Trojaner-Board - Bitte Log auswerten!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte Log auswerten! (https://www.trojaner-board.de/49603-bitte-log-auswerten.html)

Bitte Log auswerten!

Hallo!

Eben ging ohne Vorwahnung mein PC "aus" und startete wieder neu. Er hat dann rumgemeckert, von wegen dies und das finde er nicht und hat dann zwar meinen Benutzer angemeldet, aber nicht die Benutzeroberfläche geladen. Jedenfalls nicht vollständig. Konnte mir seine Meldungen leider nicht so schnell aufschreiben. Antivir hat nix gefunden. Im abgesicherten Modus startet er problemlos, den Normalmodus habe ich erstmal nicht noch einmal versucht. Lange Rede, kurzer Sinn: hier das Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 10:06, on 18.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = ?
O4 - Global Startup: David InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195743810930
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = BNInsolvenz.int
O17 - HKLM\Software\..\Telephony: DomainName = BNInsolvenz.int

Vielen Dank für's Drüberschauen im Voraus!
Gerrit.

Halli hallo Gerrito.

Das log sieht sauber aus.

Entweder poste bitte ein MWAV log (ebenfalls im abgesicherten) oder poste ein Hijackthis log aus dem normalen Modus.

Hallo undoreal!

Zitat:

Halli hallo Gerrito!

:lach::lach::lach:

Danke schonmal.

Also hier das mwav Log:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.7.4
Sprache: German
C:\DOKUME~1\**\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Maßnahme ergriffen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung aller Laufwerke:Aktiviert

Batchstart: 12:25:49,48
Batchende: 12:31:41,09

Keine Ahnung, was das für ein Trojaner sein soll :confused:

Was nun? Noch ein HiJack im Normalmodus?

Gruß,
Gerrit.

Nachtrag:

Handelt es sich wohl um einen Trojaner, der mal auf meinem Computer WAR und nicht aktuell ist?

Frag nur wegen:

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Ich glaube nicht, dass der Schädling mal aktiv war. Wenn es sich überhaupt um einen handelt ;)

Lass zur Sicheheit mal Smitfraudfix laufen. SmitFraudFix

Hab ich laufen lassen. Musste ich zweimal laufen lassen (Anweisung des Programms).

Report sieht so aus:

Zitat:

SmitFraudFix v2.290

Scan done at 14:45:01,39, 18.02.2008
Run from C:\Dokumente und Einstellungen\****\Eigene Dateien\Meine empfangenen Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

Soll mir das irgendwas sagen?

Gruß, Gerrit.

Mir ist einfach schleierhaft woher eScan seine Informationen bezieht. :confused:

Hier dein böser Trojaner: klick
Es handelt sich um den unglaublich bösen WindosLiveMessenger-Virus, der mit jeder WindowsCD mitinstalliert wird. Kein Mensch ist vor ihm sicher. :blabla:

Der Fund ist ein klassischer Fehlalarm.

lg myrtille

@myrtill:

wenn ich "video activex access Trojan " google, kommen da aber ganz andere Meldungen. Naja...

@undoreal:

Also allet paletti, wa?

Gruß,
Gerrit.

Zitat:

Zitat von Gerrit07 (Beitrag 322859)

@myrtille:

wenn ich "video activex access Trojan " google, kommen da aber ganz andere Meldungen. Naja...

Ja, natürlich. Den genannten Trojaner gibt es und wir haben hier auch oft genug mit ihm zu tun. :blabla:
Allerdings ist die Assoziierung der CLISD {7E853D72-626A-48EC-A868-BA8D5E23E045} (=class id=eindeutige 128bit-nummer für Programme) mit dem Trojaner falsch.
Jedes Programm erzeugt seine eigenen Zahlenfolge. Diese hier entspricht dem WindowsLiveMessenger und nicht dem Trojaner. (Lässt sich bei Google auch leicht überprüfen. ;))

Das meinte ich mit Fehlalarm. Nicht dass der Trojaner nicht existiert, sondern das eScan fälschlich einen normalen Eintrag für bösartig hält.

Der Eintrag auf deinem Rechner stammt also nicht von dem Trojaner, sondern eben vom WindowsLiveMessenger.

lg myrtille

:) eScan verarscht die user mit falschen Meldungen. Daher auch schon meine Bemerkung weiter unten.
Ich halte das wie myrtille auch für ziemliche Schikane die die verunsicherten user zum kauf des produks verleiten soll..

Zitat:

Also allet paletti, wa?

Wie myrtille schon sagte ist alles im log legitim; also keine Gefahr.

@myrtille + undoreal:

Ah, ok. Ist ja toll. Wenn ich Euch nicht gehabt hätte, hätte ich wohlmöglich nach dem Escan den Rechner neu aufgesetzt wegen des Trojaners...:schrei:

Vielen Dank für Eure Hilfe!!! :daumenhoc

Was das ursprüngliche Problem angeht (Rechner fuhr einfach neu hoch): Ist bisher nicht wieder vorgekommen. Keine Ahnung, warum das passiert ist. Hat sich vielleicht einfach "verdaddelt" das Ding. Man weiß es nicht :rolleyes: Also insgesamt Fehlalarm...zum Glück!

LG,
Gerrit.