| |
| |||||||
Log-Analyse und Auswertung: Brauche Hilfe bei einem Trojaner.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
01.06.2006, 09:36
| #1 |
| |  Brauche Hilfe bei einem Trojaner. Hallo! Vor 2 Tage habe ich mir einen Trojaner eingefangen. Er hat regelmässig Verbindungen von meinem Computer aus gestartet. Bei genauer Suche bin ich auf eine Yaemu.exe gestossen. Ich konnte verhindern das sie im Autostart mit startet, somit wurden keine Verbindungen mehr ins Netz aufgenommen. Ich habe die Datei gelöscht und auf dem Computer findet sich keine Yaemu.exe Im Systemkonfigurationsprogramm unter Systemstart steht aber noch Yaemu, und man könnte auch ein Häkchen reinmachen. Nun meine Frage: "Wie bekomme ich das dort raus?" Bitdefender fand bei mir troj_DNSCHANG.AA, konnte aber gelöscht werden und nun wird nichts mehr gefunden. Ist mein System jetzt sicher? Danke schonmal im voraus. Logfile of HijackThis v1.99.1 Scan saved at 10:36:21, on 01.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe C:\PROGRA~1\RETROS~1\RETROS~1.1\retrorun.exe C:\Programme\HHVcdV5Sys\VC5SecS.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/29599bc667a047d01f05/netzip/RdxIE601_de.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121414045421 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{45558853-F41E-4285-BD80-1807AE4560F2}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{614A8BDB-B543-498F-B525-16119E790C1F}: NameServer = 85.255.114.103 85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{6263ABC9-EB79-4D1E-851D-921ABD6FE20C}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{99B07AE6-6560-4D7F-88C6-D85BC517CCC5}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MaxSyncService (NTService1) - - C:\Programme\Maxtor\OneTouch\Utils\SyncServices.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe O23 - Service: Retrospect Express HD Launcher (RetroExpLauncher) - Dantz Development Corporation - C:\PROGRA~1\RETROS~1\RETROS~1.1\retrorun.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe |
|
01.06.2006, 16:06
| #2 |
| /// Helfer-Team    | Brauche Hilfe bei einem Trojaner. Das kann mit HJT noch gefixt werden:
__________________O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{45558853-F41E-4285-BD80-1807AE4560F2}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{614A8BDB-B543-498F-B525-16119E790C1F}: NameServer = 85.255.114.103 85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{6263ABC9-EB79-4D1E-851D-921ABD6FE20C}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{99B07AE6-6560-4D7F-88C6-D85BC517CCC5}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93 Das sind viele Grüsse aus der Ukraine. Ansonsten sieht es ganz ordentlich aus. Mache aber das: Lasse Ewido das System scannen und bereinigen. Poste das Ergebnis des Scans mit ewido. http://www.ewido.net/de/download/
__________________ |
|
01.06.2006, 16:27
| #3 |
| | Brauche Hilfe bei einem Trojaner. Vielen Dank schonmal.
__________________Was hat es auf sich mit? O17 - HKLM\System\CCS\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{45558853-F41E-4285-BD80-1807AE4560F2}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{614A8BDB-B543-498F-B525-16119E790C1F}: NameServer = 85.255.114.103 85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{6263ABC9-EB79-4D1E-851D-921ABD6FE20C}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CCS\Services\Tcpip\..\{99B07AE6-6560-4D7F-88C6-D85BC517CCC5}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CS1\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93 O17 - HKLM\System\CS2\Services\Tcpip\..\{1A7DF05B-D094-466C-B872-AE8954EF9275}: NameServer = 85.255.114.103,85.255.112.93 |
|
01.06.2006, 16:48
| #4 |
| | Brauche Hilfe bei einem Trojaner. Hier das Ergebnis des Scans mit Ewido --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 17:48:40, 01.06.2006 + Report-Checksumme: B34E406A + Scanergebnis: C:\Dokumente und Einstellungen\Holger\Cookies\holger@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\Holger\Cookies\holger@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Holger\Cookies\holger@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup C:\Dokumente und Einstellungen\Holger\Cookies\holger@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup C:\Dokumente und Einstellungen\Holger\Cookies\holger@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Holger\Cookies\holger@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup ::Report Ende |
|
01.06.2006, 17:04
| #5 |
| Administrator > Competence Manager  | Brauche Hilfe bei einem Trojaner. das waren nur kleine Fische, TrackingCookies sind eigentlich recht "harmlos"! Wenn du nochmals dein System scannen willst nutz den eScan, es dauert zwar ein bisschen länger aber so hast du zumindest Gewissheit das alles gelöscht/entfernt wurde. Gruß Daniel
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
01.06.2006, 23:31
| #6 |
| | Brauche Hilfe bei einem Trojaner. Hallo Rupprich, scan Dein System mit Blacklight und poste das entspr. Logfile, welches im selben Pfad erstellt wird (fsbl**.txt). IMHO wird der Rootkit weder von Escan noch noch von Ewido erkannt. dartus
__________________ --> Brauche Hilfe bei einem Trojaner. |
|
02.06.2006, 12:22
| #7 |
| | Brauche Hilfe bei einem Trojaner. Huhu. Also Blacklight hatte nichts gefunden. Sicherheitshalber, da ich onlinebanking betreibe, habe ich formatiert und alles neu installiert. Mir war das Risiko zu hoch, auch wenn ich wahrscheinlich relativ sicher sein konnte das der Trojaner runter war. Möchte mich bei allen für die schnelle Hilfe bedanken! |
|
| Themen zu Brauche Hilfe bei einem Trojaner. |
| adobe, antivir, askbar, avg, avira, bho, brauche hilfe, computer, datei gelöscht, defender, drivers, explorer, firewall, frage, hijack, hijackthis, icq, internet, internet explorer, microsoft, programme, security, software, suche, temp, trojaner, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
