| |
| |||||||
Log-Analyse und Auswertung: TrojanerWindows 7 Hier könnt Ihr Logs zwecks Auswertung posten. So bekommt man Hilfe: Erste Schritte zur Hilfe! |
 |
17.10.2007, 11:15
| #1 |
| |  Trojaner Hi seit ca 2 Tagen hab ich 2(?) Trojaner auf meinem System die die Prozessgeschwindigkeit doch schon SEHR beeinträchtigen. Antivir zeigt mir alle 2 Sekunden an das er was gefunden hat ist aber unfähig zu löschen. Hier der Hijackthis-log: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 11:00:26, on 17.10.2007 Platform: Windows XP (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Programme\ICQLite\ICQLite.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Dokumente und Einstellungen\sebasti\Desktop\HiJackThis_v2.exe C:\WINDOWS\system32\rundll32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3C9FB61A-F9D8-4D35-9734-0F1A99319E96} - C:\WINDOWS\System32\awvvv.dll O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qomljhi.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: awvvv - C:\WINDOWS\System32\awvvv.dll O20 - Winlogon Notify: qomljhi - C:\WINDOWS\SYSTEM32\qomljhi.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\blaahfkh.exe (file missing) -- End of file - 5215 bytes Als schädlich werden folgende Datein angesehn: ---- O2 - BHO: (no name) - {3C9FB61A-F9D8-4D35-9734-0F1A99319E96} - C:\WINDOWS\System32\awvvv.dll -> Antivir nennt das ding: TR/Mon. Virtumonde.II (Trojaner) O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qomljhi.dll -> Antivir nennt das ding: TR/Vundo.DMY O20 - Winlogon Notify: awvvv - C:\WINDOWS\System32\awvvv.dll O20 - Winlogon Notify: qomljhi - C:\WINDOWS\SYSTEM32\qomljhi.dll Ich kann die Teile weder fixen noch per hand löschen.Auch die Systemwiederherstellung versagt hier. Wie krieg ich die 2 Trojaner wieder runter? Danke schonmal Gruß |
|
17.10.2007, 11:43
| #2 |
  | AW: Trojaner Hi, bevor ich mich verkünstele: Vundofix anwenden Vundofix und danach ein neues HJ-Log... chris Ps.: Das sind die bisher erkennbaren "Übeltäter" : C:\WINDOWS\System32\blaahfkh.exe (sollte schon gelöscht sein) C:\WINDOWS\System32\awvvv.dll C:\WINDOWS\SYSTEM32\qomljhi.dll Löschen über z. B. die Killbox und anschließend die Einträge mit HJ entfernen: KILLBOX - Pocket KillBox Killbox - Pocket KillBox Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\System32\blaahfkh.exe C:\WINDOWS\System32\awvvv.dll C:\WINDOWS\SYSTEM32\qomljhi.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten Und dann gleich das System absichern/updaten... Mache noch einen escan und poste (bis auf die Cookiees) den Report: eScan-Anleitung
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) Geändert von Chris4You (17.10.2007 um 12:28 Uhr) |
|
17.10.2007, 12:02
| #3 |
| Gast | AW: Trojaner Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 11:00:26, on 17.10.2007 Platform: Windows XP (WinNT 5.01.2600) Boot mode: Normal Also das ist mal sehr schlecht...ohne SP2 ins Netz  Dieser Post ist das richtige: Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung! |
|
| Stichworte zu Trojaner |
| adobe, avira, babylon, bho, browseui preloader, ctfmon.exe, dateien, desktop, downloader, einstellungen, excel, hijack, hotkey, internet, internet explorer, messenger, microsoft, pdf, photoshop, programme, rundll, sekunden, software, system, systemwiederherstellung, trend micro, trojane, trojaner, windows, windows xp |
