Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Troja kommt nach Virenprüfung wieder

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.11.2006, 16:34   #1
fieses pferd
 
Troja kommt nach Virenprüfung wieder - Ausrufezeichen

Troja kommt nach Virenprüfung wieder



hi, ich habe seit eben einen troja den ich zwar gelöscht hab aber der kommt immer wieder wenn ich mit den virenprüfungen zuende bin.
den namen hab ich vergessen aber der ist sehr berümt.
und hier is der log:

Logfile of HijackThis v1.99.1
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Geändert von fieses pferd (24.11.2006 um 16:53 Uhr)

Alt 25.11.2006, 20:24   #2
fieses pferd
 
Troja kommt nach Virenprüfung wieder - Standard

Troja kommt nach Virenprüfung wieder



ok dann noch mal:

Logfile of HijackThis v1.99.1
Scan saved at 20:21:39, on 25.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Nod32\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Nod32\nod32kui.exe
C:\WINDOWS\SUM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
C:\Programme\Spybot\SpybotSD.exe
C:\Downloaden etc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.domain.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\fqulmsbp.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Nod32\nod32kui.exe" /WAITSERVICE
O4 - Startup: 1Prioritätsregeln.bat
O4 - Startup: 2Arbeitsspeicher defragmentieren.vbs
O4 - Startup: 3Ruhezeit-Aktivität vorziehen.bat
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.domain.de/DE/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C534123-2EF1-4F3B-8055-72B82B03789C}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8561A0A-C011-486F-99A3-01950CB89093}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4D25FEB-0BE2-4EB6-ACC5-F78D67DC8905}: NameServer = 192.168.178.1
O20 - Winlogon Notify: fgndaavf - c:\windows\system32\fgndaavf.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgemc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: License Management Service SON - e-sonopress - C:\Programme\Gemeinsame Dateien\esonopress Shared\Service\Licence Manager SON.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Nod32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


und wenn ich on gehe kommt der "Smidfraud-C.Toolbar888" troja wieder.
__________________


Alt 25.11.2006, 23:58   #3
nochdigger
 
Troja kommt nach Virenprüfung wieder - Standard

Troja kommt nach Virenprüfung wieder



mOIn auch

Zitat:
Zitat von fieses pferd
hi, ich habe seit eben einen troja den ich zwar gelöscht hab aber der kommt immer wieder wenn ich mit den virenprüfungen zuende bin.
den namen hab ich vergessen aber der ist sehr berümt.
schön wäre es gewesen, wenn du zumindest den Pfad und den Namen der Datei erwähnt hättest.

kannst du diese Sachen erklären oder kennst du sie?
O4 - Startup: 1Prioritätsregeln.bat
O4 - Startup: 2Arbeitsspeicher defragmentieren.vbs
O4 - Startup: 3Ruhezeit-Aktivität vorziehen.bat

Lasse dir bitte alle Dateien und Ordner anzeigen :
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Geschützte Systemdateien ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen

Lasse diese beiden Dateien :
C:\WINDOWS\system32\fqulmsbp.dll
c:\windows\system32\fgndaavf.dll
hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 angaben,
auch wenn nichts gefunden wurde.

MFG
__________________

Alt 26.11.2006, 14:22   #4
fieses pferd
 
Troja kommt nach Virenprüfung wieder - Standard

Troja kommt nach Virenprüfung wieder



Zitat:
Zitat von nochdigger Beitrag anzeigen
schön wäre es gewesen, wenn du zumindest den Pfad und den Namen der Datei erwähnt hättest.
sry hab die datei sofort gelöscht.

Zitat:
Zitat von nochdigger Beitrag anzeigen
kannst du diese Sachen erklären oder kennst du sie?
O4 - Startup: 1Prioritätsregeln.bat
O4 - Startup: 2Arbeitsspeicher defragmentieren.vbs
O4 - Startup: 3Ruhezeit-Aktivität vorziehen.bat
yo hier, hier und hier

Zitat:
Zitat von nochdigger Beitrag anzeigen
Lasse dir bitte alle Dateien und Ordner anzeigen :
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Geschützte Systemdateien ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen
hatte ich schon. aber HijackThis zeigt mir trotzdem nur so wenig an.

Zitat:
Zitat von nochdigger Beitrag anzeigen
Lasse diese beiden Dateien :
C:\WINDOWS\system32\fqulmsbp.dll
c:\windows\system32\fgndaavf.dll
hab ich (bei beiden sites) mit folgendem ergebnis:

fqulmsbp.dll:
File size: 38420 bytes
MD5: 2d8ded7732c04d1717a6098baa8552e7
SHA1: 5a8e4c6fa0a9071f3dfc0bebf4afe68f4eeca0a5
==>
AntiVir=HEUR/Malware
Authentium=Possibly a new variant of W32/Threat-INLIB-based!Maximus
BitDefender=Backdoor.Pcclient.CC
DrWeb=Trojan.Juan (in meine rege war auch immer ein ordner namens juan, den ich zwar löschte, der aber nach nem neustart wieder kamm)
Fortinet=suspicious
F-Prot=Possibly a new variant of W32/Threat-INLIB-based!Maximus
F-Prot4=W32/Threat-INLIB-based!Maximus
Ikarus=Backdoor.Win32.PcClient.GV
Panda=Suspicious file
Sophos=Mal/Packer

fgndaavf.dll:
File size: 106555 bytes
MD5: b2d2dd712b6188209d525b6032af2460
SHA1: e86411c4d36195a4c2d5561c3973849fc71fb781
==>
AntiVir=HEUR/Malware
Avast=Win32:Trojano-1165
DrWeb=MULDROP.Trojan



ich hab die 2 dinger mal gelöscht. hoffe das das nicht schlimm war

ding nur mit spybot. unlocker hat angezeigt das das datein vom explorer sind!

EDIT: ich hab noch beim start die datei imapi.exe im task manager.

Geändert von fieses pferd (26.11.2006 um 14:48 Uhr)

Alt 26.11.2006, 15:40   #5
nochdigger
 
Troja kommt nach Virenprüfung wieder - Standard

Troja kommt nach Virenprüfung wieder



mOIn nochmal

leider nützt es wenig, die Dateien nur zu löschen, wenn ein Schädling bei dir vllt. schon eine Backdoor eingerichtet hat oder jemand Daten auf deinem Rechner verändert hat.

Du hast dir leider einen Backdoortrojaner eingefangen, der auch noch Tastatureingaben aufzeichnet.
Auch auf deinem System ist ein Dropper der dir u.U. oder besser garantiert nochmehr Müll auf den Rechner schaufelt, die dein Antivirenprogramm evtl. noch nichteinmal erkennt.
Wir haben jetzt nur an der Oberfläche gekratzt und auf deinem System könnte sich durchaus sehr viel mehr an Schadsoftware befinden, als wir ohnehin schon sehen, das heißt auch, folge dieser Anleitung und ändere alle deine Passwörter.

MFG


Alt 26.11.2006, 15:59   #6
fieses pferd
 
Troja kommt nach Virenprüfung wieder - Standard

Troja kommt nach Virenprüfung wieder



Zitat:
Zitat von nochdigger Beitrag anzeigen
mOIn nochmal

leider nützt es wenig, die Dateien nur zu löschen, wenn ein Schädling bei dir vllt. schon eine Backdoor eingerichtet hat oder jemand Daten auf deinem Rechner verändert hat.

Du hast dir leider einen Backdoortrojaner eingefangen, der auch noch Tastatureingaben aufzeichnet.
Auch auf deinem System ist ein Dropper der dir u.U. oder besser garantiert nochmehr Müll auf den Rechner schaufelt, die dein Antivirenprogramm evtl. noch nichteinmal erkennt.
Wir haben jetzt nur an der Oberfläche gekratzt und auf deinem System könnte sich durchaus sehr viel mehr an Schadsoftware befinden, als wir ohnehin schon sehen, das heißt auch, folge dieser Anleitung und ändere alle deine Passwörter.

MFG
scheiße! gibts wierklich keine andere möglichkeit als windows neu zu installen?
und ich hab mich ein paar mal bei web eingeloggt. haben die jetzt mein passwort???????
ich werd mal alle daten sichern xp neu aufsetzten und die pws nach sp2 ändern.

Alt 26.11.2006, 16:09   #7
nochdigger
 
Troja kommt nach Virenprüfung wieder - Standard

Troja kommt nach Virenprüfung wieder



Hallo

Zitat:
scheiße! gibts wierklich keine andere möglichkeit als windows neu zu installen?
keine die Sinn macht

Zitat:
und ich hab mich ein paar mal bei web eingeloggt. haben die jetzt mein passwort?
gehe davon aus, die alten Passwörter zu benutzen halte ich für gefährlich

Zitat:
ich werd mal alle daten sichern xp neu aufsetzten und die pws nach sp2 ändern.
ist die richtige Entscheidung ,
Evetuell solltest du auch mal über eine Datensicherung nachdenken (Acronis,Trueimage o.ä.), ein Backup ist in kurzer Zeit eingespielt und was hättest du gemacht währe deine Festplatte flöten gegangen ?

MFG

Alt 26.11.2006, 16:12   #8
fieses pferd
 
Troja kommt nach Virenprüfung wieder - Standard

Troja kommt nach Virenprüfung wieder



Zitat:
Zitat von nochdigger Beitrag anzeigen
Evetuell solltest du auch mal über eine Datensicherung nachdenken (Acronis,Trueimage o.ä.), ein Backup ist in kurzer Zeit eingespielt und was hättest du gemacht währe deine Festplatte flöten gegangen ?
nachdem ich windows neu aufgesetzt haben, werde ich mir mal so ein backup prog holen. im mom save ich alle wichtigen sachen auf meiner ext. hdd.
hönnte der troja auch auf die ext. hdd überspringen?

Alt 26.11.2006, 16:34   #9
nochdigger
 
Troja kommt nach Virenprüfung wieder - Standard

Troja kommt nach Virenprüfung wieder



Hallo nochmal

Zitat:
hönnte der troja auch auf die ext. hdd überspringen?
naja überspringen will ich mal nicht unterschreiben, scanne deine Datenplatte einfach vom sauberen Windows aus (die ext. Platte solltest du während der Neuinstallation abstöpseln).
Sichere bitte keine ausführbaren Dateien (exe, bat, com, scr, setups usw.) und keine Dateien aus unseriösen Quellen , Bilder, Filme, MP3, Spielstände sind kein großes Problem scanne die Dateien einfach vor dem zurückspielen aufs System, mit einem aktuellen Antivirenprogramm.
Es stehen noch sehr gute Tips in der Anleitung die ich dir gepostet habe, lese dich mal ein bisschen ein.

MFG

Alt 26.11.2006, 21:20   #10
fieses pferd
 
Troja kommt nach Virenprüfung wieder - Standard

Troja kommt nach Virenprüfung wieder



Zitat:
Zitat von nochdigger Beitrag anzeigen
naja überspringen will ich mal nicht unterschreiben, scanne deine Datenplatte einfach vom sauberen Windows aus (die ext. Platte solltest du während der Neuinstallation abstöpseln).
k mache ich grade.

Zitat:
Zitat von nochdigger Beitrag anzeigen
Sichere bitte keine ausführbaren Dateien (exe, bat, com, scr, setups usw.) und keine Dateien aus unseriösen Quellen , Bilder, Filme, MP3, Spielstände sind kein großes Problem scanne die Dateien einfach vor dem zurückspielen aufs System, mit einem aktuellen Antivirenprogramm.
öhm, naja ich hab setups von prog. z.b. antispy oder ad aware. aber keine neuen .exe datein gesaved.

Zitat:
Zitat von nochdigger Beitrag anzeigen
Es stehen noch sehr gute Tips in der Anleitung die ich dir gepostet habe, lese dich mal ein bisschen ein.
habsch.

mein web,gmx und foren pws habe ich vom pc meiner schwester geändert.
ABER mein icq pw funzt nich mehr. egal hab mal ein neues angefordert.

!!!vielen dank für eure schnelle hilfe!!!

Antwort

Themen zu Troja kommt nach Virenprüfung wieder
angezeigt, black, editiere, gelöscht, gen, hijack, hijackthis, immer wieder, kommt immer wieder, links, log, namen, prüfung, troja, vergessen, virenprüfung



Ähnliche Themen: Troja kommt nach Virenprüfung wieder


  1. Mailwarebytes hat Trojan.DNSChanger entdeckt. Kommt nach Neustart immer wieder
    Plagegeister aller Art und deren Bekämpfung - 03.02.2015 (9)
  2. Nach Download einer Amazon-Rechnung (nicht geöffnet) TR/Buzus Trojaner per Avira gefunden nach Virenprüfung hier der Bericht
    Log-Analyse und Auswertung - 16.09.2013 (6)
  3. Plagegeist kommt nach PC neuaufsetzung immer wieder
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (14)
  4. GVU-Trojaner nach Kasperky Antivirusprogramm kommt wieder
    Plagegeister aller Art und deren Bekämpfung - 13.12.2012 (8)
  5. Nach Troja: System läßt bei keinem Anti-Virus/Spy Programm Echtzeitschutz mehr zu
    Log-Analyse und Auswertung - 10.10.2012 (22)
  6. Mein Pc ist von einem "TR/Sirefef.BV.2" Virus befallen. Kommt immer wieder auch nach Löschen!
    Log-Analyse und Auswertung - 27.02.2012 (3)
  7. Desktop Security 2010 plagt meinen Laptop.Alles versuche vergeblich, kommt nach Neustart wieder.
    Plagegeister aller Art und deren Bekämpfung - 06.08.2010 (2)
  8. AV Security Suite nach Anleitung entfernt, kommt bei Neustart immer wieder
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (2)
  9. Trojaner.Agent.AOFE kommt nach dem löschen immer wieder Windows 7 Ultimate x64
    Alles rund um Windows - 22.06.2010 (3)
  10. Nach Desktop Security 2010 Löschung kommt nun TR/Crypt.ZPACK.Gen immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.05.2010 (2)
  11. [Hilfe]Tronajer kommt nach neustart immer wieder!
    Log-Analyse und Auswertung - 15.04.2009 (0)
  12. Trojaner kommt nach PC strart immer wieder!
    Log-Analyse und Auswertung - 09.04.2009 (4)
  13. VIRUS kommt nach löschen immer wieder
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (12)
  14. NOAdware meldet Trojaner.Skintrim kommt nach Neustart immer wieder
    Log-Analyse und Auswertung - 30.08.2007 (1)
  15. spybot benutzt, SexList kommt nach löschen wieder
    Log-Analyse und Auswertung - 24.05.2007 (3)
  16. TR/Dldr.180Instal.1 kommt nach jedem Start wieder
    Plagegeister aller Art und deren Bekämpfung - 22.08.2005 (6)
  17. about:blank, der auch nach dem Löschen immer wieder kommt
    Log-Analyse und Auswertung - 31.08.2004 (5)

Zum Thema Troja kommt nach Virenprüfung wieder - hi, ich habe seit eben einen troja den ich zwar gelöscht hab aber der kommt immer wieder wenn ich mit den virenprüfungen zuende bin. den namen hab ich vergessen aber - Troja kommt nach Virenprüfung wieder...
Archiv
Du betrachtest: Troja kommt nach Virenprüfung wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.