Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan Horse Infizierung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.04.2007, 17:55   #1
Coenenberg
 
Trojan Horse Infizierung - Standard

Trojan Horse Infizierung



hallo,

seit kurzem meldet norton antivirus kurz nach dem booten "Trojan Horse blockiert. Ihr Computer ist umfangreich geschützt".

seit neuestem hat der rechner auch einige mucken:
IE wird plötzlich beendet bzw. lässt sich nicht starten,
der rechner scheint langsamer zu sein

virenscanner von symantec internet-security, antivir, adaware finden nichts. scan auch im abgesicherten modus ausgeführt.

bedeutet die meldung, die attacke findet immer erneut nach dem booten statt. der angriff ist jedoch erfolglos für den "trojaner". oder hört es sich nach infizierung an.

anbei auch ein hjt logfile. danke schon mal.

Logfile of HijackThis v1.99.1
Scan saved at 17:30:46, on 05.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\DitExp.exe
C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
D:\Tools\WinZip\WZQKPICK.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\TuneUp Utilities 2007\Integrator.exe
C:\Programme\TuneUp Utilities 2007\ProcessManager.exe
C:\Dokumente und Einstellungen\ErwinAlbert\Desktop\Tools\HiJack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.*****.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - Startup: MSwin--1175235038.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Tools\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.****.de
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82074192-AA60-4D55-AED5-80A6DFB6C11E}: NameServer = 192.168.77.1
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Magix\Common\Database\bin\fbserver.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RvscomSv - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

Alt 05.04.2007, 18:32   #2
Franz1968
/// Helfer-Team
 
Trojan Horse Infizierung - Standard

Trojan Horse Infizierung



Hallo.
Mit einem Betriebssystem auf diesem Stand
Zitat:
Zitat von Coenenberg Beitrag anzeigen
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
ist Malware-Befall leider vorprogrammiert.

Kennst du dieses Programm?
Zitat:
O4 - Startup: MSwin--1175235038.exe
Wenn nicht: Versuche, es ausfindig zu machen (ggf. mit Hilfe von Rene-gads Anleitung), lade es bei Virustotal hoch und poste hier das komplette Ergebnis.

Ich nehme an, dieser Eintrag ist legitim und steht im Zusammenhang mit einer von dir installierten Video-Anwendung?
Zitat:
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
Wenn nicht: Virustotal

Den folgenden Eintrag kann ich nicht deuten:
Zitat:
O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
__________________

__________________

Alt 06.04.2007, 10:16   #3
Coenenberg
 
Trojan Horse Infizierung - Standard

Trojan Horse Infizierung



wie sollte denn das betr-system aussehen? welche änderungen wären sinnvoll?
grüße
C.
__________________

Geändert von Coenenberg (06.04.2007 um 10:37 Uhr) Grund: hallo

Alt 06.04.2007, 10:44   #4
erty
 
Trojan Horse Infizierung - Standard

Trojan Horse Infizierung



zuerst service pack 2 installieren. (das geht auch über das windows update) und anschliessend alle Sicherheitsupdates installieren...

Alt 06.04.2007, 10:50   #5
Coenenberg
 
Trojan Horse Infizierung - Standard

Trojan Horse Infizierung



danke _______ !


Antwort

Themen zu Trojan Horse Infizierung
abgesicherten modus, adobe, antivirus, bho, booten, browser, computer, cyberlink, desktop, einstellungen, excel, explorer, hijack, hijack this, hijackthis, internet explorer, internet security, magix, nicht starten, rundll, scan, software, solution, starten, symantec, system, trojan, trojaner, tuneup utilities, windows, windows xp



Ähnliche Themen: Trojan Horse Infizierung


  1. Infizierung mit trojan.ransom.ed
    Log-Analyse und Auswertung - 31.07.2014 (11)
  2. Trojan Horse und Trojan.Zlob entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (5)
  3. Infizierung mit Trojan Vundo
    Mülltonne - 19.12.2008 (1)
  4. Trojan Horse
    Mülltonne - 29.01.2008 (0)
  5. Trojan.Vundo und Trojan Horse
    Log-Analyse und Auswertung - 27.10.2007 (9)
  6. Trojan Horse gefunden: ldpinch trojan
    Mülltonne - 23.10.2007 (0)
  7. Trojan horse backdoor.iql
    Plagegeister aller Art und deren Bekämpfung - 20.07.2007 (12)
  8. Trojan.Horse.Pws.Ldpinch.DQY
    Mülltonne - 15.07.2007 (1)
  9. Trojan horse Generic5.JMY
    Log-Analyse und Auswertung - 12.07.2007 (1)
  10. trojan horse
    Plagegeister aller Art und deren Bekämpfung - 09.07.2007 (23)
  11. trojan horse
    Plagegeister aller Art und deren Bekämpfung - 08.07.2007 (4)
  12. Norton blockiert Trojan.Vundo bzw. Trojan Horse
    Plagegeister aller Art und deren Bekämpfung - 01.07.2007 (2)
  13. Trojan Horse Proxy.NAB
    Plagegeister aller Art und deren Bekämpfung - 23.04.2007 (3)
  14. Trojan Horse von Norton!
    Plagegeister aller Art und deren Bekämpfung - 31.12.2005 (5)
  15. delprot.sys- Trojan Horse
    Plagegeister aller Art und deren Bekämpfung - 06.06.2005 (7)
  16. st.exe Trojan Horse
    Log-Analyse und Auswertung - 24.03.2005 (1)
  17. Trojan Horse Dialer.11.AZ
    Plagegeister aller Art und deren Bekämpfung - 20.02.2005 (3)

Zum Thema Trojan Horse Infizierung - hallo, seit kurzem meldet norton antivirus kurz nach dem booten "Trojan Horse blockiert. Ihr Computer ist umfangreich geschützt". seit neuestem hat der rechner auch einige mucken: IE wird plötzlich beendet - Trojan Horse Infizierung...
Archiv
Du betrachtest: Trojan Horse Infizierung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.