitat:

Kannst du mir noch ein Programm empfehlen, dass ich ausser HJT und EScan nochmal drüberschicken sollte?
Nein, du würdest es aufgrund der veränderten Startseite schon merken, wenn die Malware noch aktiv wäre. Also kannst du dir ein Gegenprüfen durch andere AV Anwendungen ersparen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131