Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Neulich Trojaner gelöscht-Ist noch was übrig?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.07.2006, 11:13   #1
fkl.deador
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Logfile of HijackThis v1.99.1
Scan saved at 12:03:02, on 19.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
F:\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
F:\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
F:\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\RunDll32.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
F:\AntiVir PersonalEdition Classic\sched.exe
F:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
F:\Opera\Opera.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\++\Desktop\stng260.exe
F:\WinRAR\WinRAR.exe
C:\DOKUME~1\++\LOKALE~1\Temp\Rar$EX00.937\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.arcor.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Java\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTSysVol] F:\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [avgnt] "F:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h++p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h++p://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h++p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h++p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h++ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WB - F:\AlienGUIse\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Alt 19.07.2006, 11:26   #2
Yopie
Moderator, a.D.
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Wenn du nicht noch mehr Infos zum Trojanerfund (Was? Wie? Wo? Wer hats erfunden?) postest, wird dieser Thread entsorgt!

Gruß
Yopie
__________________


Alt 19.07.2006, 11:34   #3
fkl.deador
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Sry ist das erste mal.Da kann man sich auch Fehler erlauben(Hoff ich mal).

Also :Antivir hatte mir ein Trojaner im System32 gemeldet.Es war -vssms32.exe.
Es wollte Verbindung mit dem Internet aufbauen,habe es jedoch nicht zugelassen,indem ich es sofort mit Spybot verweigerte und im System32 und windows-firewall löschte.Danach habe ich mein Rechner mit Adware gescannt und restliche funde gelöscht.Wo das hergekommen ist weis ich auch net.

Ich denke das reicht an Informationen
__________________

Alt 19.07.2006, 12:05   #4
Yopie
Moderator, a.D.
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Als was wurde der Trojaner denn bezeichnet? Du hast leider nur den Dateinamen angegeben. Und was hast du ausgeführt, damit er sich installierte?

Im Log konnte ich nichts erkennen.

Gruß
Yopie

Alt 19.07.2006, 12:09   #5
fkl.deador
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Wurde von Antivir als Backdoor erkannt,aber habe wie gesagt sofort das Ding mit Spybot verweigert ,damit es keine Verbindung aufbauen kann.Habe ein .rar datei geöffnet und Antivir schlug sofot alarm.

Hoffe alles richtig gemacht zu haben

edit:Habe es nicht installiert ,wollte es aber


Alt 19.07.2006, 12:15   #6
felix1
/// Helfer-Team
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Solltest Du Dich bei der Beschreibung des Schädlinges nicht verschrieben haben, war der aktiv:
http://www.sophos.de/security/analyses/trojbdooryp.html

Dann wäre IMHO eine Neuinstallation notwendig.

@Moin Yopie
__________________
--> Neulich Trojaner gelöscht-Ist noch was übrig?

Alt 19.07.2006, 12:16   #7
Yopie
Moderator, a.D.
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Wenn du sicher bist, dass noch nichts installiert wurde, hast du vermutlich Glück gehabt.

Ich rate aber dennoch zu einem Scan mit eScan. Anleitung in der Signatur beachten, auch alle Hinweise zur find.bat lesen und beachten, wenn du die Funde posten willst.

Wenn du nicht sicher bist, dann befolge die Anleitung zum Entfernen eines Backdoors in meiner Signatur.

Gruß
Yopie

Alt 19.07.2006, 12:31   #8
fkl.deador
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Was heisst,wenn du dir sicher bist.Also wie gesagt.Habe .rar geöffnet und Antivir schlug alarm.Dann war das Teil aktiv im Task Manager.Dann schlug Spybot alarm und auch da habe ich auf verweigern geklickt.Darauf alles gelöscht was alarm schlug auch aus dem ordner system32.

@Felix
Ich weis net mehr ,wie das hieß,ich glaub aber,das es das war.Habe bis jetzt keine Probleme.Bei mir hat nur vssms.exe alarm geschlagen.Wollte Verbindung aubauen konnte aber net.
<System>\ldapi32.exe
<System>\ntcvx32.dll
<System>\ntswrl32.dll
die Sachen habe ich net gefunden auch versteckt gesucht.Nix gefunden

Alt 19.07.2006, 12:37   #9
felix1
/// Helfer-Team
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Bleibe mal ruhig und mache mit dem escan weiter, wie Yopie es Dir schrieb.
Verfalle nicht in Hektik, lese Dir alles in Ruhe durch, drucke die Anleitung notfalls aus.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 19.07.2006, 12:39   #10
fkl.deador
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Ne habe jetzt so viele Sachen installiert.Will jetzt net wieder formatieren

Alt 19.07.2006, 13:02   #11
fkl.deador
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Also bis jetzt hate es nur die beiden gefunden.Suche läuft:
Steht in der Virus log information:

Object "cws.loadadv.400 Browser Hijacker" found in File System! Action Taken: No Action Taken.
File C:\WINDOWS\system32\vssms32.exe infected by "Trojan-Dropper.Win32.Agent.apa" Virus! Action Taken: File Delet
-File C:\System Volume Information\_restore{611C6AC2-73FE-46BA-BB10-61D31BC86852}\RP208\A0040681.dll infected by "Trojan-Spy.Win32.Delf.qb" Virus! Action Taken: File Deleted.


Aber vssms.exe habe ich gelöscht.Wieso steht das da immernoch?

Geändert von fkl.deador (19.07.2006 um 13:10 Uhr)

Alt 19.07.2006, 15:19   #12
fkl.deador
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Ja also eScan ist endlich fertig.Im Virus log Information steht nur folgendes:

-Object "cws.loadadv.400 Browser Hijacker" found in File System! Action Taken: No Action Taken.
-File C:\WINDOWS\system32\vssms32.exe infected by "Trojan-Dropper.Win32.Agent.apa" Virus! Action Taken: File Delet
-File C:\System Volume Information\_restore{611C6AC2-73FE-46BA-BB10-61D31BC86852}\RP208\A0040681.dll infected by "Trojan-Spy.Win32.Delf.qb" Virus! Action Taken: File Deleted.

Mehr nicht.Und ich glaube die Sachen sind schon gelöscht ,da dort FILE DELETED steht.

Alt 19.07.2006, 22:00   #13
felix1
/// Helfer-Team
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Poste das mit der find.bat erzeugte Log komplett.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 20.07.2006, 09:50   #14
fkl.deador
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Sry aber da ich eine andere Version davon habe,ist es momentan bei mir etwas anders.Brauchst du jetzt die MWAV.log oder was??
Die ist aber 15kb also richtig groß für ein Textdokument

Zu infected habe ich folgendes gefunden:
-Wed Jul 19 13:40:31 2006 => Total Disinfected Objects: 0
-Wed Jul 19 13:49:36 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-
444553540000})! Action taken: No Action Taken.
-Wed Jul 19 13:50:46 2006 => File C:\WINDOWS\system32\vssms32.exe infected by "Trojan-Dropper.Win32.Agent.apa" Virus! Action
Taken: File Deleted.
-Wed Jul 19 13:52:40 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition
Classic\INFECTED\*.*
-Wed Jul 19 14:01:28 2006 => Scanning File C:\Dokumente und Einstellungen\+++\Lokale
Einstellungen\Anwendungsdaten\Microsoft\Messenger\+++\SharingMetadata\infected.dat [**]
-Wed Jul 19 14:05:32 2006 => Scanning Folder: C:\Programme\eScan\INFECTED\*.*
-Wed Jul 19 14:05:32 2006 => Scanning File C:\Programme\eScan\infected.wav
-Wed Jul 19 14:08:43 2006 => File C:\System Volume Information\_restore{611C6AC2-73FE-46BA-BB10-
61D31BC86852}\RP208\A0040681.dll infected by "Trojan-Spy.Win32.Delf.qb" Virus! Action Taken: File Deleted.

Und zu tagged finde ich garnichts.

Geändert von fkl.deador (20.07.2006 um 10:01 Uhr)

Alt 20.07.2006, 14:08   #15
fkl.deador
 
Neulich Trojaner gelöscht-Ist noch was übrig? - Standard

Neulich Trojaner gelöscht-Ist noch was übrig?



Und kann mir einer jetzt sagen,ob ich was habe?

Antwort

Themen zu Neulich Trojaner gelöscht-Ist noch was übrig?
adobe, antivir, avg, avira, bho, desktop, dll, einstellungen, explorer, hijack, hijackthis, icqtoolbar, internet, internet explorer, logfile, microsoft, object, opera, programme, rundll, shockwave, software, system, temp, trojaner, tuneup utilities, urlsearchhook, windows, windows xp



Ähnliche Themen: Neulich Trojaner gelöscht-Ist noch was übrig?


  1. Trojaner gelöscht ist er trotzdem noch im Hintergrund?
    Plagegeister aller Art und deren Bekämpfung - 20.02.2014 (3)
  2. Conduit.com entfernt. Noch was übrig geblieben in meinem System?
    Plagegeister aller Art und deren Bekämpfung - 15.01.2014 (13)
  3. System Care Antivirus manuell gelöscht. Vermutlich noch Backdoor oder andere Reste übrig.
    Log-Analyse und Auswertung - 13.08.2013 (6)
  4. hab ich noch was vom qv06 übrig?
    Log-Analyse und Auswertung - 28.06.2013 (31)
  5. VGU Trojaner gelöscht, aber noch Fehlermeldung!
    Log-Analyse und Auswertung - 03.01.2013 (16)
  6. internet läuft schlecht, hatte neulich einen trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.01.2012 (17)
  7. internet läuft schlecht, hatte neulich einen trojaner
    Alles rund um Windows - 08.01.2012 (3)
  8. Exploit-QtPICT Trojaner aus McAfee Quarantäne gelöscht - immer noch da
    Plagegeister aller Art und deren Bekämpfung - 07.11.2011 (13)
  9. Trojaner gelöscht aber PC hängt noch
    Diskussionsforum - 11.09.2010 (1)
  10. Trojaner PROCESSWATCH.EXE von McAffe erkannt, gelöscht, existiert aber immer noch
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (3)
  11. FakeXPA gelöscht - ist noch etwas übrig geblieben?
    Log-Analyse und Auswertung - 10.05.2010 (4)
  12. Trojaner gelöscht, I-net Explorer immer noch doppelt im Taskmanager
    Plagegeister aller Art und deren Bekämpfung - 15.01.2010 (19)
  13. lsp.dll gelöscht, aber Trojaner noch da...
    Log-Analyse und Auswertung - 05.09.2009 (14)
  14. Trojaner gelöscht oder noch da?
    Log-Analyse und Auswertung - 31.12.2008 (0)
  15. Trojaner TR/Dldr.Delf.gmg.1 gefunden/gelöscht noch vorhanden?
    Log-Analyse und Auswertung - 20.04.2008 (1)
  16. Noch Bedrohungen übrig nach Rogue-Spyware-Beseitigung?
    Log-Analyse und Auswertung - 25.02.2008 (1)
  17. Trojaner, Datei gelöscht, scheint aber noch aktiv
    Plagegeister aller Art und deren Bekämpfung - 22.09.2006 (64)

Zum Thema Neulich Trojaner gelöscht-Ist noch was übrig? - Logfile of HijackThis v1.99.1 Scan saved at 12:03:02, on 19.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe F:\Nero 7\InCD\InCDsrv.exe - Neulich Trojaner gelöscht-Ist noch was übrig?...
Archiv
Du betrachtest: Neulich Trojaner gelöscht-Ist noch was übrig? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.