Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Vorher vs. nachher. Auffälligkeiten?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.05.2006, 13:06   #1
Iowa
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



Hallo!
Hab mir nen Trojaner gefangen und versucht zu bereiningen. Vielleicht schaut ihr Euch nochmal das vorher / nachher - log an.
Sind noch ein paar andere Einträge, wo ich mir nicht so sicher bin was das eigentlich ist. Rot hab ich gefixed, fett bin ich mir nicht sicher was das soll. Ach so ... es war wohl der yaemu.exe. Hatte den regedit eintrag schon vor dem ersten log gelöscht und auch die datei im system32-ordner.

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 09:48:21, on 09.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Kalenderchen\Kalenderchen.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\DrayTek Router Tools V2.5.4\SyslogRd.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\totalcmd651\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\hijack\HijackThis-2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Syslog] C:\Programme\DrayTek Router Tools V2.5.4\SyslogRd.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - h**p://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {558714D6-8AC5-11D2-BCB7-00A024A866A5} (ScreenShot Control) - h**ps://katalog.stbib-koeln.de/Components/screenshot.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122461357968
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://www.arcor.de/TJoACydEm_Uy3e88Hwm6jQ1/vod/dmd/WMDownload.cab
O16 - DPF: {DA606A1F-A615-4734-96DD-8C84312D50D5} (SilentPrinter Class) - h**ps://katalog.stbib-koeln.de/Components/PrintHelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{7E0E5728-FB20-4BB4-9ADB-D24DC83B1833}: NameServer = 85.255.115.68,85.255.112.118
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD92F9E-C26F-4F6A-8949-AF0306BDB964}: NameServer = 85.255.115.68,85.255.112.118

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Autodesk - Unknown owner - C:\Programme\Autodesk Network License Manager\Lmgrd.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

NAch der Säuberung:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:02:30, on 09.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Kalenderchen\Kalenderchen.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\DrayTek Router Tools V2.5.4\SyslogRd.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\totalcmd651\TOTALCMD.EXE
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijack\HijackThis-2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Syslog] C:\Programme\DrayTek Router Tools V2.5.4\SyslogRd.exe
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - h**p://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {558714D6-8AC5-11D2-BCB7-00A024A866A5} (ScreenShot Control) - h**ps://katalog.stbib-koeln.de/Components/screenshot.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122461357968
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://www.arcor.de/TJoACydEm_Uy3e88Hwm6jQ1/vod/dmd/WMDownload.cab
O16 - DPF: {DA606A1F-A615-4734-96DD-8C84312D50D5} (SilentPrinter Class) - h**ps://katalog.stbib-koeln.de/Components/PrintHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E0E5728-FB20-4BB4-9ADB-D24DC83B1833}: NameServer = 192.168.*.* <---- Mein Router!
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Autodesk - Unknown owner - C:\Programme\Autodesk Network License Manager\Lmgrd.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
Danke fürs drüberschaun!
Iowa

Geändert von Iowa (09.05.2006 um 13:11 Uhr)

Alt 09.05.2006, 13:18   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



Zitat:
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Der kann noch raus. Welcher Trojaner (Name, Fundort) wurde Dir denn angezeigt?
__________________

__________________

Alt 09.05.2006, 13:24   #3
felix1
/// Helfer-Team
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



Ich denke nicht, dass das alles war. Unserem allseits beliebten ukrainischen Provider kommt man bestimmt nicht mit bloßem Fixen mit HJT bei.
Führe das mal aus und poste das Ergebnis: Blacklight.
__________________
__________________

Alt 09.05.2006, 13:46   #4
Iowa
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



Also ich habe mir das blacklight beta file runtergeladen und nach hidden files suchen lassen. hat aber nix gefunden!

Alt 09.05.2006, 14:00   #5
felix1
/// Helfer-Team
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



Sei froh. Mache trotzdem mal noch den escan genau nach Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492

__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 09.05.2006, 16:52   #6
Iowa
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



würde ich ja gerne tun ... aber wenn ich die exe entpacke gibt es da kein kavupd.exe und wenn ich die esupdate.exe starte bekomme ich folgendes in die log-datei gehauen:
Zitat:
[ESUPDATE] [0x00000b80] 09/05/2006 17:47:48:953 :ERROR!!! Unable to Get eScan Install Directory from win.ini
Was nun?

Alt 09.05.2006, 17:39   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



Ich glaube Felix hat Dir versehentlich eine veraltete Anleitung verlinkt.
Schau dir mal diese an.
Bei den neueren eScan (MWAV) Versionen gibt es nämlich keine kavupd.exe mehr, das Update der Signaturen erfolgt aus dem Programm heraus.
Beachte die Anleitung genau, wesentlich Eckpunkte sind:
- Die heruntergeladene Datei MWAV.EXE nach C:\BASES_X entpacken
- Programmsprache in Englisch (damit Hauis FIND.BAT hinhaut)
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.05.2006, 20:38   #8
Iowa
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



So ...
hat alles soweit geklappt.
Nur habe ich den scan nach 2 Stunden erstmal abgebrochen. Werde über Nacht nochmal laufen lassen. Hier schonmal das Log:

Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with gain.gator Spyware/Adware ({21ffb6c0-0da1-11d5-a9d5-00500413153c})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({30192f8d-0958-44e6-b54d-331fd39ac959})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with zeropopup Spyware/Adware ({5297e905-1dfb-4a9c-9871-a4f95fd58945})! Action taken: No Action Taken.
Tue May 09 19:46:10 2006 => System found infected with zeropopup Spyware/Adware ({95b92d92-8b7d-4a19-a3f1-43113b4dbcaf})! Action taken: No Action Taken.
Tue May 09 19:46:14 2006 => System found infected with smitfraud variant Browser Hijacker (start.html)! Action taken: No Action Taken.
Tue May 09 19:46:14 2006 => System found infected with smitfraud variant Browser Hijacker (homepage.htm)! Action taken: No Action Taken.
Tue May 09 19:46:16 2006 => System found infected with smitfraud variant Browser Hijacker (start.html)! Action taken: No Action Taken.
Tue May 09 19:46:17 2006 => System found infected with smitfraud variant Browser Hijacker (homepage.htm)! Action taken: No Action Taken.
Tue May 09 19:46:12 2006 => Object "egroup Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 09 19:46:13 2006 => Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue May 09 19:46:14 2006 => Offending file found: E:\Eigene Dateien\anleitungen\zone alarm pro\anleitung\start.html
Tue May 09 19:46:14 2006 => Offending file found: E:\Eigene Dateien\office\word\homepage.htm
Tue May 09 19:46:16 2006 => Offending file found: E:\Eigene Dateien\anleitungen\zone alarm pro\anleitung\start.html
Tue May 09 19:46:17 2006 => Offending file found: E:\Eigene Dateien\office\word\homepage.htm
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Tue May 09 19:46:13 2006 => Offending Folder found: C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\sbsoft
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue May 09 19:46:12 2006 => Offending Key found: HKCU\Software\egdhtml !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 09 21:18:10 2006 => Total Errors: 6
Tue May 09 21:18:10 2006 => Time Elapsed: 01:32:04
Tue May 09 21:18:10 2006 => Total Objects Scanned: 37569
Tue May 09 21:18:10 2006 => Virus Database Date: 5/9/2006
Tue May 09 21:18:26 2006 => Virus Database Date: 5/9/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Alt 09.05.2006, 21:02   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



Also...da scheint sich noch etwas Ad-/Spyware in der Registrierung festgekrallt zu haben.
IMHO solltest Du mit einem aktuellen Spybot S&D die weg kriegen, sofern bei allen Einträge, die so aufgebaut sind
Zitat:
Tue May 09 19:46:10 2006 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})!
auch keine false-positives von eScan sind. Ansonsten sollte man diese auch manuell wegbekommen können indem man regedit.exe aufruft und die gesamte Registry nach jedem der gemeldeten Hex-Einträge durchforstet und die Einträge vorher backupt und dann entfernt. Jedenfalls hat eScan sich danach nicht mehr beschwert, als ich das mal bei einer Spyware befallenen Kiste gemacht hab. Eignet sich aber nur für erfahrene Anwender, die Registry falsch zu editieren kann böse enden. Daher v.a. bei Registrymanipulationen unbedingt vorher Backups von ihr anlegen!

Dass Du den Smitfraud hast glaube ich nicht, denn die smitfraudtypischen Dateien start.html und homepage.html befinden sich m.E. bewusst und gewollt installiert:
Zitat:
Tue May 09 19:46:14 2006 => Offending file found: E:\Eigene Dateien\anleitungen\zone alarm pro\anleitung\start.html
Tue May 09 19:46:14 2006 => Offending file found: E:\Eigene Dateien\office\word\homepage.htm
Tue May 09 19:46:16 2006 => Offending file found: E:\Eigene Dateien\anleitungen\zone alarm pro\anleitung\start.html
Tue May 09 19:46:17 2006 => Offending file found: E:\Eigene Dateien\office\word\homepage.htm
Von daher kein Problem, schätze ich mal.

Noch ein Tipp zum Abschluss: Beim freien eScan (MWAV) kannst Du auch wahweise nur gewisse Bereich abscannen. Wenn der Scan zu lange dauert, kannst Du zuerst mal nur die Systembereiche scannen lassen, also Häkchen setzen bei Memory, Registry, Startup Folders, System Folders, Services. Häkchen bei Drive und Folder nicht setzen aber Option Scan All Files. Das reicht für eine Systemanalyse eigentlich aus.

Achso, das freie Scan erweitert seine Logdatei MWAV.LOG bei jedem Scan, also die alten Einträge bleiben erhalten. Von daher empfiehlt es sich, vor jedem neuen Scan diese Datei zu löschen oder umzubenennen. Jedenfalls war das bisher so.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.05.2006, 21:31   #10
Iowa
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



Was mich immer schon mal interessiert hat ist:Was kann man eigentlich großartig falsch machen, wenn man in der reg was löscht, umschreibt. Klar, wenn man sich an Systemeinträge herantraut falsche Werte eingibt ... Aber wenn man nur nach installierter Software sucht, die eh nicht mehr auf dem Rechner ist oder halt Einträge im RUN - Schlüssel löscht kann ja nix passieren.
Ich möchte nicht sagen, dass ich ein Kenner der registry bin aber ich habe da schon immer rumgefuscht und bis jetzt ist noch nie was passiert. Ich mach natürlich auch immer vorher n backup ...

Iowa

Alt 09.05.2006, 21:48   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorher vs. nachher. Auffälligkeiten? - Standard

Vorher vs. nachher. Auffälligkeiten?



Hab ich zwar noch nicht direkt gehört, aber ich kann mir gut vorstellen, dass wenn ein weniger gut Geübter mit Regedit werkelt und dort vllt. aus Versehen mal ein paar wichtige Schlüssel in HKLM\SYSTEM\ löscht, die Kiste dann nicht mehr so will wie sie soll
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Vorher vs. nachher. Auffälligkeiten?
adobe, antivir, avira, bho, computer, excel, explorer, firefox, hijack, hijackthis, hotkey, internet, internet explorer, log, microsoft, monitor, mozilla, mozilla firefox, nicht sicher, programme, router, rundll, software, system, trojaner, träge, windows



Ähnliche Themen: Vorher vs. nachher. Auffälligkeiten?


  1. Windows 8.1 Bekämpfung Bikiniland Suchm. nachher Monitor schwarz
    Plagegeister aller Art und deren Bekämpfung - 09.02.2015 (17)
  2. PC infiziert (vorher) + Win32/Obfuscator.XZ
    Plagegeister aller Art und deren Bekämpfung - 29.10.2014 (34)
  3. Diverse Auffälligkeiten bei Windows/Java und Flash
    Alles rund um Windows - 28.04.2014 (2)
  4. Virus, Trojaner, o.ä.? - Merkwürdige Netzwerk-Auffälligkeiten Win 7 x64
    Log-Analyse und Auswertung - 10.08.2013 (10)
  5. FBDownloader entfernen - Bzw. vorher auf Existenz überprüfen
    Log-Analyse und Auswertung - 27.07.2013 (13)
  6. zufällig bei Autostart-Dateien jashla.exe entdeckt, sonst glaube keine Auffälligkeiten
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (10)
  7. flacor.dat Fehlermeldung nach jedem Systemstart...aber sonst keine Auffälligkeiten...
    Plagegeister aller Art und deren Bekämpfung - 28.09.2010 (1)
  8. Auffälligkeiten b Firefox, kein Zugriff auf passwordgeschützte Worddatei etc.
    Log-Analyse und Auswertung - 02.07.2010 (37)
  9. Programme funktionieren nicht wie vorher
    Plagegeister aller Art und deren Bekämpfung - 07.06.2010 (1)
  10. DualBootSystem Auffälligkeiten ?!
    Log-Analyse und Auswertung - 01.04.2010 (0)
  11. Bitte HiJack Log mal nach auffälligkeiten durchsehen.
    Log-Analyse und Auswertung - 29.09.2009 (2)
  12. TR/Dldr.Agent.bips.46 eingefangen - aber wenig Auffälligkeiten
    Plagegeister aller Art und deren Bekämpfung - 11.05.2009 (0)
  13. Logfiles vorher/nachher, System wieder benutzbar??
    Log-Analyse und Auswertung - 19.03.2009 (0)
  14. Welche Auffälligkeiten gibt es zu sehne?
    Log-Analyse und Auswertung - 18.03.2009 (4)
  15. Pc viel langsamer als vorher
    Log-Analyse und Auswertung - 30.12.2008 (5)
  16. logfile vorher fixen?!?
    Log-Analyse und Auswertung - 27.07.2005 (2)

Zum Thema Vorher vs. nachher. Auffälligkeiten? - Hallo! Hab mir nen Trojaner gefangen und versucht zu bereiningen. Vielleicht schaut ihr Euch nochmal das vorher / nachher - log an. Sind noch ein paar andere Einträge, wo ich - Vorher vs. nachher. Auffälligkeiten?...
Archiv
Du betrachtest: Vorher vs. nachher. Auffälligkeiten? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.