| |
| |||||||
Log-Analyse und Auswertung: Könnte sich das bitte mal jemand ansehen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
09.02.2007, 17:02
| #1 |
| |  Könnte sich das bitte mal jemand ansehen? Hallo mal wieder! Könnte sie bitte mal jemand dieses Logfile ansehen? Was mir Sorge bereitet, sind die gefetteten Passagen, zu denen ich leider im Internet und mit Google keine Informationen finden konnte. Eigentlich ist mein System recht neu, was aber nichts heißen muß. An Sicherheit und Firewall habe ich Norton Antivirus 2005 und den Windows Defender wie auch den Spybot hab ich auch schon durchlaufen lassen. Diese melden ein sauberes System. Und doch ist diese Datei ja nicht der Windowsmanager, denn der wird doch anders geschrieben. Diese Datei ist aber im System 32 Ordner zu finden." Hier das Log: Logfile of HijackThis v1.99.1 Scan saved at 16:23:22, on 09.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Samsung\Samsung EDS\EDSAgent.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Free Download Manager\fdm.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe C:\Programme\T-DSL Manager\DslMgr.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDCountdown.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\T-DSL Manager\DslMgrSvc.exe C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe C:\Hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [DefragTaskBar] "C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe" O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\RunOnce: [*Bandook] C:\WINDOWS\system32\msnmesnger.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\Run: [Bandook] C:\WINDOWS\system32\msnmesnger.exe O4 - Startup: T-DSL Manager.lnk = C:\Programme\T-DSL Manager\DslMgr.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O23 - Service: AshampooDefragService - - C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe Kennt jemand diese Exe? Ist sie vielleicht gar harmlos? Oder seht Ihr sonst noch irgendwas auffälliges? Das System läuft eigentlich stabil und unauffällig, nur der Startvorgang kommt mir ein wenig langsam vor, also bis alle AUtostarteinträge geladen sind. Das hab ich bisher als Grund aber auf Norton Antivirus geschoben. Vielen dank schon mal im voraus: Hab auch schon versucht die Einträge mit HJT zu fixen, die Einträge sind beim nächsten Neustart wieder da. Wenn ich den Prozess über den Taskmanager beende, startet er sofort wieder |
|
09.02.2007, 17:11
| #2 |
  | Könnte sich das bitte mal jemand ansehen? Lade die Datei bei Virustotal.com hoch (http://www.trojaner-board.de/59624-a...-sichtbar.html) und lasse sie scannen. Poste den vollständigen Scanreport samt Größenagabe.
__________________
__________________ |
|
09.02.2007, 17:58
| #3 | |
| | Könnte sich das bitte mal jemand ansehen? Vielen Dank für die schnelle Hilfe.
__________________ Hier also der Log:Zitat:
 |
|
09.02.2007, 19:24
| #4 |
| | Könnte sich das bitte mal jemand ansehen? Mal kurz ein Zwischenstand von mir. Hab mir mal das empfohlene Programm Prevx1 runtergeladen. Erkennen tut es und schiebt diese msnmesngr.exe auch ins Gefängnis. Aber diese stellt sich sofort wieder neu her. Auch sofortiges löschen bringt nichts, da hat es denselben Effekt, nach 2 Sekunden ist dieses miese Teil wieder im Ordner |
|
09.02.2007, 19:54
| #5 |
| | Könnte sich das bitte mal jemand ansehen? Hilft alles nix: eScan Bei Internetanbindung über einen Router diese Anleitung verwenden Bei Internetanbindung direkt über ein DSL-/ISDN-/Analogmodem diese Anleitung verwenden Die für dich passende Anleitung genau lesen und am Ende des Scans das Ergebnis der find.bat posten.
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
09.02.2007, 19:54
| #6 |
  | Könnte sich das bitte mal jemand ansehen? Hallo, das hier habe ich zu deinem Backdoor gefunden..... Troj/BandKit-A - Spyware-Trojaner - Sophos Bedrohungsanalyse wenn du mich fragst...... Ich würde mir die Beschreibung bei Sophos durchlesen,ohnmächtig vom Stuhl fallen und sobald ich wieder bei mir bin,nach "Anleitungen,FAQ,Links" gehen,das hier auf der Startseite ist und mir den Thread "Neuaufsetzen des Systems und die anschließende Absicherung aber sowas von vornehmen.... Vor allem würde ich mein besonderes Augenmerk darauf richten,das Sophos sagt, dieser Backdoor würde Tastenfolgen mitschreiben.Daraus würde ich dann schließen,das meine sämtlichen Passwörter unbedingt durch neue ersetzt werden müssen und zwar nach der Neuinstallation.Weiterhin würde ich nicht so dumm sein und nur einfach die Passwörter untereinander tauschen.Ich könnte mir nämlich vorstellen,das der "Besitzer" des Trojaners dies ebenfalls bedenkt und mal ein bissel probiert .... Aber das alles ist,was ich machen würde........ Was du machst ist deine Sache,denn es ist auch deine Kiste und es kann auch deine U-Haft-Zelle sein ,in der du dich wiederfinden könntest, falls der "Trojanerbesitzer" eine richtig üble S.. ist. Irrlicht |
|
09.02.2007, 20:07
| #7 | |
| | Könnte sich das bitte mal jemand ansehen?Zitat:
 Edit: Ich gehe aber auch davon aus, dass was Böses auf dem Rechner ist.
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. Geändert von MightyMarc (09.02.2007 um 20:13 Uhr) |
|
09.02.2007, 20:14
| #8 | |
| | Könnte sich das bitte mal jemand ansehen? Du bist Sekunden vor mir gewesen...... Zitat:
Ist schon intressant,wieviel "no virus found" dazu sagen....scheint auch ganz neu zu sein....Das Datum ist sicher amerikanisch geschrieben ? 09.02.07 War ja auch nur, was ich machen würde........  Irrlicht |
|
09.02.2007, 21:37
| #9 | |
| | Könnte sich das bitte mal jemand ansehen?Zitat:
Also verwundert bin ich da schon auch, wieviele diesen Trojaner nicht erkennen. Selbst als ich mit Microsofts Tool den System 32 Ordner gescannt habe, fand es auch alles in Ordnung. Dabei dürfte es doch nicht allzuschwer sein, das ein Tool den so wichtigen System-Ordner und seinen Inhalt kennt, beziehungsweise erkennt, was da nicht reingehören könnte. So als nun zum escan. Glaubt Ihr, das das dann noch was bringt. Das Tool ist ja von Kaspersky und von Kaspersky wurde dieser Backdoor ja auch nicht erkannt. Ausserdem hab ich die Datei gerade mit dem On demand Scanner von Kaspersky prüfen lassen, wieder nichts gemeldet. Ich hab mittlerweile auch schon versucht, die Registry-Einträge mit der Bezeichnung Bandook und MsnMesnger.exe zu entfernen. Fehlanzeige, läßt sich entfernen und taucht sofort wieder auf. Zum Glück wird dieses Gerät für keine sensiblen Daten wie Konto,Kreditkarten oder Adresse oder sonstige Daten verwendet. Der "Dieb" wird also recht wenig anfangen können, ausser das er vielleicht in einen Foren-account von mir kommt. Okay, ich mach jetzt mal den escan. |
|
10.02.2007, 00:27
| #10 |
| | Könnte sich das bitte mal jemand ansehen? So, nun meld ich mich aschließend nochmal! Wenn ich Glück hatte, hab ich das Problem wohl gelöst.:aplaus: Der Reihe nach und für, die sich vielleicht auch dieses Teil einfangen. Wie vermutet hat der escan auch nichts gefunden. Aber dadurch habe ich einen anderen Lösungsansatz gefunden. Mir fiel plötzlich auf, das sich der Windows Updater bevor ich den Rechner runterfuhr, immer anzeigte, das ein Update noch installiert wir und dann erst runtergefahren wird. Hat mich Anfangs nicht gewundert, war ja ein neues System und Anfangs kommen da schon mal einige Updates. Meine jetzige Vermutung ist allerdings, das sich dieses Teil damit gekoppelt hat und sich somit immer wieder selbst installierte. Folgende Schritte: Es geht um den Prozess Namens [Bandook]C:\WINDOWS\system32\msnmesnger.exe ( so die Bezeichnung nach HJT) Gefunden wurde das Teil von den Programmen Sophos und von Prevx. Das Problem war, beide konnten es nicht dauerhaft installieren, kaum hatte man es gefixt, war es wieder da auch ohne runterfahren. HjT fand die Einträge auch, konnte aber ebenfalls nicht fixen. Escan und Kaspersky fanden diesen Backdoor nicht! Zum auffinden also Sophos oder Prevx verwenden oder über http://www.virustotal.com testen lassen. Dann hab ich das Tool Kill Box heruntergeladen (hier ein Link mit Anleitung zu escan und Kill Box , http://www.rokop-security.de/index.php?showtopic=3867 ) Als nächstes habe ich die Systemwiederherstellungskonsole deaktiviert und und auch das automatische Windows-Update Tool deaktiviert. Danach in den abgesicherten Modus gegangen, escan drüberlaufen lassen (hat aber in meinem Falle nichts gebracht). Dann Kill box starten und oben dann in der Leiste auf durchsuchen klicken, und dann bis zum Pfad C:\WINDOWS\system32\msnmesnger.exe gehen. Die Exe auswählen und im Kill Box Menue die Häckchen auf "Delete on Reboot" und "End Explorer Shell while Killing File" setzen und das rote x drücken, danach noch bestätigen. Jetzt ging ich in die Registry( Start>Ausführen>regedit) und gab unter "bearbeiten">"suchen" den Begriff Bandook ein. DOrt dann noch Häkchen in alle drei Suchmuster "Schlüssel" "Werte" und "Daten" setzen und Suche starten. Sobald er was gefunden hat, nur diese Einträge löschen, die das Wort Bandook enthalten.Dazu Rechtsklick auf die betreffende Zeile und löschen. Die Suche muß eventuell mehrmlas weitergestartet werden, bis die Registry komplett durchsucht ist, das wird dann angezeigt. Jedenfalls immer nur die Zeilen mit Bandook löschen, alles andere was angezeigt wird, hab ich stehenlassen. Insgesamt waren es bei mir 4 Einträge. Als nächstes habe ich nochmals HJT gestartet und die Einträge von "Bandook" dort nochmals gefixt. Nun noch die Festplatte gereinigt und dann hab ich den Rechner neu gestartet. Im normalen Modus habe ich dann das Windows-Update wieder aktiviert, nochmals escan, HJT, Sophos, Norton ANtivir und Prevx durchlaufen lassen. Keine der Programme konnte noch was finden. Auch der Eintrag ,msnmesengr.exe im System32-Ordner ist weg. Alles läuft momentan sauber und ohne Probleme. Habe 10 Probestarts und ausschalten gemacht, Autostart-Einträge und Ordner jedesmal überprüft. Derzeit nichts mehr zu finden. Vielleicht hatte ich Glück. Ich möchte aber ausdrücklich betonen, das ich ein ausgewiesener Leihe bin, eigentlich keine Ahnung von solchen Sachen habe und vielleicht kann ein Experte hier das ganze Vorgehen nochmals genauer durchleuchten. Ich bin das Risiko nur eingegangen, da die nächste Alternative eh nur ein Neuaufsetzen des Systems gewesen wäre. Insofern konnte ich diesen Vorgang eigentlich recht risikolos austesten, da ich meine eigenen Daten bereits auf CD-Rom gesichert hatte. Meinerseits kann dieser Thread somit geschlossen werden und danke nochmals allen hier, die mir Ihre Hilfe angeboten haben.  |
|
| Themen zu Könnte sich das bitte mal jemand ansehen? |
| adobe, antivirus, bho, cyberlink, defender, drivers, explorer, firewall, free download, google, hijack, hijackthis, internet, internet explorer, langsam, launch, logfile, neustart, programme, prozess, settings manager, sicherheit, software, symantec, system, system 32, taskmanager, träge, windows, windows defender, windows xp |
Linear-Darstellung
