Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner endgültig entfernt? (https://www.trojaner-board.de/71317-trojaner-endgueltig-entfernt.html)

gilesflorent 23.03.2009 16:10
Trojaner endgültig entfernt?
 
Hallo zusammen,

ich hatte Ärger mit Trojanern die mein Antivir entdeckt hatte, es handelte sich um 6 Funde (TR/Agent. 139153.A, TR/Packed. 5995, TR/Packed. 7092, TR/Agent 132256, TR/Packed. 2537, BDS/Hupigon. 96760).

Nach dem ersten Scan habe ich die Quarantänedateien in Antivir gelöscht, nach erneutem Scan waren jedoch wieder 6 neue da.
Daraufhin hab ich diese im Quarantänezustand belassen und erneut gescannt, es wurden mir keine neuen Funde angezeigt.
Wie werde ich diese Dinger also endgültig los?

Ich hab jetzt Hijackthis drüberlaufen lassen, hier mein log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:50:43, on 23.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\WinPatrol\winpatrol.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\QIP INFIUM\INFIUM.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\WinPatrol\winpatrol.exe -expressboot
O4 - HKCU\..\Run: [Antivirus System Tray Tool] C:\Programme\Avira\AntiVir Desktop\avgnt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Zeitschaltuhr Service (PCZeitschaltuhrService) - Unknown owner - C:\Programme\PC Zeitschaltuhr\PCZeitschaltuhrService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 5025 bytes




Es wäre sehr nett wenn mir jemand sagen könnte, wie ich nun weiter verfahren soll...



Danke im voraus

Der_Patriot 23.03.2009 17:27
soooo hallo erst mal,
es gibt einige viren die sich von antivieren programmen im hochgefehrenen modus nicht löschen lassen: entweder versuchen die antivirusprog. diese zu löschen sagen aber nicht bescheid wenn dies fehlgeschlagen ist (!!)
Doch dem kann abhilfe geschaffen werden, lade dir eine rescue disc eines antivirus herstellers runter, und brenne diese auf eine CD. es gibt grafisch und nicht grafische und sogar eine die updates machen kann (kaspersky)(lädt die updates auf die festplatte und operiert anhand dessen). da diese cds auf linux-kerneln arbeiten kann der virus auch nicht dazwischen "funken".

hier mal der downloadlink für die kaspersky cd:
http://www.softpedia.com/progDownloa...ad-100454.html

nun die *.iso datei mit imgBurn(http://filepony.de/download-imgburn/) oder nero brennen, den pc neustarten und warten, sollte der pc nicht von der cd starten neustarten und im bios in den start optionen einstellen das die erste boot-priorität das cd/dvd laufwerk ist

komplett durchlaufen lassen und runterfahren cd aus dem laufwerk und windows starten... fertig.

lg Der_Patriot

----------------------------------------------
ps. ich weiss nich ob noch updates für die kaspersky cd möglich sind da das eine testphase war und ich nicht weiss ob sie diese noch betreiben.
DER download link funktionert aber und scannen ist möglich.

gilesflorent 24.03.2009 18:27
Moin,

danke für die Hilfe, hab Kaspersky drüberlaufen lassen und alles entfernt.


gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131