Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 17.10.2007, 10:15   #1
sebzor
 
Trojaner - Standard

Trojaner



Hi

seit ca 2 Tagen hab ich 2(?) Trojaner auf meinem System die die Prozessgeschwindigkeit doch schon SEHR beeinträchtigen.
Antivir zeigt mir alle 2 Sekunden an das er was gefunden hat ist aber unfähig zu löschen.


Hier der Hijackthis-log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:00:26, on 17.10.2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\sebasti\Desktop\HiJackThis_v2.exe
C:\WINDOWS\system32\rundll32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3C9FB61A-F9D8-4D35-9734-0F1A99319E96} - C:\WINDOWS\System32\awvvv.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qomljhi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: awvvv - C:\WINDOWS\System32\awvvv.dll
O20 - Winlogon Notify: qomljhi - C:\WINDOWS\SYSTEM32\qomljhi.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\blaahfkh.exe (file missing)

--
End of file - 5215 bytes


Als schädlich werden folgende Datein angesehn:
----
O2 - BHO: (no name) - {3C9FB61A-F9D8-4D35-9734-0F1A99319E96} - C:\WINDOWS\System32\awvvv.dll

-> Antivir nennt das ding: TR/Mon. Virtumonde.II (Trojaner)

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qomljhi.dll

-> Antivir nennt das ding: TR/Vundo.DMY


O20 - Winlogon Notify: awvvv - C:\WINDOWS\System32\awvvv.dll
O20 - Winlogon Notify: qomljhi - C:\WINDOWS\SYSTEM32\qomljhi.dll

Ich kann die Teile weder fixen noch per hand löschen.Auch die Systemwiederherstellung versagt hier.

Wie krieg ich die 2 Trojaner wieder runter?

Danke schonmal

Gruß

Alt 17.10.2007, 10:43   #2
Chris4You
 
Trojaner - Standard

Trojaner



Hi,

bevor ich mich verkünstele:
Vundofix anwenden
Vundofix

und danach ein neues HJ-Log...

chris

Ps.: Das sind die bisher erkennbaren "Übeltäter" :
C:\WINDOWS\System32\blaahfkh.exe (sollte schon gelöscht sein)
C:\WINDOWS\System32\awvvv.dll
C:\WINDOWS\SYSTEM32\qomljhi.dll

Löschen über z. B. die Killbox und anschließend die Einträge mit HJ entfernen:
KILLBOX - Pocket KillBox
Killbox - Pocket KillBox

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\System32\blaahfkh.exe
C:\WINDOWS\System32\awvvv.dll
C:\WINDOWS\SYSTEM32\qomljhi.dll
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Und dann gleich das System absichern/updaten...

Mache noch einen escan und poste (bis auf die Cookiees) den Report:
http://www.trojaner-board.de/42731-escan-anleitung.html
__________________

__________________

Geändert von Chris4You (17.10.2007 um 11:28 Uhr)

Alt 17.10.2007, 11:02   #3
-SkY-
Gast
 
Trojaner - Standard

Trojaner



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:00:26, on 17.10.2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Also das ist mal sehr schlecht...ohne SP2 ins Netz

Dieser Post ist das richtige:

Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung!
__________________

Antwort

Themen zu Trojaner
adobe, avira, babylon, bho, browseui preloader, ctfmon.exe, dateien, desktop, downloader, einstellungen, excel, hijack, hkus\s-1-5-18, hotkey, internet, internet explorer, messenger, microsoft, pdf, photoshop, programme, rundll, s-1-5-18, sekunden, software, system, systemwiederherstellung, trend micro, trojane, trojaner, windows, windows xp



Zum Thema Trojaner - Hi seit ca 2 Tagen hab ich 2(?) Trojaner auf meinem System die die Prozessgeschwindigkeit doch schon SEHR beeinträchtigen. Antivir zeigt mir alle 2 Sekunden an das er was gefunden - Trojaner...
Archiv
Du betrachtest: Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.