Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Diverse Trojaner- falls möglich, wie entfernen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.07.2006, 03:17   #1
Kerstin
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



Hallo,

seit ein paar Tagen schlägt AntiVir fast ständig Alarm. Laut Guard hab ich mir folgende Trojaner eingefangen:
-TR/Dldr.Small.buy.1
-TR/Dldr.QQHelp.AP
-TR/Dldr.Smartl.A.2
-TR/Dldr.180Sol.AK.2

Laut Antivir Scan noch diesen:
TR/Proxy.Agent.CV.9

Ich bin ratlos, wie ich jetzt am besten vorgehe, einfach löschen funktioniert nicht. Google sagt mir auch nicht zu allen o.g. Typen was. Darum hier das HiJackThis-logfile in der Hoffnung auf Expertenrat

Logfile of HijackThis v1.99.1
Scan saved at 19:51:44, on 03.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gizmo Project\mDNSResponder.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Network Monitor\netmon.exe
C:\Programme\Linksys\Wireless-G Notebook Adapter\NICServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winws.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\dfndrc_4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\windows\mdrive\dr.exe
c:\windows\mdrive\myz.exe
C:\WINDOWS\System32\cidaemon.exe
C:\downloads\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot

- Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control

Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched]

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdc_4.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmc_4.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrc_4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft

ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat

7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate]

C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash

/minimized
O4 - HKCU\..\RunOnce: [1&1_1&1 SoftPhone] "C:\Programme\1&1\1&1

SoftPhone\IPPhone.exe" /hide
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat

7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche -

res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen -

res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: + Offline &Explorer: Download the link -

file://C:\Programme\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page -

file://C:\Programme\Offline Explorer\Add_AllO.htm
O8 - Extra context menu item: E&xport to Microsoft Excel -

res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite -

res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten -

res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten -

res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen -

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft

ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft

ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -

{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -

h**p://216.123.238.207/activex/AxisCamControl.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\taskmgr.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA

GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Gizmo

Project\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner -

C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network

Monitor\netmon.exe
O23 - Service: NICSer_WPC54G - Unknown owner - C:\Programme\Linksys\Wireless-G

Notebook Adapter\NICServ.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner -

C:\WINDOWS\update\updmgr.exe (file missing)
O23 - Service: Windows Config System - Unknown owner -

C:\WINDOWS\system32\winws.exe




Und hier noch die Ergebnisse von Antivir:




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 30. Juni 2006 16:50

Es wird nach 424574 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Benutzername: Kerstin
Computername: GOLDSTUECK

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 02.02.2006 09:17:40
AVSCAN.DLL : 7.0.0.42 57384 02.02.2006 09:17:40
LUKE.DLL : 7.0.0.42 118824 02.02.2006 09:17:41
LUKERES.DLL : 7.0.0.42 32808 02.02.2006 09:17:41
ANTIVIR0.VDF : 6.35.0.1 7371264 02.02.2006 09:17:39
ANTIVIR1.VDF : 6.35.0.117 402944 02.02.2006 09:17:39
ANTIVIR2.VDF : 6.35.0.118 2048 02.02.2006 09:17:39
ANTIVIR3.VDF : 6.35.0.119 2048 02.02.2006 09:17:39
AVEWIN32.DLL : 7.1.0.19 1544704 02.02.2006 09:17:40
AVPREF.DLL : 7.0.0.1 53288 02.02.2006 09:17:40
AVREP.DLL : 6.35.0.85 696360 02.02.2006 09:17:40
AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 05:56:10
AVPACK32.DLL : 7.1.0.1 335912 02.02.2006 09:17:40
AVREG.DLL : 6.31.0.90 27688 02.02.2006 09:17:40
NETNT.DLL : 6.32.0.0 6696 02.02.2006 09:17:41
NETNW.DLL : 6.32.0.0 9768 02.02.2006 09:17:41
RCIMAGE.DLL : 7.0.0.71 1642536 02.02.2006 09:17:44
RCTEXT.DLL : 7.0.0.75 77864 02.02.2006 09:17:44

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,D,E,F,H
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Freitag, 30. Juni 2006 16:50


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 42 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
C:\WINDOWS\update\updmgr.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.CV.9
[INFO] Eine Sicherungskopie wurde unter dem Namen 4509ab4b.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\update\updmgr.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.CV.9

Die Registry wurde durchsucht ( 24 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\call256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\chat512.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\chatmsg256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\chatmsg512.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\contactgroup256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\index2.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\profile16384.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\transfer256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\transfer512.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\user1024.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\user16384.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\user256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\user4096.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Skype\***\voicemail256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für RegSeeker.zip\RegSeeker\RegSeeker.exe
[FUND] Der Dateiname enthält eine ausführbare Dateierweiterung, es wird aber eine harmlose Erweiterung vorgetäuscht (HEUR-DBLEXT/Crypted)
[INFO] Eine Sicherungskopie wurde unter dem Namen 450cace3.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\hsperfdata_SYSTEM\768
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\update\updmgr.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.CV.9
[INFO] Eine Sicherungskopie wurde unter dem Namen 4509caa1.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Freitag, 30. Juni 2006 23:44
Benötigte Zeit: 6:54:17 min

Der Suchlauf wurde vollständig durchgeführt.

12969 Verzeichnisse wurden überprüft
1118668 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4621 Archive wurden durchsucht
40 Warnungen
0 Hinweise



Ich wäre extrem dankbar für Hinweise,

LG,
Kerstin

Alt 04.07.2006, 07:26   #2
Mellosun
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



Guten Morgen Kerstin,

in Deinem Log sind einige Sachen bei, die mir sehr Merkwürdig und unbekannt vorkommen.
Aber der Reihe nach:


Zitat:
Zitat von Kerstin
Logfile of HijackThis v1.99.1
Scan saved at 19:51:44, on 03.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Dein System ist veraltet. Sicherheitslücken machen Dein Rechner angreifbar und offen für jede menge Besucher!


Folgende Datei mal bei Jotti und Virustotal untersuchen lassen und das Ergebnis mitteilen.
Sollte aber dieser Freund sein!
Zitat:
Zitat von Kerstin
C:\Programme\Network Monitor\netmon.exe

Ich weiß nicht, ob es einfacher,schneller und vorallem Sicherer wäre, wenn du Dein Systen Neuaufsetzen tust. Wenn du Dich dazu entscheidest, befolge die Anleitung in meiner SIG Punkt für Punkt und klicke in Zukunft nicht alles an, was blinkt und leuchtet. Lade nichts von unseriösen Seiten, dass bringt nichts.

Aber nun lasse erstmal die Datei auswerten!


Gruß Mellosun
__________________

__________________

Alt 04.07.2006, 11:05   #3
Nada01
Gesperrt
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



Zitat:
Zitat von Kerstin
Logfile of HijackThis v1.99.1
Scan saved at 19:51:44, on 03.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein System ist veraltet. Sicherheitslücken machen Dein Rechner angreifbar und offen für jede menge Besucher!


@ Mellosun

deshalb ist Kerstin ja auch mit Mozilla Firefox im Netz
__________________

Alt 04.07.2006, 11:21   #4
Mellosun
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



Zitat:
Zitat von Nada01

@ Mellosun

deshalb ist Kerstin ja auch mit Mozilla Firefox im Netz

Was bitte hat das mit Firefox zu tun?

Der IE ist bestandtteil von XP, welcher, auch wenn man ihn nicht nutzen tut, auf dem neusten Stand sein soll/muss!

Gruß Mellosun

Alt 04.07.2006, 11:51   #5
irrlicht
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



Hallo,
@Mellosun
Lass es gut sein..."Nada gehört zur Gruppe der "ich-habe-eine-merk-Allergie".
Troll ist das passende Kurzwort dafür.
@Kerstin
Bei deinem Log ist Neuaufsetzen angesagt !Besorge dir aber vorher das Service Pack 2.Entweder mittels Download bei MS und dann auf CD brennen,oder bei Freunden runterladen und brennen,oder die MS-SP2 CD,kann man bestellenbei MS(kostet 8Euro)oft auch zu finden als Beilage in diversen Computerheften.
Halte dich an die Ratschläge die dir zum Thema "Neuaufsetzen" hier unter "Anleitungen,FAQ,Links" gegeben werden.
Bei dem Stand den deine Kiste derzeit hat,ist es lediglich eine Frage der Zeit bis richtig schlimmes auf dich zukommt.....Besuch von der Polizei beispielsweise...ist alles schon dagewesen und passiert oft sehr viel schneller als man glauben möchte....
Irrlicht


Alt 04.07.2006, 14:25   #6
Nada01
Gesperrt
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



@ irrlicht

du scheinst wohl der Clown der Truppe hier zu sein :aplaus:

Alt 04.07.2006, 14:38   #7
Mellosun
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



Zitat:
Zitat von Nada01
@ irrlicht

du scheinst wohl der Clown der Truppe hier zu sein :aplaus:


Alt 04.07.2006, 18:30   #8
Kerstin
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



Oje, das hört sich alles nicht gut an

Aber zuerst mal hier das Ergebnis für netmon.exe von jotti:

...
AntiVir
SecurityPrivacyRisk/NetMon.A riskware gefunden
ArcaVir
Trojan.Dnschanger.Vp gefunden
Avast
Win32:Adware-gen. gefunden
AVG Antivirus
Generic.KGZ gefunden
BitDefender
Trojan.Dnschange.F gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.DnsChange gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Adware/SearchAid gefunden
Kaspersky Anti-Virus
not-a-virus:Monitor.Win32.NetMon.a gefunden
NOD32
Win32/Monitor.Netmon.A application gefunden
Norman Virus Control
W32/NetMon.C gefunden
UNA
Keine Viren gefunden
VirusBuster
Adware.NetMon.A gefunden
VBA32
Keine Viren gefunden



Und von virustotal:

AntiVir 6.35.0.20 07.04.2006 no virus found
Authentium 4.93.8 07.03.2006 no virus found
Avast 4.7.844.0 07.03.2006 Win32:Adware-gen.
AVG 386 07.04.2006 Adware Generic.KGZ
BitDefender 7.2 07.04.2006 Adware.CommAd.A
CAT-QuickHeal 8.00 07.04.2006 Monitor.NetMon.a (Not a Virus)
ClamAV devel-20060426 07.04.2006 no virus found
DrWeb 4.33 07.04.2006 Trojan.DnsChange
eTrust-InoculateIT 23.72.59 07.04.2006 Win32/SillyDL.4xe!Trojan
eTrust-Vet 12.6.2285 07.04.2006 Win32/NetMon.A
Ewido 3.5 07.04.2006 Not-A-Virus.Monitor.Win32.NetMon.a
Fortinet 2.77.0.0 07.03.2006 Adware/SearchAid
F-Prot 3.16f 07.03.2006 no virus found
F-Prot4 4.2.1.29 07.03.2006 no virus found
Ikarus 0.2.65.0 07.04.2006 no virus found
Kaspersky 4.0.2.24 07.04.2006 not-a-virus:Monitor.Win32.NetMon.a
McAfee 4799 07.04.2006 potentially unwanted program Tool-NetMon
Microsoft 1.1481 07.01.2006 Monnet (threat-c)
NOD32v2 1.1643 07.04.2006 Win32/Monitor.Netmon.A
Norman 5.90.23 07.04.2006 W32/NetMon.C
Panda 9.0.0.4 07.04.2006 Adware/SearchAid
Sophos 4.07.0 07.04.2006 no virus found
Symantec 8.0 07.04.2006 no virus found
TheHacker 5.9.8.168 07.03.2006 Aplicacion/NetMon.a
UNA 1.83 07.04.2006 no virus found
VBA32 3.11.0 07.04.2006 no virus found
VirusBuster 4.3.7:9 07.03.2006 Adware.NetMon.A


Und hier noch der Report vom Panda-Scan (desinfizierte Einträge gelöscht und bei den Cookies gekürzt):


Ereignis Zustand Standort





Adware:Adware/PurityScan Nicht desinfiziert c:\progra~1\sks~1\nslookup.exe




Virus:W32/Gaobot.NKC.worm Desinfiziert Betriebssytem




Adware:Adware/DollarRevenue Nicht desinfiziert c:\windows\mdrive\dr.exe




Virus:W32/Sdbot.HPU.worm Desinfiziert Betriebssytem




Adware:Adware/SearchAid Nicht desinfiziert C:\Programme\Network

Monitor\netmon.exe


Adware:Adware/PurityScan Nicht desinfiziert C:\WINDOWS\System32\taskmgr.dll




Adware:adware program Nicht desinfiziert c:\windows\system32\svch0st.exe




Adware:adware/dollarrevenue Nicht desinfiziert c:\drsmartload1.exe




Adware:adware/gimmy Nicht desinfiziert Windows-Registry




Adware:adware/xplugin Nicht desinfiziert Windows-Registry




Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und

Einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\ia517cux.default\cookies.txt[.as-eu.falkag.net/]


...
[hier folgen ne Reihe von Spyware-Cookies]
...


Virus:W32/Sdbot.HPU.worm Desinfiziert C:\Dokumente und

Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU7G9I7\b3[1].exe


Adware:Adware/DollarRevenue Nicht desinfiziert C:\Dokumente und

Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXMZ0HUJ\hd[1].exe[dr.exe]


Adware:Adware/CommAd Nicht desinfiziert C:\Dokumente und

Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPMP47GF\installer[1].exe


Adware:Adware/DollarRevenue Nicht desinfiziert C:\hd.exe[dr.exe]




Adware:Adware/PurityScan Nicht desinfiziert C:\itavi32.exe



Ich würde es gerne vermeiden, das System neu aufzusetzen (bin gerade im Ausland und habe nicht alles an Software dabei... und brauche mein Notebook natürlich dringenst ). Wenn es allerdings nicht anders geht...

Auf jeden Fall vielen Dank für die Hilfe soweit!

Kerstin

PS: kann der Befall mit dem Deaktivieren einer Personal Firewall (ZoneAlarm) zusammenhängen? Ich lade gewöhnlich nicht irgendwelche Programme runter oder klicke wild auf Bannern rum... Das mit dem veralteten System stimmt natürlich

Geändert von Kerstin (04.07.2006 um 18:57 Uhr)

Alt 04.07.2006, 23:11   #9
Mellosun
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



Hallo Kerstin,

also du hast jede Menge Besucher auf Deinen Laptop, der eine Neuinsalltion unumgänglich macht.

Du hast:

1. diesen im System. Dies ist ein Wurm, der Backdoor Funktionen hat. Dieser öffnet auf Deinem Rechner Hintertüren, wodurch es dritten ermöglicht wird, sich zugriff auf Deinen Rechner zu verschaffen. Dieser Rechner kann dann, z.b., als zwischenlager für Kinderpornografie benutzt werden, ohne das du es merkst.

2. diesen Freund im System. Gut möglich, das Dein Passwörter schon jemand anderes hat....also solltest du diese auch schnell ändern.

Wie gesagt, das beste und vorallem sicherste ist eine Neuaufsetzung. Folge der Anleitung in meiner SIG Punkt genau, und du bist auf der sicheren Seite!


Gruß Mellosun

Alt 05.07.2006, 22:43   #10
Kerstin
 
Diverse Trojaner- falls möglich, wie entfernen? - Standard

Diverse Trojaner- falls möglich, wie entfernen?



Vielen Dank, Mellosun. Werde dann man alles plattmachen Und danach alles besser machen, hoffentlich

Gruesse,
Kerstin

Antwort

Themen zu Diverse Trojaner- falls möglich, wie entfernen?
adobe reader, antivir, appinit_dlls, application, avira, bho, bonjour, computer, entfernen, excel, firefox, google, hijack, index, internet, internet explorer, mozilla, mozilla firefox, nicht gefunden, nt.dll, prozesse, quara, registry, scan, server, software, suchlauf, system, trojaner, trojaner eingefangen, verweise, virus, virus gefunden, warnung, wie entfernen, wie entfernen?, windows, windows xp, windows\temp



Ähnliche Themen: Diverse Trojaner- falls möglich, wie entfernen?


  1. Bitte um System-Check & Hilfe bei der Bereinigung (falls nötig)
    Plagegeister aller Art und deren Bekämpfung - 11.11.2015 (17)
  2. Trojaner Super Easy Driver Updater bei Windows Vista wie kann ich es entfernen? Geek Uninstaller installiert keine Entfernung möglich
    Log-Analyse und Auswertung - 18.10.2015 (4)
  3. qvo6.com entfernen, diverse Probleme
    Log-Analyse und Auswertung - 13.02.2014 (11)
  4. GVU Trojaner – Booten von CD und USB nicht möglich, abgesicherter Modus nur mit Eingabeaufforderung möglich
    Log-Analyse und Auswertung - 06.07.2013 (39)
  5. Ist es möglich einen Trojaner zu entfernen durch Formatierung des PCs und anschließendem Windows 7 Systemabbild?
    Alles rund um Windows - 01.06.2013 (9)
  6. Diverse Trojaner ?
    Log-Analyse und Auswertung - 17.07.2012 (31)
  7. "Bundespolizei"-Trojaner entfernen nicht möglich?
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (1)
  8. Trojaner entfernen nicht möglich mit Netbook / Win 7 Starter
    Plagegeister aller Art und deren Bekämpfung - 09.06.2012 (15)
  9. kein WindowsUpdate möglich - diverse SVCHOST Fehler
    Log-Analyse und Auswertung - 03.11.2010 (4)
  10. Virus ???? und falls ja was tun??
    Plagegeister aller Art und deren Bekämpfung - 25.02.2008 (1)
  11. Diverse Viren / Trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 28.07.2007 (1)
  12. Trojaner yayaw.dll - entfernen nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 02.09.2006 (5)
  13. Falls sich einer gut mit Grafikkarten und deren Probleme auskennt
    Mülltonne - 03.03.2005 (1)
  14. diverse Plagegeister gefunden, wie kann ich sie entfernen??
    Plagegeister aller Art und deren Bekämpfung - 16.01.2005 (1)
  15. diverse Trojaner
    Log-Analyse und Auswertung - 23.06.2004 (3)

Zum Thema Diverse Trojaner- falls möglich, wie entfernen? - Hallo, seit ein paar Tagen schlägt AntiVir fast ständig Alarm. Laut Guard hab ich mir folgende Trojaner eingefangen: -TR/Dldr.Small.buy.1 -TR/Dldr.QQHelp.AP -TR/Dldr.Smartl.A.2 -TR/Dldr.180Sol.AK.2 Laut Antivir Scan noch diesen: TR/Proxy.Agent.CV.9 Ich bin - Diverse Trojaner- falls möglich, wie entfernen?...
Archiv
Du betrachtest: Diverse Trojaner- falls möglich, wie entfernen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.