Trojaner-Board - System nach Virus Alarm

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - System nach Virus Alarm (https://www.trojaner-board.de/19052-system-virus-alarm.html)

System nach Virus Alarm

Hi Leute, habe gerade mal ein Log File erstellt, nachdem ich bei einem Virus die WP.exe nicht finden konnte, bin ich mir jetzt nicht sicher wie es aussieht.

Logfile of HijackThis v1.99.1
Scan saved at 14:37:21, on 18.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Virenscanner\AVPersonal\AVGUARD.EXE
C:\Programme\aon\aonDialerControl\aonDialerControllS.exe
C:\Programme\Virenscanner\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Wisterer HX\wistererhx.exe
C:\Programme\Kommunikation\Miranda IM\miranda32.exe
C:\PROGRA~1\Java\J2RE14~1.2_0\bin\java.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\hjJack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.adobe.com/products/photos...wfeatures.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Guard NT] C:\Programme\aon\aonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\wistererhx.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Miranda IM.lnk = C:\Programme\Kommunikation\Miranda IM\miranda32.exe
O4 - Global Startup: Verknüpfung mit Arbeitszeiten 2005.lnk = C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Arbeit\Arbeitszeiten 2005.xls
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Virenscanner\AVPersonal\AVGUARD.EXE
O23 - Service: aonDialerControll - mquadr.at software engineering & consulting GmbH - C:\Programme\aon\aonDialerControl\aonDialerControllS.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Virenscanner\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Guard NT - Ikarus Software Wien - C:\Programme\aon\aonVirenchecker\GuardNT\guardNt.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

mfg Darian

P.S.: Wenn das falsch ist, muß ich es nochmal genauer durch gehen.

@Darian
Sp2 fehlt, natürlich, ansonsten sieht dein Log sauber aus.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Hallo,

super danke, das wurde alles so gemacht wie du es beschrieben hast.

Das Problem ist nur dass ich SP2 nicht installieren kann, weil er einfach stehen bleibt komischerweise. Ist das Problem irgendwie bekannt? (werde einfach mal eine andere SP2 CD suchen)

Kann ich SP2 im Abgesichertem Modus installieren?

mfg Darian

P.S.: eScan wird gemacht sobald SP2 oben ist...

@Darian

Zitat:

Das Problem ist nur dass ich SP2 nicht installieren kann, weil er einfach stehen bleibt komischerweise. Ist das Problem irgendwie bekannt?

Vor der Installation sollen alle Programme inkl. Antivir und Firewall beendet werden. Ansonsten: nimm mal Google in Anspruch: http://search.microsoft.com/search/r...3&na=33&cm=512

Zitat:

werde einfach mal eine andere SP2 CD suchen

Warum ist von einer CD die Rede? Kopiere die datei auf die FP - es wird schneller gehen.

Zitat:

Kann ich SP2 im Abgesichertem Modus installieren?

AFAIK nein

Zitat:

eScan wird gemacht sobald SP2 oben ist...

Was hat Eines mit dem Anderen zu tun? Wenn du eine ernsthafte Plage am PC haben solltest, müsstest du dann u.U. Win neu installlieren. Und SP2 dann auch ;).

Hi Leute, schreibe gerade von einem anderen Rechner, aber wie lange dürfte eScan normalerweise dauern?? Weil es geht weniger weiter, und er läuft jetzt schon über 1h 30min, und er durchläuft nur sporadisch Datein.

Gruss Darian

@Darian
hängt von der Zahl der Dateien ab, kann auch schon mal mehrere Stunden gehen

chaosman

Hallo Leute,

die mwav datei ist 18 mb groß :-) Aber da stehen alle Folder..usw drinnen, gibt es da noch was anderes?

Das ist komischerweise die einzige die ich finde, da muß es doch noch wo etwas geben...?

Gruss Darian

Hi, natürlich mein Fehler

Hier das Log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 21 18:09:55 2005 => File C:\PROGRA~1\PARALL~1\ptask.exe infected by "Trojan-Downloader.Win32.Centim.am" Virus! Action Taken: No Action Taken.
Tue Jun 21 20:08:49 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Downloads\Schund Tools\password.exe infected by "Trojan-Spy.Win32.Qeds.a" Virus! Action Taken: No Action Taken.
Tue Jun 21 22:54:40 2005 => Scanning Folder: C:\Programme\Virenscanner\AVPersonal\INFECTED\*.*
Tue Jun 21 23:30:06 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.
Wed Jun 22 01:08:29 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 21 18:24:45 2005 => File C:\apache2\xampp\apache\bin\pv.exe tagged as not-a-virus:Tool.Win32.PrcView.3725. No Action Taken.
Tue Jun 21 20:05:11 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\CMS\xampp-win32.exe tagged as not-a-virus:Tool.Win32.PrcView.3725. No Action Taken.
Tue Jun 21 20:05:32 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Cracks\opf_120_nocd.zip tagged as not-a-virus:CrackTool.Win32.AssasinPatch. No Action Taken.
Tue Jun 21 20:05:32 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Cracks\opf_120_nocd1.zip tagged as not-a-virus:CrackTool.Win32.AssasinPatch. No Action Taken.
Tue Jun 21 20:05:39 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Downloads\AudioCatalyst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:06:32 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Downloads\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:06:32 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Downloads\FTP Client\FlashFXP_21_Setup-nohelp.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:09:14 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Fernwartung\tightvnc-1.2.9-setup.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.h. No Action Taken.
Tue Jun 21 20:10:54 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Formatierungs Datein\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:11:02 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Formatierungs Datein\Mirc\mirc616.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
Tue Jun 21 20:11:46 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Formatierungs Datein\Video Viewer\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:20:20 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\MMORPG\Ultima Online\andere Datein\girc26.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:24:08 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Pods\pod20install.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:59:17 2005 => File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\A.exe tagged as "not-a-virus:Dialer.Win32.PlayGames". Action Taken: No Action Taken.
Tue Jun 21 21:38:33 2005 => File C:\Programme\Kommunikation\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Jun 22 01:08:29 2005 => Total Virus(es) Found: 20
Wed Jun 22 01:08:29 2005 => Total Errors: 35
Wed Jun 22 01:08:29 2005 => Time Elapsed: 06:56:20
Wed Jun 22 01:08:29 2005 => Total Objects Scanned: 149919
Tue Jun 21 18:08:59 2005 => Virus Database Date: 2005/06/17
Wed Jun 22 01:08:29 2005 => Virus Database Date: 2005/06/17
Wed Jun 22 04:47:56 2005 => Virus Database Date: 2005/06/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

@Darian

Zitat:

Trojan-Spy.Win32.Qeds.a

wurde bei einigen AV-Hersteller als Backdoor eigestufft. Wenn du noch nicht seelisch bereit bist, PC neu aufzusetzen, bitte überpüfe die Datei

Zitat:

C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Downloads\Schund Tools\password.exe

bei http://virusscan.jotti.org/

Zitat:

Total Virus(es) Found: 20

das wäre für mich schon ein guter Grund für tabula rasa.

Also die ganzen Trojan Datein habe ich gelöscht, und weiter?

Aber Viren findet mein scanner irgendwie keine.

Gruss Darian

Ich denke der Rechner dürfte jetzt sauber sein oder??

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 21 18:09:55 2005 => File C:\PROGRA~1\PARALL~1\ptask.exe infected by "Trojan-Downloader.Win32.Centim.am" Virus! Action Taken: No Action Taken.
Tue Jun 21 20:08:49 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Downloads\Schund Tools\password.exe infected by "Trojan-Spy.Win32.Qeds.a" Virus! Action Taken: No Action Taken.
Tue Jun 21 22:54:40 2005 => Scanning Folder: C:\Programme\Virenscanner\AVPersonal\INFECTED\*.*
Tue Jun 21 23:30:06 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.
Wed Jun 22 01:08:29 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 21 18:24:45 2005 => File C:\apache2\xampp\apache\bin\pv.exe tagged as not-a-virus:Tool.Win32.PrcView.3725. No Action Taken.
Tue Jun 21 20:05:11 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\CMS\xampp-win32.exe tagged as not-a-virus:Tool.Win32.PrcView.3725. No Action Taken.
Tue Jun 21 20:05:32 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Cracks\opf_120_nocd.zip tagged as not-a-virus:CrackTool.Win32.AssasinPatch. No Action Taken.
Tue Jun 21 20:05:32 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Cracks\opf_120_nocd1.zip tagged as not-a-virus:CrackTool.Win32.AssasinPatch. No Action Taken.
Tue Jun 21 20:05:39 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Downloads\AudioCatalyst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:06:32 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Downloads\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:06:32 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Downloads\FTP Client\FlashFXP_21_Setup-nohelp.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:09:14 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Fernwartung\tightvnc-1.2.9-setup.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.h. No Action Taken.
Tue Jun 21 20:10:54 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Formatierungs Datein\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:11:02 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Formatierungs Datein\Mirc\mirc616.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
Tue Jun 21 20:11:46 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Formatierungs Datein\Video Viewer\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:20:20 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\MMORPG\Ultima Online\andere Datein\girc26.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:24:08 2005 => File C:\Dokumente und Einstellungen\Daniel\Desktop\Privat\Pods\pod20install.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 21 20:59:17 2005 => File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\A.exe tagged as "not-a-virus:Dialer.Win32.PlayGames". Action Taken: No Action Taken.
Tue Jun 21 21:38:33 2005 => File C:\Programme\Kommunikation\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Jun 22 01:08:29 2005 => Total Virus(es) Found: 20
Wed Jun 22 01:08:29 2005 => Total Errors: 35
Wed Jun 22 01:08:29 2005 => Time Elapsed: 06:56:20
Wed Jun 22 01:08:29 2005 => Total Objects Scanned: 149919
Tue Jun 21 18:08:59 2005 => Virus Database Date: 2005/06/17
Wed Jun 22 01:08:29 2005 => Virus Database Date: 2005/06/17
Wed Jun 22 04:47:56 2005 => Virus Database Date: 2005/06/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

@Darian

Zitat:

Ich denke der Rechner dürfte jetzt sauber sein oder??
Wed Jun 22 01:08:29 2005 => Total Virus(es) Found: 20

Ich glaube, du kannst deine Frage selbst beantworten:

Zitat:

Trojan-Downloader.Win32.Centim.am
Trojan-Spy.Win32.Qeds.a
Trojan.Win32.Agent.eo

sind deiner Meinung nach Windows-Systemdateien, oder... ;)