Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Zlob - HiJAckThis Log-File, bitte um analyse!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 24.06.2008, 20:02   #1
numismaati
 
Trojaner Zlob - HiJAckThis Log-File, bitte um analyse! - Standard

Trojaner Zlob - HiJAckThis Log-File, bitte um analyse!



auf meinem XP System hat sich wohl ein Trojaner breit gemacht, welcher von Avast als "Zlob" identifiziert wurde. Avast ist so konfiguriert, dass infizierte Files sofort gelöscht werden. Das scheint allerdings nichts geholfen zu haben. Auch ein Scan mit Reboot, wie man es in Avast machen kann, hat keine Abhilfe gebracht.

Der Trojaner bringt auf meinem Desktop eine Meldung, dass mein System von Spyware befallen ist und dass ich doch bitte noch mehr Malware von irgendwelchen dubiosen Adressen runterladen und installieren soll - was ich natürlich nicht gemacht habe. Auch äußert sich der Trojaner darin, dass ich nicht auf den Taskmanager zugreifen kann und das System sich sonst auch "merkwürdig" verhält (z.B. schließt sich ein geöffneter Windows-Explorer "von selbst").

Nachfolgend das HijackThis Logfile welches ich aufgrund der hier zu findenden Anleitungen erstellt habe:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:59:53, on 24.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\cjpcsc.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Pen_Tablet.exe

C:\Programme\USBDLM\USBDLM.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe

C:\WINDOWS\system32\Pen_Tablet.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\CTHELPER.EXE

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\Programme\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe

C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe

C:\Programme\Pantone\hueyPRO\hueyPROTray.exe

C:\Programme\AutoHotkey\AutoHotkey.exe

C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32Info.exe

C:\WINDOWS\explorer.exe

E:\HiJackThis.exe



R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {ACED1C9F-2718-4512-9F69-F4E28C1F484F} - C:\WINDOWS\system32\opnlLCTj.dll

O2 - BHO: (no name) - {BE3569CC-A4A1-435C-91C1-4770041270BB} - C:\WINDOWS\system32\byXPIxxW.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2007_2008_PLUS\TrayServer.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPWH myPrintMileage Agent] C:\Programme\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe

O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: ac'tivAid.lnk = C:\Programme\ac'tivAid\ac'tivAid.ahk

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE

O4 - Global Startup: hueyPROTray.lnk = C:\Programme\Pantone\hueyPRO\hueyPROTray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://w*w.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://up*date.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177356951015

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://w*w.creative.com/softwareupdate/su/ocx/15035/CTPID.cab

O20 - Winlogon Notify: opnlLCTj - C:\WINDOWS\SYSTEM32\opnlLCTj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: cyberJack PC/SC COM Service  (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: MsSecurity Updated (MsSecurity1.209.4) - Unknown owner - C:\WINDOWS\444.471.exe (file missing)

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

O23 - Service: USBDLM - Uwe Sieber - w*w.uwe-sieber.de - C:\Programme\USBDLM\USBDLM.exe



--

End of file - 7532 bytes
         
Wie bekomme ich den Trojaner wieder los - und ist das überhaupt machbar?
Oder hilft letzten Endes nur "tabula rasa" also Neuinstallation?

Gruss
Stefan

Alt 25.06.2008, 19:35   #2
Damnek
 
Trojaner Zlob - HiJAckThis Log-File, bitte um analyse! - Standard

Trojaner Zlob - HiJAckThis Log-File, bitte um analyse!



Also wenn es wirklich Zlob sein solte, dann hilft für eine sichere Entfernung nur noch format c:, also Neuinstallation. Allein schon anhand der merkwürdigen Geschenisse auf deinem Rechner kann man schon ziemlich sicher sagen (auch ohne den log anzuschauen) das es sich um einen Trojaner handelt und auch höchstwahrscheinlich um Zlob (nach den Meldungen auf dem desktop her). Es gibt zwar Tools die Zlob entfernen sollten (ob sie das machen ist dahingestellt, da es von Zlob sehr viele Varianten gibt) ist die Neuinstallation die sicherste Lösung. Auch wennn es sich nicht um Zlob handelt.
Hast du möglicherweise irgendwelche Videocodecs heruntergeladen oder warst auf Unseriösen Seiten?
__________________


Antwort

Themen zu Trojaner Zlob - HiJAckThis Log-File, bitte um analyse!
1.exe, adobe, antivirus, avast, avast!, bho, bonjour, computer, ctfmon.exe, desktop, firewall, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, infizierte, internet, internet explorer, log-file, logfile, magix, malware, scan, software, spyware, system, taskmanager, trojaner, von selbst, windows xp, windows-explorer, zlob



Ähnliche Themen: Trojaner Zlob - HiJAckThis Log-File, bitte um analyse!


  1. verdacht auf trojaner, hijackthis file bitte durchschaun
    Mülltonne - 22.11.2008 (1)
  2. Bitte um Hijackthis analyse
    Mülltonne - 14.10.2008 (3)
  3. Bitte um Analyse des Hijackthis festellungen
    Mülltonne - 11.10.2008 (0)
  4. Bitte um Analyse des Hijackthis festellungen
    Mülltonne - 11.10.2008 (0)
  5. Bitte HiJackThis Log-File für Trojaner W32:Agent-Qif
    Log-Analyse und Auswertung - 25.01.2008 (0)
  6. Bitte um Log-File analyse. Virenbefall?
    Mülltonne - 09.01.2008 (0)
  7. Bitte um Analyse des HiJackThis-Logfiles wegen Vundo
    Log-Analyse und Auswertung - 17.12.2007 (7)
  8. Hijackthis Log File nachdem AntiVir ZLOB angezeigt hat
    Log-Analyse und Auswertung - 24.11.2007 (0)
  9. bitte um hilfe bei HJT loog file analyse
    Mülltonne - 21.11.2007 (0)
  10. Bitte um Analyse von HiJackThis-Log
    Log-Analyse und Auswertung - 21.11.2007 (7)
  11. HiJackThis Log File Analyse - TR/Crypt.FKM.Gen
    Mülltonne - 28.10.2007 (0)
  12. Bitte um HJT Log-File Analyse!
    Log-Analyse und Auswertung - 07.09.2007 (1)
  13. Hijackthis Log analyse bitte
    Log-Analyse und Auswertung - 23.07.2007 (2)
  14. bitte um log File analyse - hab was eingefangen
    Log-Analyse und Auswertung - 02.11.2005 (1)
  15. Bitte um HiJackThis Log analyse
    Log-Analyse und Auswertung - 02.11.2005 (2)
  16. Bitte um Analyse von Log-File
    Log-Analyse und Auswertung - 11.01.2005 (1)
  17. Hijackthis, bitte um analyse :)
    Log-Analyse und Auswertung - 23.10.2004 (4)

Zum Thema Trojaner Zlob - HiJAckThis Log-File, bitte um analyse! - auf meinem XP System hat sich wohl ein Trojaner breit gemacht, welcher von Avast als "Zlob" identifiziert wurde. Avast ist so konfiguriert, dass infizierte Files sofort gelöscht werden. Das scheint - Trojaner Zlob - HiJAckThis Log-File, bitte um analyse!...
Archiv
Du betrachtest: Trojaner Zlob - HiJAckThis Log-File, bitte um analyse! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.