Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: vermute schädling hinter Dit.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.10.2005, 19:11   #1
_XE_
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



HI@all
ich hab beim surfen immer wider die meldung bekommen das opera, mein internet browser, auf eine infitierte datei im chace ordner von opera zugreifen wollte, als ich mein anti viren kit darauf anwies die datei zu löschen kam die meldung noch mal, und ich lies die datei wider löschen. seit dem ist das internet ar*** langsam und manchmal dauert es erst minuten bevor opera anfängt eine seite zu laden ...
als ich mir einige prozesse im taskmanager ansah, viel mir auf das die Dit.exe sich am anfang groß schreibt, aber auf allen seiten auf den ich nachforschte schrieb sie sich klein. zu dem befindet sie sich im ordner C:\windows .

was soll ich tun? normaler weise gehört dit.exe zu meinem kartenleser, aber wenn sich dahinter ein schädling versteckt, wird er beim virenscan nicht erkannt ...

ich hoffe ihr könnt mir helfen, gruß XE.

PS: ich glaub ich hab das post ins falsche forum gepostet ...

Alt 07.10.2005, 19:29   #2
Wildone
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



Hallo,
wir können das Forum ganz einfach zum richtigen machen
Du postest einfach ein HijacjThis Log wie hier beschrieben, dann kann man wahrscheinlich mehr sagen.


Grüße Wildone
__________________


Alt 07.10.2005, 19:35   #3
_XE_
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



dann saug ichs mir mal schnell

(gabs nicht mal so 'ne Seite wo man verdächtige datein hochladen konnte und scannen lassen konnte?)

scan complet:

Logfile of HijackThis v1.99.1
Scan saved at 20:40:37, on 07.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PGPserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Opera\Opera.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Stephan Lehners\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://smartsurfer.web.de/client/redirect
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [SuperSpamKiller] C:\PROGRA~1\SSK\SSK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU)
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{25DF5560-D1A4-4A46-9273-CD014FCE44DB}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{25DF5560-D1A4-4A46-9273-CD014FCE44DB}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\System32\PGPserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]
__________________

Geändert von GUA (07.10.2005 um 19:48 Uhr)

Alt 07.10.2005, 19:39   #4
Wildone
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



Hallo,
ja gibt es, und zwar hier ,glaube aber noch nicht an an die Bösartigkeit der dit.exe, aber kannst es ja mal ausprobieren (vorher Prozess beenden).


Grüße Wildone

Alt 07.10.2005, 19:46   #5
_XE_
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



ok die war wirklich unschuldig, trotzdem verwirrt mich das mit dem großen D ...

(hab den log unten angehongen)


Geändert von _XE_ (07.10.2005 um 19:52 Uhr)

Alt 07.10.2005, 19:51   #6
GUA
entlassen
 
vermute schädling hinter Dit.exe - Cool

vermute schädling hinter Dit.exe



Zitat:
Zitat von _XE_
(gabs nicht mal so 'ne Seite wo man verdächtige datein hochladen konnte und scannen lassen konnte?)
http://virusscan.jotti.org/de/

und bitte editiere deine links zukünftig selber


GUA
(aus dem buch:"do it")

Alt 07.10.2005, 19:58   #7
Wildone
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



Hallo,
hmm, ich kann in deinem Log keine Auffälligkeit entdecken, welche Datei wurde denn von AVK gelöscht? Tritt das Problem auch mit dem IE auf? Ich gehe mal richtig in der Annahme das AVK mit den neusten Definitionen nichts findet, oder?


Grüße Wildone

Alt 07.10.2005, 20:18   #8
_XE_
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



was avk da genau gelöscht hat weiß ich auch nich irgentwas mit trojaner downloader. und ja das gleich prob mit IE und firefox und wie vorhin genannt opera und die signatur von avk ist akuel. aller dings scant avk nicht alles auf einige datein wird avk der zugriff verweigert ...

MfG XE

Alt 07.10.2005, 20:27   #9
Wildone
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



Hallo,
schwierig, also das AVK keinen Zugriff auf manche Dateien hat ist vollkommen normal. Ist zwar eigentlich nicht unbedingt sinnvoll (weil gleiche Scanengine) aber untersuche mal dein System mit Escan (Anleitung genau befolgen!) und poste dann das Log (find.bat!) vielleicht ist ja der Downloader in der Systemwiederherstellung hängen geblieben und man kann ihn wenigstens näher bestimmen.


Grüße Wildone

Alt 07.10.2005, 20:45   #10
_XE_
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



das kenn ich nich, ist das ein viren scanner? ... sollte man nicht immer nur ein virenscanner installiert haben? (wenn das einer ist^^)

Geändert von _XE_ (07.10.2005 um 20:50 Uhr)

Alt 07.10.2005, 20:48   #11
Wildone
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



Hallo,
ja das ist ein Virenscanner, und prinzipiell hast du recht mit der Aussage, aber das ist nur ein Ondemandscanner, will heißen er ist nicht im Hintergrund aktiv und stört somit auch keine anderen installierten scanner.


Grüße Wildone

Alt 07.10.2005, 20:51   #12
_XE_
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



das ding ist 8.6 mb groß da saug ich 'ne halbe stunde drann (ich kann nur mit 3.5kb/s laden!!!) das mach ich dann aber morgen

Alt 07.10.2005, 21:06   #13
Wildone
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



Hallo,
achso, du hast nur ein 56k Modem, diese Problematik vergißt man so schnell als DSL nutzer, aber momentan fällt mir nichts anderes ein.
Eine Vermutung könnte sein das du eine wichtige Datei gelöscht hast, die zwar infiziert war, aber trotzdem benötigt wird, also schau noch mal in den Logs von AVK nach, vielleicht findest du den Löschvorgang ja dort doch noch, und die genaue Bezeichnung des Schädlings.


Grüße Wildone

Alt 08.10.2005, 11:53   #14
_XE_
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



so ich hab da ein LOG mit virenfund gefunden, es gibt aber noch mehr davon ...

In der Datei "C:\Dokumente und Einstellungen\Stephan Lehners\Anwendungsdaten\Opera\Opera\profile\cache4\opr00WIW.js" wurde der Virus "Trojan-Clicker.JS.Gen (KAV-Engine)" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Alt 08.10.2005, 12:03   #15
Wildone
 
vermute schädling hinter Dit.exe - Standard

vermute schädling hinter Dit.exe



Hallo,
wenn es mehr davon gibt ruhig alles (soweit es das Forum nicht sprengt) posten. Der Eintrag hier ist relativ harmlos, das scheint mir ein Javavirus zu sein, der bei aktuellem (oder wie bei dir halbwegs aktuellem) Java keinen Schaden anrichten sollte. Die Dinger kann man übrigens auch unter Systemsteuerung>>Java "Temporäre Internetdateien">>"Dateien löschen" löschen.
Also poste mal noch die anderen Einträge.


Grüße Wildone

Antwort

Themen zu vermute schädling hinter Dit.exe
anfang, anti, browser, c:\windows, datei, erkannt, falsche, forum, internet, internet browser, karte, laden, langsam, löschen, nicht erkannt, opera, ordner, prozesse, scan, schädling, seite, seiten, surfen, taskmanager, viren, windows



Ähnliche Themen: vermute schädling hinter Dit.exe


  1. FBI soll hinter Angriff auf Tor-Netzwerk stecken
    Nachrichten - 13.11.2015 (0)
  2. Trackid=sp-006 hinter jeder Googlesuche!
    Plagegeister aller Art und deren Bekämpfung - 09.11.2015 (11)
  3. Trackid=sp-006 hinter jeder Googlesuche
    Plagegeister aller Art und deren Bekämpfung - 03.05.2015 (13)
  4. Trackid=sp-006 hinter jeder Googlesuche
    Log-Analyse und Auswertung - 12.04.2015 (12)
  5. Trackid=sp-006 hinter jeder Googlesuche
    Log-Analyse und Auswertung - 05.04.2015 (11)
  6. Trackid=sp-006 hinter jeder Googlesuche.
    Log-Analyse und Auswertung - 03.04.2015 (1)
  7. Trackid=sp-006 hinter jeder Googlesuche.
    Plagegeister aller Art und deren Bekämpfung - 22.02.2015 (25)
  8. Daten auf USB hinter Verknüpfungen - Virus auf PC?
    Log-Analyse und Auswertung - 12.10.2014 (15)
  9. Habe ich den ''Data Recovery'' hinter mir ?
    Log-Analyse und Auswertung - 30.11.2011 (22)
  10. Wie sicher ist man hinter einem Router?
    Plagegeister aller Art und deren Bekämpfung - 16.09.2008 (1)
  11. Was steckt hinter win33.tmp.exe??
    Plagegeister aller Art und deren Bekämpfung - 18.02.2007 (7)
  12. Angreifer hinter IP-Adresse herausfinden?
    Plagegeister aller Art und deren Bekämpfung - 17.02.2006 (3)
  13. Sicherheit hinter Router
    Antiviren-, Firewall- und andere Schutzprogramme - 11.01.2006 (14)
  14. Schädling oder nicht Schädling ?!?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2004 (0)
  15. Hinter diesem Link ein Dialer?
    Plagegeister aller Art und deren Bekämpfung - 22.06.2003 (11)

Zum Thema vermute schädling hinter Dit.exe - HI@all ich hab beim surfen immer wider die meldung bekommen das opera, mein internet browser, auf eine infitierte datei im chace ordner von opera zugreifen wollte, als ich mein anti - vermute schädling hinter Dit.exe...
Archiv
Du betrachtest: vermute schädling hinter Dit.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.