|
Finde Fehler nicht (mit Log) Vor kurzem hatte ich auf einmal 100% CPU-Auslastung, nach einem Scan mit meinem Virenscanner hatte ich einen Trojaner gefunden und gelöscht, danach ging dann alles wieder. Jetzt vor paar Tagen war dasselbe wieder. Wieder ein Trojaner gelöscht. Diesmal hat es sich allerdings nicht gebessert. Jetzt weiß ich nicht, ob ich noch irgendwas draufhabe, was mein Virenscanner nicht gefunden hat (AntiVir, immer neuestes Update) oder ob es an was anderem liegt. Hier mal der HiJackThis Log: Logfile of HijackThis v1.97.7 Scan saved at 09:18:04, on 21.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\SpeedFan\speedfan.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\ctfmon.exe C:\Programme\ICQPlus\vplus.exe C:\Dokumente und Einstellungen\Andrea\Startmenü\Programme\Autostart\TransparentD.exe D:\user\Andrea\Install\system\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\NOTEPAD.EXE O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [SpeedFan] C:\Programme\SpeedFan\speedfan.exe O4 - HKLM\..\Run: [NvCplDaemon] C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [ICQ Plus] C:\Programme\ICQPlus\vplus.exe O4 - Startup: TransparentD.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...582281e71a7b9f O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get...irector/sw.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1090696556012 O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...192.5152777778 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8345EE79-981C-4906-A6B7-CA600C7E7F49}: NameServer = 217.237.151.161 217.237.151.33 O17 - HKLM\System\CCS\Services\Tcpip\..\{924293BD-6D07-46A9-9DFD-5223E86D70B4}: NameServer = 192.168.120.252,192.168.120.253 |
Zitat:
Zitat:
Zitat:
|
Dummerweise ist zwischendrin mein Virenscanner abgestürzt, deshalb weiß ich nicht mehr welcher Trojaner es war. Gibt es bei AntiVir vielleicht temporäre Logs? Die hohe Auslastung verursachen verschiedene Prozesse, meist der, den ich gestartet habe (vor allem irgendwelche Downloadprozesse, allerdings auch der normale Explorer oder Internetexplorer, sowie Spiele). Hier nochmal der neue Log: Logfile of HijackThis v1.98.2 Scan saved at 10:48:42, on 21.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\SpeedFan\speedfan.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\ctfmon.exe C:\Programme\ICQPlus\vplus.exe C:\Dokumente und Einstellungen\Andrea\Startmenü\Programme\Autostart\TransparentD.exe C:\Dokumente und Einstellungen\Andrea\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [SpeedFan] C:\Programme\SpeedFan\speedfan.exe O4 - HKLM\..\Run: [NvCplDaemon] C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [ICQ Plus] C:\Programme\ICQPlus\vplus.exe O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot O4 - Startup: TransparentD.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...582281e71a7b9f O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1090696556012 O17 - HKLM\System\CCS\Services\Tcpip\..\{8345EE79-981C-4906-A6B7-CA600C7E7F49}: NameServer = 217.237.151.161 217.237.151.33 O17 - HKLM\System\CCS\Services\Tcpip\..\{924293BD-6D07-46A9-9DFD-5223E86D70B4}: NameServer = 192.168.120.252,192.168.120.253 |
Lade und scanne mit eScan AntiVirus wie beschrieben, danach die Virus Log Information von eScan AntiVirus posten. Fixe diesen Eintrag (Haken setzen und auf Fix Checked klicken): O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f... 82281e71a7b9f |
eScan Log: File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken. File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken. File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken. File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken. File C:\WINNT\Downloaded Program Files\SyncroAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. File D:\user\Andrea\Install\network\mirc614.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken. |
Brachte die Suche nach "infected" keinen Eintrag hervor? Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Die einzigen Treffer wo "infected" vorkommt sind: Sun Nov 21 12:44:09 2004 => Total Disinfected Files: 0 Sun Nov 21 13:06:36 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sun Nov 21 14:29:49 2004 => Total Disinfected Files: 0 |
Hallo Layla, bitte überprüfe mit virusscan.jotti.dhs.org: C:\Dokumente und Einstellungen\Andrea\Startmenü\Programme\Autostart \TransparentD.exe C:\Programme\ICQ\Icq.exe -trayboot teile uns das Ergebnis der Überprüfung mit Boote dann in den VGA Modus und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_f... 82281e71a7b9f boote in den normalen Modus. SD |
File: TransparentD.exe Status: OK Packers detected: None AntiVir No viruses found (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.34 seconds taken) ClamAV No viruses found (0.32 seconds taken) Dr.Web No viruses found (0.50 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus No viruses found (0.59 seconds taken) mks_vir No viruses found (0.21 seconds taken) NOD32 No viruses found (0.35 seconds taken) Norman Virus Control No viruses found (0.39 seconds taken) Das andere kann ich nicht scannen, da kommt ne Fehlermeldung: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Den anderen Eintrag hab ich bereits gefixt. Momentan scheint es auch wieder normal zu laufen, aber das war schonmal so, dass es wieder ging und nach ein paar Tagen fing es wieder an... |
@ Layla sende bitte diese Datei "C:\Programme\ICQ\Icq.exe -trayboot" passwortgeschützt an partytime-germany.ice@web.de, virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - und warte das Ergebnis ab. SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board