Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner "Bonjour" noch aktiv?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.05.2007, 06:51   #1
NetKilla
 
Trojaner "Bonjour" noch aktiv? - Standard

Trojaner "Bonjour" noch aktiv?



Hallo,

hab mir nen Trojaner zugezogen.
Bin eher auf Zufall darauf gestoßen.

Ich glaube ich hab durch die Systemwiederherstellung zufällig alles schon wieder entfernt.

Aber zur Sicherheit hier nochmal mein Log,
würd mich freuen, wenn einer was dazu sagen kann:

Logfile of HijackThis v1.99.1
Scan saved at 06:42:22, on 06.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
E:\winxp\Security\ESET\nod32krn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
E:\winxp\System\ASUS\AI Suite\AiNap\AiNap.exe
E:\winxp\Security\ZoneAlarm\zlclient.exe
E:\winxp\Security\ESET\nod32kui.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\winxp\Security\ESET\nod32.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.24\AsRunHelp.exe
O4 - HKLM\..\Run: [Ai Nap] "E:\winxp\System\ASUS\AI Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\winxp\Security\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "E:\winxp\Security\ESET\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SoundMax] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178394205984
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - E:\winxp\Security\ESET\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Danke für Eure Hilfe!

Alt 06.05.2007, 11:17   #2
Apocalypt
 
Trojaner "Bonjour" noch aktiv? - Standard

Trojaner "Bonjour" noch aktiv?



Woher weißt du das du einen Trojaner hattest?
Wie hast du ihn entfernt?

BTW: Dein logfile sieht sauber aus
__________________


Alt 07.05.2007, 11:16   #3
NetKilla
 
Trojaner "Bonjour" noch aktiv? - Standard

Trojaner "Bonjour" noch aktiv?



Hi,

Danke für Deine Hilfe!

Hatte mir zum Ausprobieren was runtergeladen und dann eher zufällig wo gelesen, dass bei der Software nen Trojaner bei ist, der nen Ordner erstellt, in dem ne ".dll" ist, welche automatisch eine ".exe" erstellt.

Hab aber wohl durch die Systemwiederherstellung den Trojaner entfernt, so dass ich nur noch den leeren Ordner mit der entsprechenden Bezeichnung im Programme-Ordner gefunden hab.
__________________

Alt 07.05.2007, 11:36   #4
irrlicht
 
Trojaner "Bonjour" noch aktiv? - Standard

Trojaner "Bonjour" noch aktiv?



Hallo,

Zitat:
der nen Ordner erstellt, in dem ne ".dll" ist, welche automatisch eine ".exe" erstellt
Dieses Verhalten zeigt jedes Programm,zumindest so gut wie jedes.
Gewisse Dinge sind für die Funktion eines Computers unerläßlich..
Deine Idee mit der Systemwiederherstellung ist so banal wie bekannt.
Die Autoren von Trojanern und anderem Mist sind damit ebenfalls aüßerst vertraut...
...und sie wissen das zu umgehen....
Vorschlag : erstelle einen Escan nach der Anleitung in der FAQ Sektion.Poste diesen nachdem du die find.bat eingesetzt hast.
Das Update könnte eines mehrmaligen Versuches bedürfen.Solange probieren bis es funzt.
Irrlicht

Alt 08.05.2007, 01:56   #5
NetKilla
 
Trojaner "Bonjour" noch aktiv? - Standard

Trojaner "Bonjour" noch aktiv?



So, hier nun das Ergebnis nach eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.1.9
Sprache: German
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
D:\System Volume Information\_restore{AEE68187-218B-4066-BAA7-FB2A939A0CCA}\RP53\A0008572.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\System Volume Information\_restore{AEE68187-218B-4066-BAA7-FB2A939A0CCA}\RP53\A0008938.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
E:\MSOCache\All Users\{90120000-00A1-0407-0000-0000000FF1CE}-E\OnoteLR.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
E:\winxp\Microsoft Office\Office12\1031\OneNoteMobile.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Download\System\Intel 965er-Express-Chipsätze für XP Pro\01-Intel® Graphics Media Accelerator Driver version 14.29\win2k_xp1429.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Download\System\P5B Deluxe\03-Audio\SoundMAX Audio Driver v5.10.01.6110 DTS - all OS incl. 64 - AD1988DTS_510016110\AD1988DTS\64bit\XP\kb888111.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Download\System\P5B Deluxe\ZIPs\AD1988DTS_510016110.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
J:\Download\System\P5B Deluxe\ZIPs\extra\AD1988DTS_510016110.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 159068
Gefundene Viren: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 166
Dauer des Scans bisher: 01:33:33
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 1:52:11,64
Batchende: 1:52:21,76


Antwort

Themen zu Trojaner "Bonjour" noch aktiv?
asus, bonjour, ellung, explorer, hijack, hijackthis, hotkey, internet, internet explorer, log, mein log, messenger, microsoft, monitor, object, programme, security, setup, shockwave, sicherheit, software, system32, systemwiederherstellung, trojaner, windows, windows xp, winxp



Ähnliche Themen: Trojaner "Bonjour" noch aktiv?


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "Fehler: Server nicht gefunden" immer noch nach "WAJAM.A.1"-Befall
    Plagegeister aller Art und deren Bekämpfung - 05.11.2014 (15)
  3. E-Mail Weiterleitung "gekapert" und aktiv für Spam missbraucht
    Überwachung, Datenschutz und Spam - 03.07.2014 (5)
  4. "Server ist ausgelastet" - "Dieser Vorgang kann nicht ausgeführt werden,da die andere Anwendung aktiv ist.
    Log-Analyse und Auswertung - 29.11.2013 (23)
  5. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  6. da warens nur noch 3: "assembly\GAC_32(64)\Desktop.ini" & "Fehlercode 0x80070424"
    Plagegeister aller Art und deren Bekämpfung - 02.10.2013 (17)
  7. "Server ist ausgelastet" - "Dieser Vorgang kann nicht ausgeführt werden,da die andere Anwendung aktiv ist.
    Diskussionsforum - 30.07.2013 (7)
  8. Benutzeranmeldung nach Trojaner Bekämpfung zeigt nur noch Cmd-Box "Windows\system 32"
    Log-Analyse und Auswertung - 26.07.2013 (22)
  9. Nach GVU-Trojaner nur noch eingeschränkte Funktion sowie Meldung "roper0dun.exe"
    Plagegeister aller Art und deren Bekämpfung - 18.07.2012 (11)
  10. TR/Kazy.mekml.1 - Nach "Loeschung" weiter aktiv ?
    Plagegeister aller Art und deren Bekämpfung - 27.04.2011 (1)
  11. ESET meldet "JS/TrojanClicker.Agent.NBN Trojaner" - PC (noch) infiziert?
    Log-Analyse und Auswertung - 09.04.2011 (1)
  12. Infektion mit "Spionage-Trojaner" - Daten noch zu retten?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2011 (5)
  13. IE im Hintergrund aktiv trotz Firefox + Lautsprecher auf "mute"
    Log-Analyse und Auswertung - 09.08.2010 (16)
  14. mDNS Responder "Bonjour" Wie LÖSCHEN ?
    Alles rund um Windows - 05.11.2009 (11)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. "Proggi Bonjour" bitte einmal log-file anschauen?
    Log-Analyse und Auswertung - 28.06.2007 (2)
  17. eTrust fand "einen" Trojaner, danach AntiVir noch "vier"..!!??
    Plagegeister aller Art und deren Bekämpfung - 26.12.2005 (5)

Zum Thema Trojaner "Bonjour" noch aktiv? - Hallo, hab mir nen Trojaner zugezogen. Bin eher auf Zufall darauf gestoßen. Ich glaube ich hab durch die Systemwiederherstellung zufällig alles schon wieder entfernt. Aber zur Sicherheit hier nochmal mein - Trojaner "Bonjour" noch aktiv?...
Archiv
Du betrachtest: Trojaner "Bonjour" noch aktiv? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.