Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ... wie hab ich das nur angestellt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.08.2005, 05:55   #1
--sandra--
 
... wie hab ich das nur angestellt - Icon17

... wie hab ich das nur angestellt



Halli Hallo!
Seit gestern Abend bin ich knapp am verzweifeln *args*.
Hab es irgendwie geschafft Trojanern auf meinem Rechner Zutritt zu verschaffen Nach x-Durchläufen mit meinem Virenscanner (AV-Guard) und a bissel selbstständigem ausmisten bin ich der Meinung - das kann's noch nicht gewesen sein.
Kann sich mal jmd das Logfile anschauen?
Befürchte fast, als Antwort "setz den PC neu auf" zu bekommen... aber gibt's da auch andere Mittel und Wege ?

LG,
Sandra
----------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 06:49:39, on 23.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CmWatch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Dokumente und Einstellungen\Sandra Hemer\Desktop\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: iTouch.exe.lnk = C:\Programme\Logitech\iTouch\iTouch.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O15 - Trusted Zone: *.asdbiz.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.asdbiz.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E6947B0-E8C2-49A2-8E95-82EE65006731}: NameServer = 192.168.120.252,192.168.120.253
O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Alt 23.08.2005, 07:33   #2
stupormundi
 
... wie hab ich das nur angestellt - Standard

... wie hab ich das nur angestellt



Hallo, sandra!

Tja,...
Zitat:
Befürchte fast, als Antwort "setz den PC neu auf" zu bekommen... aber gibt's da auch andere Mittel und Wege ?
Dein Log-file zeigt dass neben den
Troj/LowZone-W
http://www.sophos.de/virusinfo/analy...jlowzonew.html
auch noch ein E-mail Wurm mit möglicher Backdoor-Funktion aktiv war!
Zitat:
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)
, nämlich der hier http://castlecops.com/o23list-606.html
Obwohl zu dieser Variante (noch) keine konkreten Infos verfügbar sind, muss man von der Möglichkeit einer Kompromitierung Deines Systems durch eine Backdoor-Funktion ausgehen, da die ganze *bagz*-Bande diesbezüglich sehr verdächtig ist. Dazu siehe auch
http://www.bitdefender.com/VIRUS-439...Bagz.B@mm.html
oder
http://www.trojaner-board.de/archive...p/t-15600.html
Zitat:
Zitat von haui45
...Die ganze Reihe verfügt über Bachdoorfunktionalität, bei dem konkreten weiß ich es nicht zu 100%, aber man kann davon ausgehen
=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung entsprechend absichern" ...
Also, dann mal los... neuaufsetzen nach Cidres Anleitung
http://www.trojaner-board.de/showthread.php?t=12154
Viel Glück und sichere Dein System vor dem ersten Einstieg ins I-Net wie hier im board empfohlen ab!
stupormundi
__________________


Alt 23.08.2005, 08:08   #3
felix1
/// Helfer-Team
 
... wie hab ich das nur angestellt - Standard

... wie hab ich das nur angestellt



C:\PROGRA~1\DAP\DAP.EXE

Dieser Eintrag hat könnte es auch in sich haben:

http://www.sophos.de/virusinfo/analyses/w32ahkerf.html

Du solltest den PC schnellstmöglich vom Netz nehmen.
__________________

Alt 23.08.2005, 08:42   #4
--sandra--
 
... wie hab ich das nur angestellt - Standard

... wie hab ich das nur angestellt



THX für eure Hilfe!
Dann bleibt mir wohl nichts anderes übrig als den PC platt zu machen... *heulz*
Na wurschd, tut dem auch mal ganz gut!

LG

Alt 23.08.2005, 10:11   #5
stupormundi
 
... wie hab ich das nur angestellt - Standard

... wie hab ich das nur angestellt



Edit~~Wenn ich nix g´scheites dazu zu sagen hab´, sollte ich lieber nix dazu sagen~~daher mein Beitrag wieder gelöscht!


Geändert von stupormundi (23.08.2005 um 10:32 Uhr)

Alt 23.08.2005, 10:26   #6
dartus
 
... wie hab ich das nur angestellt - Standard

... wie hab ich das nur angestellt



Hallo,

DAP.EXE = http://castlecops.com/s837-DAP_exe.html (harmlos).

In der Sophos-Beschreibung steht :
Der Trojaner versucht u.a. diese Datei zu beenden!

dartus
__________________
--> ... wie hab ich das nur angestellt

Alt 23.08.2005, 10:50   #7
--sandra--
 
... wie hab ich das nur angestellt - Standard

... wie hab ich das nur angestellt



@ stupormundi: bitte *lol*???


... könnte die dap.exe nicht auch von meinem download manager "download accelerator pro" (DAP) stammen??? glaube, die anwendung geistert auch irgendwo im hintergrund rum...

Alt 23.08.2005, 10:54   #8
felix1
/// Helfer-Team
 
... wie hab ich das nur angestellt - Standard

... wie hab ich das nur angestellt



Ich denke, Dartus hat recht, was die dap.exe betrifft.

Wenn Du bzgl dap.exe sichergehen willst, dann lasse sie hier prüfen:
http://virusscan.jotti.org/de/

@Dartus

Alt 23.08.2005, 11:59   #9
stupormundi
 
... wie hab ich das nur angestellt - Standard

... wie hab ich das nur angestellt



@sandra
Zitat:
@ stupormundi: bitte *lol*???
vergiss es - ich habe mich in diesem post nur selbst zensiert - wollte wegen der dap.exe etwas posten, was aber nichts G´scheites gewesen wäre und habe es daher wieder editiert

Ansonsten wegen
Zitat:
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
Hier ist möglicherweise eine Backdoor-Problematik, daher die Empfehlung zum Neuaufsetzen!

Bis denn, stupormundi

Antwort

Themen zu ... wie hab ich das nur angestellt
adobe, antivir, ausmisten, avg, bho, desktop, download, einstellungen, excel, explorer, fritz!, hijack, hijackthis, internet, internet explorer, logfile, microsoft, monitor, neu, programme, scan, software, system, trojaner, tuneup utilities, windows, windows xp



Zum Thema ... wie hab ich das nur angestellt - Halli Hallo! Seit gestern Abend bin ich knapp am verzweifeln *args*. Hab es irgendwie geschafft Trojanern auf meinem Rechner Zutritt zu verschaffen Nach x-Durchläufen mit meinem Virenscanner (AV-Guard) und a - ... wie hab ich das nur angestellt...
Archiv
Du betrachtest: ... wie hab ich das nur angestellt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.