Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte durchchecken

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.10.2006, 20:58   #1
Stadtwurst
 
Bitte durchchecken - Standard

Bitte durchchecken



Hallo,

seit gestern wird mein Computer immer wieder von Trojanern befallen. TR/Proxy.Wpla.AC.6, W32/Bizex.A.DLL, TR/Click.Agent.HZ8 sind die häufigsten Meldungen meines Virenscanners. Meine Firewall erkennt die Viren offenbar nicht...
Hier mein File:
Schon mal danke für die Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 21:53:05, on 07.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\inet20004\winlogon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\jmsyjyis.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\inet20004\mmx77.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX06.313\HijackThis.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINDOWS\inet20004\107115252.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [jmsyjyis] C:\WINDOWS\System32\jmsyjyis.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [jmsyjyis] C:\WINDOWS\System32\jmsyjyis.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_09\bin\npjpi142_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_09\bin\npjpi142_09.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=h**p://www.t-online.de
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**p://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - h**p://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - h**p://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - h**p://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBC41698-9280-4166-BA0A-3B67F4450A20}: NameServer = 217.237.151.115 217.237.150.188
O20 - Winlogon Notify: ppts16 - ppts16.dll (file missing)
O21 - SSODL: IEFilter - {AA9B053D-7331-47D9-AE69-ACD8E4407E6D} - C:\WINDOWS\system32\IEFilter.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 07.10.2006, 21:20   #2
felix1
/// Helfer-Team
 
Bitte durchchecken - Standard

Bitte durchchecken



Lasse mal online scannen:
C:\WINDOWS\inet20004\winlogon.exe
und poste das Ergebnis.
__________________

__________________

Alt 07.10.2006, 21:30   #3
Stadtwurst
 
Bitte durchchecken - Standard

Bitte durchchecken



STATUS: FINISHEDComplete scanning result of "winlogon.exe", received in VirusTotal at 10.07.2006, 22:27:04 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.25 10.06.2006 HEUR/Malware
Authentium 4.93.8 10.06.2006 could be infected with an unknown virus
Avast 4.7.892.0 10.07.2006 Win32:Cws-J
AVG 386 10.07.2006 no virus found
BitDefender 7.2 10.07.2006 Generic.Malware.SP!dldPk!.8C9C4667
CAT-QuickHeal 8.00 10.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 10.07.2006 no virus found
eTrust-InoculateIT 23.73.16 10.07.2006 no virus found
eTrust-Vet 30.3.3118 10.06.2006 Win32/Chopenoz!generic
DrWeb 4.33 10.07.2006 no virus found
Ewido 4.0 10.07.2006 no virus found
Fortinet 2.82.0.0 10.07.2006 no virus found
F-Prot 3.16f 10.06.2006 could be infected with an unknown virus
F-Prot4 4.2.1.29 10.06.2006 generic
Ikarus 0.2.65.0 10.07.2006 no virus found
Kaspersky 4.0.2.24 10.07.2006 Trojan-Downloader.Win32.CWS.aa
McAfee 4868 10.06.2006 no virus found
Microsoft 1.1603 10.07.2006 Krepper
NOD32v2 1.1794 10.06.2006 probably a variant of Win32/TrojanDownloader.CWS
Norman 5.80.02 10.06.2006 W32/Suspicious_M.gen
Panda 9.0.0.4 10.07.2006 Adware/SecurityError
Sophos 4.10.0 10.05.2006 Mal/Packer
TheHacker 6.0.1.093 10.06.2006 no virus found
UNA 1.83 10.06.2006 no virus found
VBA32 3.11.1 10.06.2006 suspected of Backdoor.Zarabot.1
VirusBuster 4.3.7:9 10.07.2006 no virus found

...hatte die oben genannte Datei auch schon im Visier. Sie lässt sich aber nicht löschen. Gibts da ne Möglichkeit?
__________________

Alt 07.10.2006, 21:41   #4
felix1
/// Helfer-Team
 
Bitte durchchecken - Standard

Bitte durchchecken



Lasse mit den beiden anderen Links in meiner Signatur ebenfalls prüfen.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 07.10.2006, 21:53   #5
Stadtwurst
 
Bitte durchchecken - Standard

Bitte durchchecken



Datei: winlogon.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH, MEW

AntiVir Heuristic/Malware gefunden (mögliche Variante)
ArcaVir Keine Viren gefunden
Avast Win32:Cws-J gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Generic.Malware.SP!dldPk!.8C9C4667 gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.CWS.aa gefunden
NOD32 probably a variant of Win32/TrojanDownloader.CWS gefunden (mögliche Variante)
Norman Virus Control W32/Suspicious_M.gen gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Backdoor.Zarabot.1 gefunden (mögliche Variante)

und....

Zu überprüfende Datei: winlogon.exe - Infiziert

winlogon.exe Infiziert: Trojan-Downloader.Win32.CWS.aa


Statistiken:
Bekannte Viren: 229843 Updated: 07-10-2006
Größe der Datei (Kb): 11 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Alt 08.10.2006, 15:55   #6
felix1
/// Helfer-Team
 
Bitte durchchecken - Standard

Bitte durchchecken



Ich halte die Datei schon für bedenklich.
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis.

Wenn es nichts bringt, sollte eine Neuinstallation in Betrcht gezogen werden.
__________________
--> Bitte durchchecken

Alt 08.10.2006, 16:00   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte durchchecken - Standard

Bitte durchchecken



IMHO bringt das Bereinigen garnichts mehr, das System ist veraltet (nur SP1) und kompromittiert. Also Neuaufsetzen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.10.2006, 21:41   #8
Stadtwurst
 
Bitte durchchecken - Standard

Bitte durchchecken



Hier das Ergebnis von Blcklight:
10/08/06 22:16:26 [Info]: BlackLight Engine 1.0.47 initialized
10/08/06 22:16:26 [Info]: OS: 5.1 build 2600 (Service Pack 1)
10/08/06 22:16:27 [Note]: 7019 4
10/08/06 22:16:27 [Note]: 7005 0
10/08/06 22:16:32 [Note]: 7006 0
10/08/06 22:16:32 [Note]: 7011 1128
10/08/06 22:16:32 [Note]: 7026 0
10/08/06 22:16:32 [Note]: 7026 0
10/08/06 22:16:32 [Note]: 7024 3
10/08/06 22:16:32 [Info]: Hidden process: C:\WINDOWS\system32\protector.exe
10/08/06 22:16:32 [Note]: FSRAW library version 1.7.1020
10/08/06 22:19:06 [Note]: 4013 31282
10/08/06 22:19:06 [Note]: 4020 9572 4063232
10/08/06 22:19:06 [Note]: 4020 9572 4063232
10/08/06 22:19:06 [Note]: 4018 9572 4063232
10/08/06 22:19:06 [Note]: 4013 31282
10/08/06 22:19:06 [Note]: 4020 9572 4063232
10/08/06 22:19:06 [Note]: 4018 9572 4063232
10/08/06 22:27:37 [Info]: Hidden file: c:\WINDOWS\system32\ntio256.sys
10/08/06 22:27:37 [Note]: 7002 0
10/08/06 22:27:37 [Note]: 7003 1
10/08/06 22:27:37 [Note]: 10002 1
10/08/06 22:27:39 [Info]: Hidden file: C:\WINDOWS\system32\protector.exe
10/08/06 22:27:39 [Note]: 7002 0
10/08/06 22:27:39 [Note]: 7003 1
10/08/06 22:27:39 [Note]: 10002 1
10/08/06 22:31:47 [Note]: 7007 0

Nach dem EwidoScan läuft das System wieder völlig normal, die Datei inet2004 mit ihrem Inhalt winlogon.exe ist gelöscht, ich habe das SP2 aufgespielt und seit drei Stunden keine Virenmeldung mehr erhalten, bzw mein Virenscanner ist auch 2x ohne Ergebnis durchgelaufen. Was haben die beiden hidden files noch zu bedeuten?
Bis jetzt schon mal danke für eure Hilfe!

Alt 08.10.2006, 21:46   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte durchchecken - Standard

Bitte durchchecken



Dein System ist immer noch kompromittiert. Allein schon dieser Eintrag von Blacklight

10/08/06 22:27:37 [Info]: Hidden file: c:\WINDOWS\system32\ntio256.sys

ist äußerst bedenklich und es ist nicht unwahrscheinlich, dass es sich da um den Teil eines Rootkits handelt. Nicht mehr lange da rumdoktorn, trenn das System vom Internet und setz es neu auf.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.10.2006, 22:07   #10
felix1
/// Helfer-Team
 
Bitte durchchecken - Standard

Bitte durchchecken



Führe zur Vorsicht aus:
http://www.trojaner-board.de/showthread.php?t=24192
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Antwort

Themen zu Bitte durchchecken
adobe, antivir, avira, bho, computer, email, excel, explorer, firewall, hijack, hijackthis, icqtoolbar, immer wieder, internet, internet explorer, monitor, nvidia, programme, rundll, scan, software, system, t-online, temp, trojaner, urlsearchhook, windows, windows xp



Ähnliche Themen: Bitte durchchecken


  1. Einfach mal durchchecken
    Mülltonne - 11.10.2008 (0)
  2. Bitte mal durchchecken...
    Log-Analyse und Auswertung - 05.08.2008 (9)
  3. IE spinnt,Logfiles deshalb mal bitte durchchecken!
    Log-Analyse und Auswertung - 31.07.2008 (38)
  4. bitte HJT-log-file durchchecken
    Mülltonne - 14.07.2008 (1)
  5. CiD Popups, bitte durchchecken. System außerdem sehr langsam
    Log-Analyse und Auswertung - 05.02.2008 (3)
  6. Bitte durchchecken! WMP spinnt!
    Log-Analyse und Auswertung - 27.10.2007 (2)
  7. Bitte durchchecken
    Mülltonne - 23.10.2007 (0)
  8. HiJackTHis-Log - bitte durchchecken
    Mülltonne - 03.05.2007 (0)
  9. Bitte mal durchchecken!!!
    Mülltonne - 16.10.2006 (1)
  10. Bitte mal durchchecken ich hab ne menge fehler
    Log-Analyse und Auswertung - 11.10.2006 (4)
  11. Bitte mal durchchecken
    Log-Analyse und Auswertung - 09.10.2006 (8)
  12. HJT - bitte einmal durchchecken
    Mülltonne - 31.05.2006 (1)
  13. bitte durchchecken
    Log-Analyse und Auswertung - 17.03.2006 (4)
  14. Bitte meine Log-File durchchecken!
    Log-Analyse und Auswertung - 23.08.2005 (5)
  15. einma durchchecken bitte ~~
    Log-Analyse und Auswertung - 28.06.2005 (1)
  16. Mein Log, bitte durchchecken
    Log-Analyse und Auswertung - 23.11.2004 (12)
  17. Durchchecken Bitte
    Log-Analyse und Auswertung - 11.10.2004 (3)

Zum Thema Bitte durchchecken - Hallo, seit gestern wird mein Computer immer wieder von Trojanern befallen. TR/Proxy.Wpla.AC.6, W32/Bizex.A.DLL, TR/Click.Agent.HZ8 sind die häufigsten Meldungen meines Virenscanners. Meine Firewall erkennt die Viren offenbar nicht... Hier mein File: - Bitte durchchecken...
Archiv
Du betrachtest: Bitte durchchecken auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.