|
Log-Analyse und Auswertung: Trojaner eingefangenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
02.12.2004, 16:32 | #1 |
| Trojaner eingefangen Hallo, mein Antivir findet seit ein paar Tagen immer wieder einen Trojaner, den ich einfach nicht los werde. Was kann ich dagenegen tun? Irgendwie heiist er auch immer ein bißchen anders, zuletzt: TR/Dldr.SilentBD und TR/Dldr.Zdesnad.y.1 (???) Ich habe mit HijackThis diesen Logfile erstellt und kann damit aber überhaupt nichts anfangen. Kann mir dabei bitte jemand einen Tip geben, wie ich das wieder in Ordnung bringen kann? Logfile of HijackThis v1.98.2 Scan saved at 16:37:04, on 02.12.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ICQLITE\ICQLITE.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\TROJANHUNTER 4.0\THGUARD.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAMME\EMULE.DE\EMULE.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\ARCORONLINE\ARCOR.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...unt_id=1001547 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F1 - win.ini: run=C:\WINDOWS\hpfsched.exe O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll (file missing) O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL (file missing) O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll (file missing) O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [ELSA WINman Suite] C:\WINDOWS\ELSAutil\WINMSUIT.EXE /startup O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [rmjqzar] C:\WINDOWS\rmjqzar.exe O4 - HKLM\..\Run: [Sys29] C:\WINDOWS\SYSTEM\WINXRD32.EXE O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [THGuard] "C:\PROGRAMME\TROJANHUNTER 4.0\THGUARD.EXE" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [eMuleAutoStart] C:\PROGRAMME\EMULE.DE\EMULE.EXE -AutoStart O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: *.iframe.biz O15 - Trusted Zone: *.newiframe.biz O15 - Trusted Zone: *.pizdato.biz O15 - Trusted Zone: *.vse-moe.biz O15 - Trusted Zone: *.sp2fucked.biz O15 - Trusted Zone: *.sp2admin.biz O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.c4tdownload.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.overpro.com O15 - Trusted Zone: *.megapornix.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.finefind.net O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {B80F9FCE-DFDD-4A2A-8AA9-E05C6B7D4ED3} (SWToolBar Class) - http://www.smileyworld.com/toolbar/SmileyWorld.cab O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab O16 - DPF: v3cab - http://searchmiracle.com/cab/2.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...10/mcfscan.cab |
02.12.2004, 16:35 | #2 |
Trojaner eingefangen Hi,
__________________fixe diese Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...ount_id=1001547 O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll (file missing) O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL (file missing) O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll (file missing) O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Sys29] C:\WINDOWS\SYSTEM\WINXRD32.EXE O15 - Trusted Zone: *.iframe.biz O15 - Trusted Zone: *.newiframe.biz O15 - Trusted Zone: *.pizdato.biz O15 - Trusted Zone: *.vse-moe.biz O15 - Trusted Zone: *.sp2fucked.biz O15 - Trusted Zone: *.sp2admin.biz O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.c4tdownload.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.overpro.com O15 - Trusted Zone: *.megapornix.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.finefind.net O16 - DPF: v3cab - http://searchmiracle.com/cab/2.cab |
02.12.2004, 16:46 | #3 |
| Trojaner eingefangen Hallo,
__________________das ging ja wirklich superschnell. Vielen Dank. Wenn ich das gemacht habe, kann ich dann davon ausgehen, dass alles wieder ok ist? Oder muss ich noch irgendwas tun? Sorry, aber ich habe wirklich keine Ahnung davon. |
02.12.2004, 16:51 | #4 |
Trojaner eingefangen Poste bitte nochmal eine neue Log. |
02.12.2004, 16:59 | #5 |
| Trojaner eingefangen Ok, hier ist es: Logfile of HijackThis v1.98.2 Scan saved at 17:11:58, on 02.12.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\TROJANHUNTER 4.0\THGUARD.EXE C:\PROGRAMME\EMULE.DE\EMULE.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\ARCORONLINE\ARCOR.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F1 - win.ini: run=C:\WINDOWS\hpfsched.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [ELSA WINman Suite] C:\WINDOWS\ELSAutil\WINMSUIT.EXE /startup O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [rmjqzar] C:\WINDOWS\rmjqzar.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [THGuard] "C:\PROGRAMME\TROJANHUNTER 4.0\THGUARD.EXE" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [eMuleAutoStart] C:\PROGRAMME\EMULE.DE\EMULE.EXE -AutoStart O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {B80F9FCE-DFDD-4A2A-8AA9-E05C6B7D4ED3} (SWToolBar Class) - http://www.smileyworld.com/toolbar/SmileyWorld.cab O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...10/mcfscan.cab |
02.12.2004, 17:02 | #6 |
Trojaner eingefangen Das kannst du noch fixen: R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Lasse diese Datei hier untersuchen und poste das Ergebnis hier.: http://virusscan.jotti.org/de C:\PROGRAMME\ARCORONLINE\ARCOR.EXE |
02.12.2004, 17:10 | #7 |
| Trojaner eingefangen Hier das Ergebnis. Was muss mir denn das jetzt wieder sagen? Service load: 0% 100% File: Arcor.exe Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database) Packers detected: None AntiVir No viruses found (1.01 seconds taken) Avast No viruses found (1.56 seconds taken) BitDefender No viruses found (0.31 seconds taken) ClamAV No viruses found (0.75 seconds taken) Dr.Web BACKDOOR.Trojan (probable variant) (1.44 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus No viruses found (1.17 seconds taken) mks_vir No viruses found (0.40 seconds taken) NOD32 No viruses found (1.94 seconds taken) Norman Virus Control No viruses found (0.26 seconds taken) |
02.12.2004, 17:21 | #8 |
Trojaner eingefangen Backdoor hört sich schon mal nicht gut an. Ich hab aber im Internet nichts über diese ARCOR.EXE gefunden. Warte und schau was die anderen sagen. |
02.12.2004, 17:22 | #9 |
| Trojaner eingefangen Danke!! |
02.12.2004, 17:30 | #10 | |
| Trojaner eingefangen Überprüfe bei Jotti: O4 - HKLM\..\Run: [rmjqzar] C:\WINDOWS\rmjqzar.exe C:\WINDOWS\SYSTEM\WINXRD32.EXE kennst du??? Zitat:
wie gehst du ins Netz? (DSL, ISDN, Modem)? Falls du die Dateien nicht findest: Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren |
02.12.2004, 21:04 | #11 |
Gast | Trojaner eingefangen Schick mal die Arcor.exe an partytime-germany.ice@web.de |
03.12.2004, 13:07 | #12 |
| Trojaner eingefangen Hallo, kann die Dateien nicht finden, obwohl ich die Einstellungen wie beschrieben eingestellt habe. Weder C:\WINDOWS\rmjqzar.exe noch C:\WINDOWS\SYSTEM\WINXRD32.EXE Gehe über DSL ins Internet. Die blöde smileyworl toolbar habe ich mir mal runtergeladen, bekomme sie aber nicht wieder weg. Und was muss ich wegen p://gn.one2bill.de/soft/axload.cab unternehmen? |
03.12.2004, 13:39 | #13 |
Gast | Trojaner eingefangen Diesen Eintrag fixen: O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab Hast du wirklich "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen" aktiviert? |
03.12.2004, 16:40 | #14 |
| Trojaner eingefangen Ja, habe ich wirklich. |
05.12.2004, 21:38 | #15 |
| Trojaner eingefangen @ helpme, was passiert, wenn Du die Dateien in die Windows Suche eingibst? Lade den eScan runter, erstelle dafür einen neuen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird von Hand gemacht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. SD |
Themen zu Trojaner eingefangen |
antivir, bho, button, explorer, file missing, gen, hijack, hijackthis, immer wieder, internet, internet explorer, links, logfile, messenger, microsoft, msn, msn messenger, outlook express, programme, registry, rundll, rundll32.exe, services, software, system, temp, trojaner, trojaner eingefangen, urlsearchhook, windows, windows\temp |