Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan-Proxy.Horst - noch Überbleibsel aktiv?!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.12.2006, 22:12   #1
Cheiron
 
Trojan-Proxy.Horst - noch Überbleibsel aktiv?! - Icon17

Trojan-Proxy.Horst - noch Überbleibsel aktiv?!



Hallo,
da ist man 4 Tage ohne Router online und schon hat man sich n Backoor eingefangen
Nun, nachdem sich dabei sogar einer meinem email konto bemächtigt hat und an rtl2 eine Beschwerdemail über die Zensur von MadMax geschickt hat mach ich so oder so das system platt.

Es hatte sich eine Datei "win\system\smss.exe" eingenistet.
Hab dann den online kaspersky drüber laufen lassen, welcher n schwung von den ablegern (zb. setup.exe in allen freigegebenen ordnern) gefunden hatte. system volume backup auch verseucht.

Hab dann alle dateien gelöscht, kasperksy und escan laufen lassen. die finden nix mehr. nu backup von den daten auf c: gemacht. Somit kanns ans formatieren und neu installieren gehn

Langer Vorrede kurzer Sinn:
Hier noch mein hjt-log, nicht dass ich ins neu aufgesetzte system doch noch was einschleife!?
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 21:42:28, on 05.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\WDC\SetIcon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\plugins\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\PowerISDNMonitor\Wrapper.exe
C:\PROGRA~1\RETROS~1\wdsvc.exe
C:\WINDOWS\system32\java.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Retrospect\retrorun.exe
D:\pspice\Setup.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcrobatInfo.exe
G:\antivir\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Seticons] \Programme\WDC\SetIcon.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - ht*p://w*w.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht*p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149623060078
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - ht*p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - ht*p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08ABC258-32F8-47AD-B50B-B1D17A29E4AF}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{08ABC258-32F8-47AD-B50B-B1D17A29E4AF}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: SQL Server (MSSQLSERVER) (MSSQLSERVER) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER (file missing)
O23 - Service: PowerISDNMonitor - Unknown owner - C:\Programme\PowerISDNMonitor\Wrapper.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Retrospect\retrorun.exe
O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\Programme\Retrospect\rthlpsvc.exe
O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\RETROS~1\wdsvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
         
Danke!

Alt 06.12.2006, 00:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-Proxy.Horst - noch Überbleibsel aktiv?! - Standard

Trojan-Proxy.Horst - noch Überbleibsel aktiv?!



Ähm, ist das das Logfile vom neuaufgesetzten Windows oder willst du noch neuaufsetzen?
__________________

__________________

Alt 07.12.2006, 00:00   #3
Cheiron
 
Trojan-Proxy.Horst - noch Überbleibsel aktiv?! - Standard

Trojan-Proxy.Horst - noch Überbleibsel aktiv?!



Das ist nach dem löschen der Viren und vor dem Neuaufsetzen.
Das logfile vor dem löschen der Viren ist leider überschrieben worden.

Aber gut, hab jetzt heut abend system neu aufgesetzt - nu sollte das system wieder i.O. sein.
__________________

Antwort

Themen zu Trojan-Proxy.Horst - noch Überbleibsel aktiv?!
adobe, antivir, avira, bho, cyberlink, dateien gelöscht, desktop, drivers, email, excel, explorer, firefox, firewall, hijack, hijackthis, internet, internet explorer, kaspersky, konvertieren, launch, monitor, mozilla, mozilla firefox, object, pdf-datei, rundll, software, system, teamspeak, windows, windows xp



Ähnliche Themen: Trojan-Proxy.Horst - noch Überbleibsel aktiv?!


  1. Verschlüsselungstrojaner noch aktiv ? / Trojan.Randsom.A
    Log-Analyse und Auswertung - 16.08.2012 (34)
  2. Trojan ADH trotz format C: immer noch aktiv
    Log-Analyse und Auswertung - 14.02.2011 (1)
  3. Infektion mit TR/Proxy.Horst.aae.6 ?
    Log-Analyse und Auswertung - 22.10.2007 (2)
  4. Logfile nach Proxy.Horst-Befall
    Log-Analyse und Auswertung - 08.10.2007 (4)
  5. Antivir findet TR/Proxy.Horst.Gen
    Plagegeister aller Art und deren Bekämpfung - 05.05.2007 (9)
  6. tr/proxy.horst.gen + DR/180Solutions.AO.1 + HEUR/Malware
    Log-Analyse und Auswertung - 03.01.2007 (1)
  7. Langsame Internetseitenaufbau/Trojan-proxy.win32.horst
    Log-Analyse und Auswertung - 17.12.2006 (6)
  8. Trojan-Proxy.Win32.Horst.pz
    Plagegeister aller Art und deren Bekämpfung - 04.12.2006 (6)
  9. Trojan Proxy win 32.horst.op
    Plagegeister aller Art und deren Bekämpfung - 25.11.2006 (3)
  10. TR/Proxy.Horst.Gen
    Log-Analyse und Auswertung - 19.11.2006 (5)
  11. Problem mit TR/Proxy.Horst.Gen
    Mülltonne - 17.11.2006 (0)
  12. Tr/Proxy.Horst.Gen----Tr/Dldr.Age.10960.F
    Antiviren-, Firewall- und andere Schutzprogramme - 23.10.2006 (3)
  13. Trojan-Proxy.Win32.Horst.kp
    Plagegeister aller Art und deren Bekämpfung - 17.10.2006 (1)
  14. TR/Proxy.Horst.KJ
    Log-Analyse und Auswertung - 11.10.2006 (6)
  15. TR/Proxy.Horst.**.** entfernen??
    Log-Analyse und Auswertung - 16.09.2006 (5)
  16. Generic.Zlob.31D8A30F und/bzw Trojan-Proxy.Win32.Horst.av
    Log-Analyse und Auswertung - 27.08.2006 (1)
  17. Trojan-Proxy.Win32.Horst.v
    Plagegeister aller Art und deren Bekämpfung - 17.03.2006 (22)

Zum Thema Trojan-Proxy.Horst - noch Überbleibsel aktiv?! - Hallo, da ist man 4 Tage ohne Router online und schon hat man sich n Backoor eingefangen Nun, nachdem sich dabei sogar einer meinem email konto bemächtigt hat und an - Trojan-Proxy.Horst - noch Überbleibsel aktiv?!...
Archiv
Du betrachtest: Trojan-Proxy.Horst - noch Überbleibsel aktiv?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.