| |
| |||||||
Log-Analyse und Auswertung: Trojaner "Bonjour" noch aktiv?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
06.05.2007, 05:51
| #1 |
| |  Trojaner "Bonjour" noch aktiv? Hallo, hab mir nen Trojaner zugezogen. Bin eher auf Zufall darauf gestoßen. Ich glaube ich hab durch die Systemwiederherstellung zufällig alles schon wieder entfernt. Aber zur Sicherheit hier nochmal mein Log, würd mich freuen, wenn einer was dazu sagen kann: Logfile of HijackThis v1.99.1 Scan saved at 06:42:22, on 06.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe E:\winxp\Security\ESET\nod32krn.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe E:\winxp\System\ASUS\AI Suite\AiNap\AiNap.exe E:\winxp\Security\ZoneAlarm\zlclient.exe E:\winxp\Security\ESET\nod32kui.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe E:\winxp\Security\ESET\nod32.exe D:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.24\AsRunHelp.exe O4 - HKLM\..\Run: [Ai Nap] "E:\winxp\System\ASUS\AI Suite\AiNap\AiNap.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\winxp\Security\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [nod32kui] "E:\winxp\Security\ESET\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [SoundMax] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178394205984 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - E:\winxp\Security\ESET\nod32krn.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke für Eure Hilfe! |
|
06.05.2007, 10:17
| #2 |
  | Trojaner "Bonjour" noch aktiv? Woher weißt du das du einen Trojaner hattest?
__________________Wie hast du ihn entfernt? BTW: Dein logfile sieht sauber aus  |
|
07.05.2007, 10:16
| #3 |
| | Trojaner "Bonjour" noch aktiv? Hi,
__________________Danke für Deine Hilfe! Hatte mir zum Ausprobieren was runtergeladen und dann eher zufällig wo gelesen, dass bei der Software nen Trojaner bei ist, der nen Ordner erstellt, in dem ne ".dll" ist, welche automatisch eine ".exe" erstellt. Hab aber wohl durch die Systemwiederherstellung den Trojaner entfernt, so dass ich nur noch den leeren Ordner mit der entsprechenden Bezeichnung im Programme-Ordner gefunden hab. |
|
07.05.2007, 10:36
| #4 | |
 | Trojaner "Bonjour" noch aktiv? Hallo, Zitat:
Gewisse Dinge sind für die Funktion eines Computers unerläßlich..  Deine Idee mit der Systemwiederherstellung ist so banal wie bekannt. Die Autoren von Trojanern und anderem Mist sind damit ebenfalls aüßerst vertraut...  ...und sie wissen das zu umgehen.... Vorschlag : erstelle einen Escan nach der Anleitung in der FAQ Sektion.Poste diesen nachdem du die find.bat eingesetzt hast. Das Update könnte eines mehrmaligen Versuches bedürfen.Solange probieren bis es funzt. Irrlicht |
|
08.05.2007, 00:56
| #5 |
| | Trojaner "Bonjour" noch aktiv? So, hier nun das Ergebnis nach eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.05.07.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.1.9 Sprache: German C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ D:\System Volume Information\_restore{AEE68187-218B-4066-BAA7-FB2A939A0CCA}\RP53\A0008572.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{AEE68187-218B-4066-BAA7-FB2A939A0CCA}\RP53\A0008938.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\MSOCache\All Users\{90120000-00A1-0407-0000-0000000FF1CE}-E\OnoteLR.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\winxp\Microsoft Office\Office12\1031\OneNoteMobile.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... J:\Download\System\Intel 965er-Express-Chipsätze für XP Pro\01-Intel® Graphics Media Accelerator Driver version 14.29\win2k_xp1429.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... J:\Download\System\P5B Deluxe\03-Audio\SoundMAX Audio Driver v5.10.01.6110 DTS - all OS incl. 64 - AD1988DTS_510016110\AD1988DTS\64bit\XP\kb888111.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... J:\Download\System\P5B Deluxe\ZIPs\AD1988DTS_510016110.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... J:\Download\System\P5B Deluxe\ZIPs\extra\AD1988DTS_510016110.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 159068 Gefundene Viren: 0 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 166 Dauer des Scans bisher: 01:33:33 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 1:52:11,64 Batchende: 1:52:21,76 |
|
| Themen zu Trojaner "Bonjour" noch aktiv? |
| asus, bonjour, ellung, explorer, hijack, hijackthis, hotkey, internet, internet explorer, log, mein log, messenger, microsoft, monitor, object, programme, security, setup, shockwave, sicherheit, software, system32, systemwiederherstellung, trojaner, windows, windows xp, winxp |
Linear-Darstellung
