Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Archiv

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 01.02.2005, 22:22   #1
Andrejof
 
Trojaner Archiv - Standard

Trojaner Archiv



Ich glaube, auf meinem PC sind ein paar Trojaner, und weiss nicht, ob ich sie noch jemals wegbringen kann.
Einer heisst irgendwie Dyfuca, und der andere Heuristic/Virus.Win32.
Habe mal einen HijackThis Test gemacht, habe aber keine Ahnung, ob etwas Schlechtes dabei ist. Kann mir jemand helfen?

Bei escan kam eine Anleitung zur Beseitigung oder des Archivs, oder um es unschädlich zu machen, weiss auch nicht, jedenfalls hiess es, dass man zuerst die Systemwiederherstellung deaktivieren muss, und dann übernehmen, und danach das Kästchen wieder auszuschalten.
Weiss jemand für was das gut sein soll?

Fri Nov 15 03:14:23 2002 => File C:\_RESTORE\ARCHIVE\FS36.CAB infected by "Trojan-Downloader.Win32.Dyfuca.ds" Virus. Action Taken: No Action Taken.
Im Ordner C:\_RESTORE\ARCHIVE\ wurden etwa 94 .cab Dateien mit immer wieder anderen Endungen gefunden.

Logfile of HijackThis v1.99.0
Scan saved at 00:02:56, on 15.11.2002
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTTRAYAPP.EXE
C:\PROGRAMME\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\UTILITIES\ANTIVIR\AVGCTRL.EXE
C:\PROGRAMME\UTILITIES\ZONEALARM\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\UTILITIES\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\UTILITIES\POST IT SW NOTES\PSN2LITE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\GAME CONTROLLERS\SWTRAY.EXE
C:\PROGRAMME\UTILITIES\POST IT SW NOTES\PSNGIVE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\ZUBEHöR\WORDPAD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\UTILITIES\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\UTILITIES\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRAMME\UTILITIES\ZONEALARM\ZONEALARM\ZLCLIENT.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\Utilities\WinZip\WZQKPICK.EXE
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programme\Utilities\Post it SW notes\Psn2Lite.exe
O4 - Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Startup: QuickShelf.lnk = E:\Tools\Lexi Rom 2\QS96D.EXE
O4 - Startup: SwTray.lnk = C:\Programme\Microsoft Hardware\Game Controllers\SWTRAY.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/504941.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {042EEA26-2402-4E5A-B5BB-0FB445A5526E} (VacPro.win98_P) - http://www9.advnt01.com/dialer/win98_P.CAB
O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://install.anark.com/client/vers...n/AMClient.cab

Geändert von Andrejof (01.02.2005 um 22:28 Uhr)

Alt 01.02.2005, 22:24   #2
chaosman
 
Trojaner Archiv - Standard

Trojaner Archiv



@Andrejof
poste bitte folgendes
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman
__________________

__________________

Alt 01.02.2005, 22:32   #3
Andrejof
 
Trojaner Archiv - Standard

Trojaner Archiv



Die folgende Datei war der einzige Ort, an dem ein Trojaner gefunden wurde.


File C:\_RESTORE\ARCHIVE\FS36.CAB infected by "Trojan-Downloader.Win32.Dyfuca.ds" Virus. Action Taken: No Action Taken.

Habe den Test nachher nochmals gemacht, und dabei wurde der oben genannte Trojaner nicht mehr gefunden.
Dafür aber noch Andere:
File C:\WINDOWS\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

File C:\Recycled\Dc23.zip tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Recycled\Dc42.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
File C:\Temp\Palm Games\Install\palmsoftware - downloads\vnc-3.3.3r2_x86_win32 - Access any PC off your PC!.zip tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.
__________________

Geändert von Andrejof (01.02.2005 um 23:52 Uhr)

Alt 01.02.2005, 22:37   #4
chaosman
 
Trojaner Archiv - Standard

Trojaner Archiv



@Andrejof
diese ordner löschen, wie unten beschrieben wird
kuckst du hier

Zitat fawny
Restore-Ordner in Root der Platten löschen
Plattform: Win ME


Die Systemwiederherstellung von Windows ME speichert alle Zwischenpunkte im Restore-Ordner eines jeden Laufwerks ab. Ist man mit seinem System zufrieden, hat zuvor aber unnötige Zwischenpunkte, brauchen diese dennoch Platz auf der Festplatte, da Windows ME die älteren erst löscht, wenn das Limit gemäß der Systemsteuerung erreicht ist.

Im DoS-Modus kann man den Ordner aber dennoch löschen, wenn man das System über eine DOS-Diskette oder mit der Startdiskette startet und im DOS verbleibt. Mit dem Befehl deltree /c c:\_restore wird der Ordner auf C gelöscht. Windows erstellt den Ordner später neu.

Will man den Ordner komplett löschen und nicht mehr sehen, muss man erst die Systemwiederherstellung abschalten, danach den Systemdateienschutz abschalten und nach einem Neustart im DOS-Mode noch die _Restore-Ordner löschen.

http://www.wintotaldb.de/Tipps/URubr...RBID=2&URBID=9

chaosman
__________________
Bonus vir semper tiro

Alt 02.02.2005, 13:28   #5
Andrejof
 
Trojaner Archiv - Standard

Trojaner Archiv



Danke für diese Informationen,
Habe mich bis jetzt immer gefragt, für was dieses Archiv ist, jetzt weiss ich's. Aber ich glaube, ich muss gar nicht in den Dos Modus wechseln.
Habe mal kurz die Systemwiederherstellung deaktiviert, dann wieder aktiviert. Und jetzt wird dieser Trojaner mit escan nicht mehr gefunden, welcher zuvor im Archiv sass. Weiss jetzt nicht, ob der Trojaner ganz weg ist. Glaube nicht. Komisch, weiss jemand wieso der Troj. plötzlich weg ist?


Alt 28.02.2005, 15:28   #6
rich20
 
Trojaner Archiv - Standard

Trojaner Archiv



Wenn er im "Im Ordner C:\_RESTORE\ARCHIVE\" gewesen ist, ist er, wenn du die Systemwiederherstellung deaktiviert hast und danach neu gestartet hast, deshalb weg, da er zusammen mit deinen Systemwiederherstellungspunkten gelöscht worden ist. Die Wiederherstellungspunkte sind dann allerdings auch weg.
__________________
--> Trojaner Archiv

Antwort

Themen zu Trojaner Archiv
antivir, askbar, beseitigung, bho, dateien, ellung, escan, explorer, file, helfen, hijack, hijackthis, immer wieder, infected, internet, internet explorer, keine ahnung, meinem, messenger, microsoft, msn, msn messenger, nicht, ordner, programme, registry, software, sun java, symantec, systemwiederherstellung, temp, trojaner, urlsearchhook, windows, windows\temp



Ähnliche Themen: Trojaner Archiv


  1. Trojaner "Trojan.Ransomlock.P" in Archiv.zip (Abrechnung Archiv.scr)
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (20)
  2. (2x)Trojaner "Trojan.Ransomlock.P" in Archiv.zip (Abrechnung Archiv.scr)
    Mülltonne - 10.06.2012 (1)
  3. Dropper.Gen im Archiv, Archiv gelöscht, besteht noch gefahr?
    Plagegeister aller Art und deren Bekämpfung - 10.05.2010 (1)
  4. Selbstentpackendes WinRar-Archiv
    Mülltonne - 04.08.2008 (0)
  5. Infizierte Datei im Archiv
    Plagegeister aller Art und deren Bekämpfung - 29.07.2005 (3)
  6. Archiv Header defekt
    Alles rund um Windows - 25.06.2005 (1)
  7. Archiv
    Plagegeister aller Art und deren Bekämpfung - 24.04.2005 (2)
  8. Virus im Archiv
    Antiviren-, Firewall- und andere Schutzprogramme - 09.03.2005 (11)
  9. trojaner im archiv
    Log-Analyse und Auswertung - 14.02.2005 (5)
  10. Trojaner im Archiv
    Plagegeister aller Art und deren Bekämpfung - 28.01.2005 (1)
  11. habe trojaner im Archiv
    Plagegeister aller Art und deren Bekämpfung - 23.01.2005 (8)
  12. Virus im Archiv
    Log-Analyse und Auswertung - 29.12.2004 (15)
  13. Viren im Archiv !!!!
    Plagegeister aller Art und deren Bekämpfung - 16.12.2004 (2)
  14. habe trojaner im Archiv und kann diese nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 15.10.2004 (3)
  15. Trojaner/Dialer im _restore\Archiv......
    Plagegeister aller Art und deren Bekämpfung - 22.08.2004 (7)
  16. Trojaner in zip-Archiv!
    Plagegeister aller Art und deren Bekämpfung - 03.08.2004 (4)

Zum Thema Trojaner Archiv - Ich glaube, auf meinem PC sind ein paar Trojaner, und weiss nicht, ob ich sie noch jemals wegbringen kann. Einer heisst irgendwie Dyfuca, und der andere Heuristic/Virus.Win32. Habe mal einen - Trojaner Archiv...
Archiv
Du betrachtest: Trojaner Archiv auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.