Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus gefunden, bitte Log checken (https://www.trojaner-board.de/29670-virus-gefunden-bitte-log-checken.html)

atimaster 02.06.2006 22:31

Virus gefunden, bitte Log checken
 
Hoi Leute!
Heute beim Hochfahren des PCs kam Folgende Meldung:

http://www.directupload.net/images/060602/oYaV39MS.jpg

Hab da dann "In Quarantäne verschieben" angeklickt. Die Meldung kam dann noch ein paar mal, dann habe ich jeweils auf "Löschen" geklickt.
Kann mir mal jemand sagen was die beste Auswahlmöglichkeit bei AntiVir ist?

Naja, nun habe ich gerade eben AdAware drüber laufen lassen. Hat 10 Kritische Sachen gefunden. Habe ich dann auch alle gelöscht. Nun bin ich mir nicht sicher ob mein System Virenfrei ist. Deswegen hier Sicherheitshalber nochmal die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:29:34, on 02.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Uptime Client\client.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\QIP\qip.exe
M:\Autostart-Programme\Xfire\Xfire.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Al***\Desktop\TC_Fun\Weisseradler-Script.exe
C:\Dokumente und Einstellungen\Al***\Desktop\HiJackthis\HijackThis.exe

O2 - BHO: (no name) - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - (no file)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\mswin32.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Programme\Uptime Client\client.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\mswin32.exe
O4 - Startup: qip 2005a.lnk = C:\Programme\QIP\qip.exe
O4 - Startup: Xfire.lnk = M:\Autostart-Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F49CEEE1-970B-47E8-BD7E-D0C91D3FA78E}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: CLKERN.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Yopie 02.06.2006 22:40

Du hast oder hattest einen aktiven Backdoor auf dem Rechner. Dir bleibt nichts anderes übrig als die Anleitung zum Entfernen eines Backdoors in meiner Signatur genau zu beachten!

Gruß :daumenhoc
Yopie

atimaster 02.06.2006 22:46

Sicher....ich soll jetz mein System Formatieren oder was? :crazy:
So siehts aus :headbang: :pfui:

Yopie 02.06.2006 22:52

Du kannst auch ein sauberes Backup des Systems einspielen, wenn du eins hast.

Einen anderen Rat wirst du hier nicht lesen, da man dir einen anderen Rat vernünftigerweise nicht geben kann. Warum dir nichts anderes übrig bleibt, steht ebenfalls in der Anleitung. Was du tun kannst, um in Zukunft eine Infektion zu vermeiden, steht auch da.

Was es da noch zu diskutieren gibt wird mir auch in zehn Jahren nicht einleuchten.

Gruß :daumenhoc
Yopie

atimaster 02.06.2006 23:10

Ja wie kann ich denn schauen ob dieses Backdoor dingen da noch da ist? Siehst du das nicht in der HTJ Logfile? Also Formatieren ist bei mir jetzt gerade nicht so passend.
Ist es schlimm wenn ich das einfach so lasse? Ich meine, bei AntiVir habe ich ja eingestellt das es untere Quarantäne sein soll. Ich habs auch schon ein paar mal gelöscht.

Sunny 02.06.2006 23:12

Zitat:

Zitat von atimaster
Also Formatieren ist bei mir jetzt gerade nicht so passend.

Oh man, was hat "Yopie" gerade geschrieben? :headbang:
Zitat:

Was es da noch zu diskutieren gibt wird mir auch in zehn Jahren nicht einleuchten.
Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Gruß

Yopie 02.06.2006 23:18

Zitat:

Zitat von atimaster
Ja wie kann ich denn schauen ob dieses Backdoor dingen da noch da ist?

Es war da, und es war aktiv. Das reicht.

Zitat:

Also Formatieren ist bei mir jetzt gerade nicht so passend.
Ist es schlimm wenn ich das einfach so lasse? Ich meine, bei AntiVir habe ich ja eingestellt das es untere Quarantäne sein soll. Ich habs auch schon ein paar mal gelöscht.
Ja, es ist schlimm, weil dein Rechner dadurch nicht mehr unter deiner Kontrolle ist und somit missbraucht werden kann. Zum Malwareversand, zum Spamversand, für Betrug; kurz: für Internet-Kriminalität. Da kein AV-Programm alles erkennt, und man einem AV-Programm auf einem verseuchten Rechner eh nicht mehr trauen kann, ist das Vorgehen mit AV-Programm wertlos.

Deswegen: Anleitung ausdrucken, aus dem Netz gehen, Daten (und zwar nur Daten und keine ausführbaren Programme) sichern, Rechner plattmachen und neu aufsetzen, und zwar so schnell wie möglich, und zwar genau nach Anleitung. Immer noch besser, als plötzlich die Polizei in der Tür stehen zu haben (ja, das ist schon vorgekommen!).

Gruß :daumenhoc
Yopie

atimaster 03.06.2006 20:53

Bitte Leute....
Das kommt wirklich aus mehreren Gründen gerade voll schlecht.
Gestern Abend kam nochmal die Meldung das ein Virus gefunden wurde. Heute war ich den Tag über weg. Als ich dann wieder am PC war, war dort ein Fenster; wieder ein Backdoor Programm.
Ich installier Evido und alles, sagt mir nur was ich machen soll. BITTE LEUTE....wir könnens doch versuchen dies Backdoor dingen weg zu bekommen.

Ich hatte noch nie probleme mit Viren....das schockt mir voll :heulen:

chaosman 03.06.2006 21:01

Hallo atimaster,

Yopie und [Gc]Sunny haben doch schon alles beschrieben.
Auch wenn es dir nich gut paßt/auskommt oder sonst noch was, nach Backdoorbefall hilft nur System neuaufsetzen.

SRY
chaosman

Mellosun 03.06.2006 21:03

Man, man ,man....

selbst wenn du es schaffen solltest, diesen Backdoor zu beseitigen, weißt du, was er bei Deinem Rechner für Türen geöffnet hat?
Dritte haben zugriff auf Deinen PC, er kann als Virenschleuder verwendet werden, Gefahr für andere, und auch für DICH, sein.

Wo ist das Problem, Dein System Neuaufzusetzen? Sichere Deine Datein ( aber wie schon geschrieben, nur Datein....keine ausführbaren Programme oder ähnliches ) und mache das Teil Platt. In der Zeit, in der du hier geschrieben und gewartet hast, hättest du schon längs wieder ein sauberes und vorallem sicheres System haben können!

Es gibt keinen Grund, der es erlaubt, eine Neuinstallation zu verschieben!

atimaster 03.06.2006 21:14

Weil ich ne 250 GB Platte habe mit DATEIEN. Musik, Videos und und und.
Ich will da nicht eben mal Formatieren....ich muss erst die ganzen Daten sichern usw.
Ich werds mir überlegen....scheiss Viren :nixda:

BataAlexander 03.06.2006 21:14

Hallo,

befolge die Dir gegeben Ratschläge, der Backdoor ist augenscheinlich noch aktiv in Deinem System.
Zitat:

O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\mswin32.exe
Dieser ersetzt Systemdateien, eine Reinigung ist imho unmöglich.
Allen Ratschlägen zum Trotz hast Du Deinen Rechner erstaunlich lange on, keine Angst um Deine Daten? :rolleyes:

Gruß

Schrulli

Mellosun 03.06.2006 21:51

Zitat:

Zitat von atimaster
Weil ich ne 250 GB Platte habe mit DATEIEN. Musik, Videos und und und.


Du hast ne 250 GB Platte und nur eine Partition?
Kein Sauberes Image zur Hand?

Sorry aber da kann man nur sagen:

Selbst dran Schuld!


Setze Windows neu auf, lege Dir, vor der eigentlichen Installation, eine zweite Partition an, und mache die grüße der Windows Partition net größer als 15 GB, das reicht vollkommen! Auf die zweite Partition kannst dann Deine ganze Musik usw. ablegen!
Nach der Installation tust SP2 Installieren, alle Updates drauf ( die du natürlich vorher geladen und auf CD gebrannt hat ) sicherst Dein System nach der bekannten Anleitung richtig ab und erst dann wieder Online gehen. Denke mal um ein Backup Programm nach. Und immer schon die Daten sichern, dann passiert Dir sowas nicht mehr.

Ich mache immer, bevor ich irgendein Programm oder eine ausführbare Datei öffne, Installiere, nen Backup. geht was schief bei der Installation, spiele ich es zurück...dauert sieben Minuten und alles ist wieder beim alten!


Na ja, eventuell solltest noch Deine Passwörter und sowas ändern!

Gruß Mellosun

atimaster 04.06.2006 23:12

Sooo Leutchen....dann habt ihr mich wohl überredet :party:
Habs nun so gemacht:

Ich hab ja 2 Festplatten drin. Einmal eine mit Windows, Programmen und Spielen (120 GB); einmal eine mit 250 GB, dort ist Musik, Videos und und und (alles was viel Platz weg nimmt) drauf. Damit habe ich gar nix gemacht. Die ist also noch genauso wie vor dem Backdoor.

Die 120 GB Platte mit Windows hatte 2 Partitionen. Einmal eine mit 58 GB (c:\), dort war Windows und die ganzen Programme drauf.
Auf der zweiten Partition (d:\)waren Spiele drauf (Die Partition war etwa 48 GB groß).

Nun habe ich meinen PC mithilfe der Windows CD Partitioniert:

Windows 20 GB
Programme 43 GB
Games 53 GB

So in etwa.
Die Spiele, und die ganzen wichtigen Daten habe ich auf einer weiteren Festplatte (80 GB Extern) gesichert.
Ich mache sozusagen die eine Festplatte mit 120 GB, wo Windows, Programme, Spiele und der Backdoor drauf war komplett platt.
Videos, Musik und so, also richtig große sachen sind auf m:\, also auf der 250 GB intern. Da war ja kein Trojaner drauf und deswegen habe ich damit nix gemacht.

Soweit verstanden?

Ist das denn nun einigermaßen gut?
Muss ich dann immer nen Backup von meiner 20 GB großen Windows Partition machen oder was?

Danke....

P.S. ich habe die DATEIEN aus dem sytem32 Ordner auch auf der externen Festplatte gesichert. Nach dem letzten Formatieren kam es des öfteren vor, das Dateien aus diesem Ordner nicht gefunden wurden.

BataAlexander 05.06.2006 02:49

Zitat:

Zitat von atimaster
P.S. ich habe die DATEIEN aus dem sytem32 Ordner auch auf der externen Festplatte gesichert. Nach dem letzten Formatieren kam es des öfteren vor, das Dateien aus diesem Ordner nicht gefunden wurden.

:headbang:
Diese Dateien musst Du nicht sichern. Da ist mit 101% Sicherheit der/ein Backdoor bei, daher die Sicherung löschen. Alles was Windows braucht, bringt es mit.
Das mit dem Backup, kannst Du z.B. hiermt machen, gibt in ner alten Version auf vielen Heft CD´s und ist bei zuverlässig im Einsatz.

Gruß

Schrulli


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131