|
HijackThis-Logfile nach Trojanerentfernung - bitte mit draufschauen :-) Hallo zusammen, ein Bekannter von mir hat sich auf einem XP SP1 (ich weiß, ich weiß...) einen Trojaner der Familie SmitFraud zugezogen. Nach erfolgreichem Einsatz von Spybot S&D und SmitFraudFix.exe ist folgendes Logfile entstanden: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:49:52, on 14.08.2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\ZoneLabs\vsmon.exe G:\WINDOWS\system32\spoolsv.exe G:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe G:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\System32\VTTimer.exe G:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe G:\Programme\HP\HP Software Update\HPWuSchd2.exe G:\Programme\Java\jre1.6.0_07\bin\jusched.exe G:\WINDOWS\SOUNDMAN.EXE G:\WINDOWS\System32\ctfmon.exe G:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe G:\Programme\HP\Digital Imaging\bin\hpqtra08.exe G:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe G:\WINDOWS\System32\HPZipm12.exe G:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE G:\WINDOWS\explorer.exe G:\Programme\Mozilla Thunderbird\thunderbird.exe G:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {a1b215d4-4c26-7b48-cfaa-90305f715c33} - (no file) O3 - Toolbar: bgrqfetx - {968232F5-0910-483D-B059-4C6AB5C785DC} - G:\WINDOWS\bgrqfetx.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [avgnt] "G:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [HP Software Update] G:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "G:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = G:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217178822906 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O21 - SSODL: tfnslopk - {1E2AF87C-D605-4A46-AA21-1B815D51AABB} - G:\WINDOWS\tfnslopk.dll (file missing) O21 - SSODL: xokvrpwg - {0E525AB1-9429-4072-9E62-FF96F5726098} - G:\WINDOWS\xokvrpwg.dll (file missing) O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - G:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - G:\WINDOWS\System32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5190 bytes Mir persönlich gefällt O2 - BHO: (no name) - {a1b215d4-4c26-7b48-cfaa-90305f715c33} - (no file) O3 - Toolbar: bgrqfetx - {968232F5-0910-483D-B059-4C6AB5C785DC} - G:\WINDOWS\bgrqfetx.dll (file missing)O21 - SSODL: tfnslopk - {1E2AF87C-D605-4A46-AA21-1B815D51AABB} - G:\WINDOWS\tfnslopk.dll (file missing) O21 - SSODL: xokvrpwg - {0E525AB1-9429-4072-9E62-FF96F5726098} - G:\WINDOWS\xokvrpwg.dll (file missing) nicht, unter anderem, weil er definitiv derzeit noch einen fiesen Browser-Umleiter drauf hat, der Rest sieht für mich sauber aus. Was meint Ihr dazu? Danke und schöne Grüße, Netgirl |
Hallo und :hallo: Zitat:
1.) Backlight und Malwarebytes Antimalware ausführen und Logfile posten 2.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]3.) Mach auch ein Filelisting mit diesem script:
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Hallo root24, und danke für Deine Antwort. SP1 war wohl nur deshalb, weil kurz vorher eine Reparaturinstallation stattgefunden hatte, die alle Updates plattgemacht hat. Werde beim nächsten Besuch bei meinem Bekannten die Tips gerne ausprobieren und dann die Ergebnisse posten. Trotzdem nochmal die Frage: Ist Dir am jetzigen Logfile (außer den von mir erwähnten Einträgen) was aufgefallen? Schöne Grüße, Netgirl |
Zitat:
|
Hallo root 24, nachdem auf dem Rechner noch weitere Probleme (die aber wahrscheinlich nix mit dem Trojaner zu tun hatten) aufgetreten sind, war bei meinem Bekannten die Schmerzgrenze erreicht und wir haben das gesamte System platt gemacht und neu aufgesetzt. Danke trotzdem für Deine Tips :party: Schöne Grüße, Netgirl |
ja ich musste auch neulich neu aufsetzen. macht das nach dieser anleitung hier, um erstmal ne sichere basis it dem neuen system zu haben: http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board