Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 01.09.2007, 09:32   #1
Ullli
 
Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. - Unglücklich

Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken.



Hallo zusammen,

in der letzten Woche hatte ich Probleme mit einem Smitfraud der Variante "BraveSentry".

Der Thread http://www.trojaner-board.de/42725-bitte-hjt-log-checken.html war schon eine Riesenhilfe.

Wie dort beschrieben habe ich SmitfraudFix zweimal laufen lassen und einige Fixes mit HJT durchgeführt.

Systemsteuerung und TaskManager sind seitdem wieder verfügbar.
Mein Antivir (gestern update durchgeführt, aber leider nur PersonalEdition Classic) hatte danach auch keine Probleme mehr gefunden.

Der von myrtille im oben beschriebenen Thread vorgeschlagene escan-Lauf hat aber gezeigt, dass
noch 36 Viren und 174 Fehler gemeldet werden.

Hier folgen das aktuelle HJT-Log und das escan-Log.

Im Voraus vielen Dank!

Ullli (alias Uli)

P.S.: Das trojaner-board gibt einem nach so einer Attacke wieder den Glauben an die Menschheit zurück...

-----------------

Logfile of HijackThis v1.99.1
Scan saved at 10:10:43, on 01.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOKUME~1\MEDION~1\LOKALE~1\Temp\winlogon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Uno Installer (UnoInstallerService) - Unknown owner - C:\Programme\M-Audio Uno\UnoInst.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

------------------

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.1
Sprache: German
Virus-Datenbank Datum: 8/31/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with smitfraud Browser Hijacker (svcp.csv)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen.
System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\SYSTEM32\DEFLIB.SYS infiziert von "Trojan.Win32.Agent.asu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\bear1.dll//UPX infiziert von "Backdoor.Win32.Agent.asa" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\DefLib.sys infiziert von "Trojan.Win32.Agent.asu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\dllh8jkd1q8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vedxga3me2.exe infiziert von "Trojan-Downloader.Win32.Agent.coq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\winlogon.exe infiziert von "Trojan-Proxy.Win32.Small.fx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TD823X2B\n2_17_08_07_na_0[1].exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TD823X2B\n2_17_08_07_na_0[2].exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TD823X2B\n2_17_08_07_na_0[3].exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WJL3K0RG\n2_17_08_07_na_0[1].exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\HP\Memories Disc\skins\HewlettPackard_0002\skingen\MEMDISC\PROVIDED\RETAILPF\SETUP.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc921.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc922.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc923.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc924.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc925.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\bear1.dll//UPX infiziert von "Backdoor.Win32.Agent.asa" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\DefLib.sys infiziert von "Trojan.Win32.Agent.asu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\dllh8jkd1q8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vedxga3me2.exe infiziert von "Trojan-Downloader.Win32.Agent.coq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\Temp\284998119.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix(2).exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vi3jvl75.default\Cache\0C5F4A29d01//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Program Files\BraveSentry\BraveSentry0.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Program Files\BraveSentry\BraveSentry2.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Program Files\BraveSentry\BraveSentry3.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\gpinstall.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\svcp.csv
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\winsub.xml
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDYVWL6F\fi_nt86[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDYVWL6F\fi_nt86[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDYVWL6F\fi_nt86[3].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc981.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 151065
Gefundene Viren: 36
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 174
Dauer des Scans bisher: 01:16:40
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 7:12:58,78
Batchende: 7:13:13,04
-----------------------------

Alt 01.09.2007, 11:33   #2
nochdigger
 
Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. - Standard

Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken.



Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar, dann lasse diese Datei(en) :
C:\DOKUME~1\MEDION~1\LOKALE~1\Temp\winlogon.exe
C:\WINDOWS\system32\bear1.dll
C:\WINDOWS\system32\dllh8jkd1q8.exe
C:\WINDOWS\system32\vedxga3me2.exe
hier Virustotal
hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00 Beta,Support 29 AntiVirus Engine, Last Update(070821)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Du solltest dich evtl. schonmal mit dieser Anleitung vertraut machen
Neuaufsetzen des Systems und anschliessende Absicherung!

MFG
__________________


Alt 01.09.2007, 12:14   #3
Ullli
 
Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. - Standard

Fiese Sachen...



Hallo Nochdigger,

die Anzeigeneinstellungen (versteckte Dateien etc.) hatte ich schon so eingestellt, aber jetzt auch noch mal überprüft.

Hier unten die Ergebnisse von Virus-Total.

Vielen Dank und viele Grüße
Uli

--------------------------

Datei winlogon.exe empfangen 2007.09.01 12:50:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 12/32 (37.5%)
(...)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.1.0 2007.09.01 -
AntiVir 7.4.1.66 2007.08.31 TR/Small.33280
Authentium 4.93.8 2007.08.31 -
Avast 4.7.1029.0 2007.09.01 -
AVG 7.5.0.484 2007.08.31 SHeur.KJL
BitDefender 7.2 2007.09.01 -
CAT-QuickHeal 9.00 2007.08.31 TrojanProxy.Small.fx
ClamAV 0.91.2 2007.09.01 -
DrWeb 4.33 2007.09.01 Trojan.Spambot.2384
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5100 2007.08.31 -
Ewido 4.0 2007.09.01 -
FileAdvisor 1 2007.09.01 -
Fortinet 3.11.0.0 2007.09.01 -
F-Prot 4.3.2.48 2007.08.31 -
F-Secure 6.70.13030.0 2007.08.31 Trojan-Proxy.Win32.Small.fx
Ikarus T3.1.1.12 2007.09.01 Trojan.Win32.Agent.asu
Kaspersky 4.0.2.24 2007.09.01 Trojan-Proxy.Win32.Small.fx
McAfee 5110 2007.08.31 -
Microsoft 1.2803 2007.09.01 -
NOD32v2 2495 2007.09.01 -
Norman 5.80.02 2007.08.31 -
Panda 9.0.0.4 2007.08.31 -
Prevx1 V2 2007.09.01 SystemPoser:Trojan-a
Rising 19.38.52.00 2007.09.01 Trojan.Win32.Agent.vxr
Sophos 4.21.0 2007.09.01 Mal/Generic-A
Sunbelt 2.2.907.0 2007.08.31 Trojan-Proxy.Win32.Small.fx
Symantec 10 2007.09.01 -
TheHacker 6.1.9.175 2007.08.31 -
VBA32 3.12.2.3 2007.09.01 -
VirusBuster 4.3.26:9 2007.08.31 -
Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Small.33280
weitere Informationen
File size: 33280 bytes
MD5: 0ee01e9acd65a2a50d2a4c1601964978
SHA1: 482f8eea3afdb94b7e376b30fb8028c845246a4f
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=1562BD2B00885FAE82CD002A1416590096FEADD1

-------------------------

Datei bear1.dll empfangen 2007.09.01 12:55:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 12/32 (37.5%)
(...)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.1.0 2007.09.01 -
AntiVir 7.4.1.66 2007.08.31 -
Authentium 4.93.8 2007.08.31 W32/PWStealer.OCF
Avast 4.7.1029.0 2007.09.01 -
AVG 7.5.0.484 2007.08.31 PSW.Banker3.YPM
BitDefender 7.2 2007.09.01 -
CAT-QuickHeal 9.00 2007.08.31 -
ClamAV 0.91.2 2007.09.01 -
DrWeb 4.33 2007.09.01 -
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5100 2007.08.31 -
Ewido 4.0 2007.09.01 -
FileAdvisor 1 2007.09.01 -
Fortinet 3.11.0.0 2007.09.01 -
F-Prot 4.3.2.48 2007.08.31 W32/PWStealer.OCF
F-Secure 6.70.13030.0 2007.08.31 Backdoor.Win32.Agent.asa
Ikarus T3.1.1.12 2007.09.01 Trojan-PWS.Win32.Agent.km
Kaspersky 4.0.2.24 2007.09.01 Backdoor.Win32.Agent.asa
McAfee 5110 2007.08.31 PWS-Banker.gen.bq
Microsoft 1.2803 2007.09.01 -
NOD32v2 2495 2007.09.01 a variant of Win32/Spy.Banker.CKW
Norman 5.80.02 2007.08.31 -
Panda 9.0.0.4 2007.08.31 Suspicious file
Prevx1 V2 2007.09.01 -
Rising 19.38.52.00 2007.09.01 -
Sophos 4.21.0 2007.09.01 -
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.01 Infostealer.Bancos
TheHacker 6.1.9.175 2007.08.31 -
VBA32 3.12.2.3 2007.09.01 Backdoor.Win32.Agent.asa
VirusBuster 4.3.26:9 2007.08.31 -
Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.Malware.gen#UPX (suspicious)
weitere Informationen
File size: 51712 bytes
MD5: 37e81beb0d0c496608996e93ca2e67c9
SHA1: a36ba4463235a462a7d6e437514445ae8d358904
packers: UPX
packers: UPX
packers: UPX

-------------------------


C:\WINDOWS\system32\dllh8jkd1q8.exe

0 bytes size received / Se ha recibido un archivo vacio

Datei hat auch laut Explorer 0 Bytes


---------------------------

Datei vedxga3me2.exe empfangen 2007.09.01 13:02:38 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 14/32 (43.75%)
(...)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.1.0 2007.09.01 -
AntiVir 7.4.1.66 2007.08.31 HEUR/Crypted
Authentium 4.93.8 2007.08.31 -
Avast 4.7.1029.0 2007.09.01 -
AVG 7.5.0.484 2007.08.31 Obfustat.JZT
BitDefender 7.2 2007.09.01 -
CAT-QuickHeal 9.00 2007.08.31 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.01 -
DrWeb 4.33 2007.09.01 -
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5100 2007.08.31 -
Ewido 4.0 2007.09.01 -
FileAdvisor 1 2007.09.01 -
Fortinet 3.11.0.0 2007.09.01 W32/Agent.COQ!tr.dldr
F-Prot 4.3.2.48 2007.08.31 -
F-Secure 6.70.13030.0 2007.08.31 Trojan-Downloader.Win32.Agent.coq
Ikarus T3.1.1.12 2007.09.01 Email-Worm.Win32.Locksky.be
Kaspersky 4.0.2.24 2007.09.01 Trojan-Downloader.Win32.Agent.coq
McAfee 5110 2007.08.31 -
Microsoft 1.2803 2007.09.01 -
NOD32v2 2495 2007.09.01 -
Norman 5.80.02 2007.08.31 W32/Tibs.ASKH
Panda 9.0.0.4 2007.08.31 Suspicious file
Prevx1 V2 2007.09.01 Trojan.VXGAME
Rising 19.38.52.00 2007.09.01 Trojan.Win32.Agent.vyl
Sophos 4.21.0 2007.09.01 -
Sunbelt 2.2.907.0 2007.08.31 Trojan.Vxgame.z
Symantec 10 2007.09.01 -
TheHacker 6.1.9.175 2007.08.31 -
VBA32 3.12.2.3 2007.09.01 -
VirusBuster 4.3.26:9 2007.08.31 Packed/FRBR
Webwasher-Gateway 6.0.1 2007.08.31 Heuristic.Crypted
weitere Informationen
File size: 5632 bytes
MD5: a341c63152cabbd36674ebcb834142c7
SHA1: d0bb4eb1a7c00a3f183a51bc8464e97bf8de9072
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=2985B6FE0097FB7E165D006C0064FD00DDF2FF76
Sunbelt info: Trojan.Vxgame.z is a trojan program that silently downloads additional malware from the internet and lowers the system's security settings by disabling the Windows firewall.
__________________

Alt 01.09.2007, 12:52   #4
nochdigger
 
Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. - Standard

Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken.



Hallo

bei den Ergebnissen
Zitat:
F-Secure 6.70.13030.0 2007.08.31 Backdoor.Win32.Agent.asa
Ikarus T3.1.1.12 2007.09.01 Trojan-PWS.Win32.Agent.km
Kaspersky 4.0.2.24 2007.09.01 Backdoor.Win32.Agent.asa
McAfee 5110 2007.08.31 PWS-Banker.gen.bq
.
.
.
F-Secure 6.70.13030.0 2007.08.31 Trojan-Downloader.Win32.Agent.coq
Ikarus T3.1.1.12 2007.09.01 Email-Worm.Win32.Locksky.be
Kaspersky 4.0.2.24 2007.09.01 Trojan-Downloader.Win32.Agent.coq
eine Backdoor und einen aktiven Downloader im System
leider muss ich dir zu meiner schon verlinkten Anleitung raten, sorry
Zitat:
Zitat von nochdigger Beitrag anzeigen
Du solltest dich evtl. schonmal mit dieser Anleitung vertraut machen
Neuaufsetzen des Systems und anschliessende Absicherung!
aber evtl. hat einer der anderen Helfer hier noch eine Idee.

MFG

Alt 01.09.2007, 19:26   #5
Ullli
 
Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. - Frage

Letzte Hilfe? Gibt's noch Ideen da draußen?



Hallo Nochdigger,

vielen Dank für Deine Unterstützung!
Sieht also so aus, dass ich letztlich um das "Platteputzen" nicht herumkomme...

Wenn es irgendwie geht, würde ich den Kampf aber noch nicht ganz aufgeben.


@all:

Falls also noch jemand eine Idee hat (notfalls auch aus der Kategorie "Verzweiflungsmaßnahmen"), die man noch probieren könnte, dann wäre jetzt genau der richtige Moment sie hier zu posten.

Vielen Dank schon mal im Voraus!

Beste Grüße
Uli


Antwort

Themen zu Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken.
1.exe, antivir, antivirus, avira, browser, c:\windows\temp, computer, content.ie5, desktop, drivers, fehler, festplatte, firefox, fraud, helper, hewlettpackard, hijack, hijackthis, home, hosts-datei, internet, internet explorer, launch, maßnahme, mozilla, mozilla firefox, prozesse, registry, registry key, server, smitfraud, software, taskmanager, vielen dank, viren, windows, windows xp, windows\temp



Ähnliche Themen: Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken.


  1. sbcvvhost_win86 probleme, bitte logs checken
    Log-Analyse und Auswertung - 29.12.2011 (3)
  2. Kann Trojaner nicht einschätzen. Bitte Logs checken
    Log-Analyse und Auswertung - 27.09.2011 (33)
  3. Logs bitte Checken
    Log-Analyse und Auswertung - 12.05.2011 (28)
  4. Checken der Logs nach Trojaner Fund in Java Dateien
    Log-Analyse und Auswertung - 14.09.2010 (23)
  5. Malware... :( Bitte logs checken...
    Log-Analyse und Auswertung - 21.09.2009 (5)
  6. nach neuaufsetzung, log bitte checken
    Log-Analyse und Auswertung - 19.08.2009 (5)
  7. Nach USB-Stick Gebrauch: Autorun.inf etc. HJT-Log bitte checken
    Log-Analyse und Auswertung - 23.01.2009 (3)
  8. Bitte Log-File nach Reinigung checken...
    Mülltonne - 03.01.2009 (0)
  9. Hijackthis log file nach Befall bitte checken thx
    Mülltonne - 28.08.2008 (0)
  10. Computer wird langsam | Logs checken bitte
    Log-Analyse und Auswertung - 02.09.2007 (5)
  11. Bitte Überprüfen der Logs! (HijackThis, eScan)
    Log-Analyse und Auswertung - 14.08.2007 (4)
  12. Bitte checken [nach neuaufsetzung]
    Log-Analyse und Auswertung - 09.05.2007 (2)
  13. HiJackThis Logs zum checken :)
    Log-Analyse und Auswertung - 07.01.2006 (5)
  14. Nach PSGuard Logs - bitte durchsehen!
    Plagegeister aller Art und deren Bekämpfung - 10.10.2005 (5)
  15. Nach PSGuard Logs - bitte durchsehen!
    Mülltonne - 09.10.2005 (0)
  16. HiJackThis Logs und eScan log bitte mal nachschauen
    Log-Analyse und Auswertung - 06.02.2005 (1)
  17. Bitte Logs checken
    Log-Analyse und Auswertung - 23.11.2004 (7)

Zum Thema Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. - Hallo zusammen, in der letzten Woche hatte ich Probleme mit einem Smitfraud der Variante "BraveSentry". Der Thread http://www.trojaner-board.de/42725-bitte-hjt-log-checken.html war schon eine Riesenhilfe. Wie dort beschrieben habe ich SmitfraudFix zweimal laufen - Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken....
Archiv
Du betrachtest: Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.