Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile wegen Verdacht auf Virus/Trojaner (https://www.trojaner-board.de/87396-logfile-wegen-verdacht-virus-trojaner.html)

YoureaLoser 20.06.2010 22:38
Logfile wegen Verdacht auf Virus/Trojaner
 
Hallo,

ich habe vorhin im Diskussionsthread gepostet.

Habe doch noch eine Logfile bekommen.

Kann mir jemand helfen. Mein Rechner ist nur noch am "Nixmachen" :crazy:

Hier mal die Logfile:

HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:30:54, on 20.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Hummingbird\Connectivity\13.00\NFS Maestro\expserv.exe
C:\Programme\Hummingbird\Connectivity\13.00\InetD\inetd32.exe
C:\Programme\Hummingbird\Connectivity\13.00\NFS Maestro\Humnmap.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Hummingbird\Connectivity\13.00\NFS Maestro\hcportmp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hummingbird\Connectivity\13.00\NFS Maestro\hcwinsvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\dumprep.exe
C:\Dokumente und Einstellungen\Bastian\Desktop\HiJackThis204.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 194.162.4.16 aserver.dechema.de
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [{79946D55-09AA-4289-C445-9728C6CA57AB}] "C:\Dokumente und Einstellungen\Bastian\Anwendungsdaten\Tixog\uhucr.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\programme\hummingbird\connectivity\13.00\exceed\humshmx.dll
O10 - Unknown file in Winsock LSP: c:\programme\hummingbird\connectivity\13.00\exceed\humshmx.dll
O10 - Unknown file in Winsock LSP: c:\programme\hummingbird\connectivity\13.00\exceed\humshmx.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Aspen OnLine 11.1 (AOLSvc111) - Unknown owner - C:\Programme\AspenTech\Aspen OnLine 11.1\AOLSvc111.exe (file missing)
O23 - Service: Aspen Plus Online 11.1 - Unknown owner - C:\Programme\AspenTech\Aspen Plus 11.1\Engine\xeq\rtecontrol.exe (file missing)
O23 - Service: AuthWrapperSvc - Unknown owner - C:\Programme\AspenTech\BPE\AuthWrapperSvc.exe (file missing)
O23 - Service: CIM-IO Manager (AutoStartCIMIO) - Unknown owner - C:\Programme\AspenTech\CIM-IO\code\CimioManager.exe (file missing)
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: dkab_device -  - C:\WINDOWS\system32\DKabcoms.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hummingbird Export (HCLExport) - Open Text Corporation - C:\Programme\Hummingbird\Connectivity\13.00\NFS Maestro\expserv.exe
O23 - Service: Hummingbird InetD (HCLInetd) - Open Text Corporation - C:\Programme\Hummingbird\Connectivity\13.00\InetD\inetd32.exe
O23 - Service: Hummingbird Name Mapping Server (HumNamemapping) - Open Text Corporation - C:\Programme\Hummingbird\Connectivity\13.00\NFS Maestro\Humnmap.exe
O23 - Service: Hummingbird NFS Maestro Server (HUMNFSServer) - Open Text Corporation - C:\Programme\Hummingbird\Connectivity\13.00\NFS Maestro\hcwinsvr.exe
O23 - Service: Hummingbird Port Mapper (HUMPortmapper) - Open Text Corporation - C:\Programme\Hummingbird\Connectivity\13.00\NFS Maestro\hcportmp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpcEnum - Unknown owner - C:\WINDOWS\system32\OpcEnum.exe (file missing)
O23 - Service: Hummingbird HostExplorer Print Services (PESRV) - Open Text Corporation - C:\Programme\Hummingbird\Connectivity\13.00\HostExplorer\PrintServices\PESRV.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe (file missing)
O23 - Service: Hummingbird Proxy Server (ProxyEngine) - Open Text Corporation - C:\Programme\Hummingbird\Connectivity\13.00\Accessories\ProxyEngine.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: Zyqad111Broker - Unknown owner - C:\Programme\AspenTech\Aspen Zyqad 11.1\server\bin\brokerd.exe (file missing)
O23 - Service: Zyqad111Server - Unknown owner - C:\Programme\AspenTech\Aspen Zyqad 11.1\server\bin\server.exe (file missing)

--
End of file - 11201 bytes
--- --- ---


Habt ihr eine Idee?

Thx

YoureaLoser 21.06.2010 09:37
Hallo nochmals,

hat keiner eine Idee, was für Prozesse schadhaft sein könnten?

Bin momentan echt aufgeschmissen.

Wie ich im Diskussionsforum geschrieben habe, startet mein Laptop zwar, hängt sich jedoch immer nach ca. 2 Minuten auf. Spyware-doctor kann nicht mehr geöffnet werden. Avira führt keinen Scan mehr aus. Abgesicherter Modus geht auch nicht mehr. Und eine Rescue-CD von Avira hat auch nichts gebracht (hat einen Trojaner gefunden, ihn auch gelöscht. Allerdings funktioniert noch immer nichts).

Nochmals Danke für eure Hilfe

Gruß

markusg 21.06.2010 11:26
hey.
wir machen das hier in unserer freizeit, also locker bleiben.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide, falls zu groß, aufteilen.

YoureaLoser 22.06.2010 11:34
Hi hi,

ich weiß, dass das wohltätige Arbeit ist und in der Freizeit geschieht. :huepp:

Hatte mit der Rescue-CD doch noch einen Trojaner entfernen können. Dann ist er zumindest wieder ins Internet gegangen. Habe mir dann Dr. Web oder wie sich das nennt runtergezogen und nen Scan durchlaufen lassen.

Hatt 5 Trojaner gefunden :kloppen:

Noch ein Malware-Tool drüberlaufen lassen und dann einen anderen Virenscanner.

Rootkit-Tool habe ich auch noch genutzt. Waren auch noch 7 zu finden.

Alles in allem hat mich die Aktion 15 Stunden gekostet.

Gruß

markusg 22.06.2010 11:45
und du hast nichts von dem gemacht was wir angefordert habn, ohne logs und da du schon einiges selbst gemacht hast, kann ich dir leider nicht sagen ob alles io ist

YoureaLoser 22.06.2010 14:17
Ich werde die Files noch erstellen.

Bin momentan nur ziemlich im Stress ;).

Gruß

sh0x 29.06.2010 08:30
An deiner Stelle würde ich den PC platt machen (also alles Formatieren).

Du weißt nicht wozu Trojananer in Stande sein können.. :rolleyes:

markusg 02.07.2010 23:46
wofür hast du dich entschieden? format oder nicht?


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131