Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Citifraud.A

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.12.2004, 11:26   #1
Lifestyle
 
Trojaner Citifraud.A - Standard

Trojaner Citifraud.A



Hallo zusammen, ich bin es einmal wieder.

Es ist mir unerklärlich aber Panda lässt bei mir scheinbar einen Trojaner nach dem nächsten durch.

Nachdem es beim ersten Mal Startpage.PH war, hatte ich dieses Mal Citifraud.A. Beim Scan hat er ihn erwischt und desinfiziert.

Ich habe, soweit ich weiß, alle Patches, Service Pack 2, surfe nicht auf irgendwelchen komischen Seiten und benutze Firefox… allerdings auch Outlook XP

Komisch kam mir vor, dass mit Panda anzeigte, nicht aktiviert zu sein, obwohl dieses automatisch so sein sollte. Sind vielleicht seit der letzten Infektion noch Ports offen??
Werde jetzt natürlich verstärkt darauf achten.

Kann mir bitte jemand helfen?

Hier mein Logfile.

Logfile of HijackThis v1.99.0
Scan saved at 11:59:33, on 30.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\passrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\powerman.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\psimsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\WebProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\OLIVER~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [powerman] "C:\WINDOWS\System32\powerman.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Antispam Service - Unknown - C:\Programme\Panda Software\Panda Platinum Internet Security\passrv.exe
O23 - Service: Panda Firewall Service - Unknown - C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Process Protection Service - Unknown - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service - Panda Software - C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
O23 - Service: Panda Imanager Service - Panda Software Internacional - C:\Programme\Panda Software\Panda Platinum Internet Security\psimsvc.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Vielen Dank schon einmal,

Leifstyle

Alt 30.12.2004, 11:53   #2
Cidre
Administrator, a.D.
 
Trojaner Citifraud.A - Standard

Trojaner Citifraud.A



Hallo,

warum erstellst du zwei Threads?

Zitat:
Komisch kam mir vor, dass mit Panda anzeigte, nicht aktiviert zu sein, obwohl dieses automatisch so sein sollte.
Die Auto Start Einträge, sowie die Dienste passen aber.
Überprüfe nochmal die Konfiguration von Panda.

btw:
Laufen beide Guards gleichzeitig (eTrust und Panda)?

Zitat:
vielleicht seit der letzten Infektion noch Ports offen??
z.B. mit TCPView gegenprüfen

Info zu Citifraud.A: http://www.pandasoftware.com/virus_i...?idvirus=53982

Alternative:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
__________________

__________________

Alt 30.12.2004, 12:27   #3
Lifestyle
 
Trojaner Citifraud.A - Standard

Trojaner Citifraud.A



Hi Cidre,

ich war mir nicht sicher, wo mein Thread am ehesten gelesen wird. Werde mich in Zukunft versuchen zu bremsen

eTrust war "von Werk aus" auf meinem Rechner, habe es versucht zu deinstallieren, was nicht bzw. nicht vollständig funktioniert hat, da eine Datei fehlt...

Habe aber beide Firewalls/Virenscanner (eTrust und Microsoft) deaktiviert, so dass sie sich nicht in die Quere kommen sollten.

Ich könnte ein wenig Hilfe gebrauchen, welcher Port aus welchem Grund offen zu sein hat und welche besser nicht. Erlebnisse, wo im Nachhinein gar nichts mehr geklappt hat, hatte ich genug *g*

Danke sehr,

Lifestyle
__________________

Alt 30.12.2004, 12:50   #4
Cidre
Administrator, a.D.
 
Trojaner Citifraud.A - Standard

Trojaner Citifraud.A



Zitat:
eTrust war "von Werk aus" auf meinem Rechner, habe es versucht zu deinstallieren, was nicht bzw. nicht vollständig funktioniert hat, da eine Datei fehlt...
Wenn du die Möglichkeit hast, dann installiere eTrust nochmal und versuche es sauber über Systemsteuerung -> Software zu deinstallieren.

Zitat:
welcher Port aus welchem Grund offen zu sein hat und welche besser nicht.
Mit TCPView siehst du genau, welche Ports durch welches Programm geöffnet werden. Darüber musst du entscheiden, ob du das wirklich willst.
Info:
http://www.iana.org/assignments/port-numbers
http://ports.tantalo.net/index.php?lng=de
http://www.ntsvcfg.de/
http://www.ntsvcfg.de/linkblock.html
__________________
Gruß, Cidre


Antwort

Themen zu Trojaner Citifraud.A
.inf, adobe, bho, computer, excel, explorer, firewall, hijack, hijackthis, icq, internet, internet explorer, internet security, launch, microsoft, nvcpl.dll, nvidia, programme, rundll, scan, security, seiten, software, symantec, system, temp, trojaner, windows, windows messenger, windows xp




Zum Thema Trojaner Citifraud.A - Hallo zusammen, ich bin es einmal wieder. Es ist mir unerklärlich aber Panda lässt bei mir scheinbar einen Trojaner nach dem nächsten durch. Nachdem es beim ersten Mal Startpage.PH war, - Trojaner Citifraud.A...
Archiv
Du betrachtest: Trojaner Citifraud.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.