Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ntmartad.dll

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 24.05.2007, 20:13   #1
chamudi
 
ntmartad.dll - Standard

ntmartad.dll



Guten Abend,


nachdem ich beim surfen durch AntiVir auf einen Java-Virus aufmerksam gemacht wurde, hatte ich die temporären Dateien gelöscht (auch über die Java-Einstellungen in der Systemsteuerung) und mit AntiVir einen kompletten Scan gemacht, der keine Viren mehr gefunden hatte.
Um sicher zu gehen, habe ich noch eine Log Datei mit HijackThis erstellt und bin auf einen Prozess bzw. eine dll Datei gestoßen, die mich stutzig gemacht hat.

Logfile of HijackThis v1.99.1
Scan saved at 22:36:54, on 23.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Liora\LOKALE~1\Temp\Rar$EX00.656\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://....
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://.........
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = .......
http://.....
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://...............
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {64DC8815-0F7C-49C8-9DF5-95D3B08F66BD} - C:\WINDOWS\system32\ntmartad.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S85.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167782044453
O16 - DPF: {7318A953-6BDA-4266-A2BC-A8912CD66E82} (O2DM DLMCtl Class) - h**ps://music.o2online.de/O2DM.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{92A6B83E-9816-4251-8D2B-DD71249CA79E}: NameServer = 213.***.92.87,213.***.74.19
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Es geht um "O2 - BHO: (no name) - {64DC8815-0F7C-49C8-9DF5-95D3B08F66BD} - C:\WINDOWS\system32\ntmartad.dll"

Im System32 gibt es die ntmarta.dll und die ntmartad.dll - die ntmarta.dll hat eine Größe von ca. 116kb und es können durch den Aufruf der "Eigenschaften" auch die üblichen Versionsinformationen abgefragt werden.

Die ntmartad.dll hingegen ist nur 31kb groß und beinhaltet keine weiteren Informationen.

Ich habe neben Antivir auch den online scan von mcafee benutzt und das Windows-Verzeichnis durchsuchen lassen, ohne Virenfund.

Was kann diese Datei sein und was sollte ich machen?

Mit freundlichen Grüßen,

chamudi

Alt 24.05.2007, 23:54   #2
chamudi
 
ntmartad.dll - Standard

ntmartad.dll



Da jotti wieder läuft (war vorher überlastet), habe ich die dll mal hochgeladen mit folgenden Ergebnissen:

A-Squared Found Adware.Win32.Stud.d
AntiVir Found ADSPY/Stud.D
ArcaVir Found Adware.Stud.D
Avast Found Win32:Trojano-3384
AVG Antivirus Found Generic.WNV
BitDefender Found Adware.Stud.I
ClamAV Found Adware.BHO-15
Dr.Web Found Adware.Stud
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.Stud.d (4, 1, 400)
Fortinet Found nothing
Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Stud.d
NOD32 Found Win32/Adware.BHO.AA application
Norman Virus Control Found W32/Stud.Y
Panda Antivirus Found nothing
Rising Antivirus Found nothing
VirusBuster Found Adware.BHO.EC
VBA32 Found AdWare.Win32.Stud.d


Also kann ich davon ausgehen, dass es sich "nur" um AdWare handelt und dementsprechend ungefährlich ist?!? Finde leider keine richtigen Details über diese AdWare - was genau macht diese spezielle Version? Reicht ad-aware bzw. spybot? Da ich momentan nicht am infizierten Rechner sitze, muss ich morgen abend das ganze über Telefonanweisungen machen - deswegen frage ich:-)

MFG

chamudi
__________________


Alt 25.05.2007, 11:56   #3
nochdigger
 
ntmartad.dll - Standard

ntmartad.dll



Moin

mach bitte alle versteckten Dateien und Ordner sichtbar.

Starte HijackThis und hake diesen Eintrag an :

O2 - BHO: (no name) - {64DC8815-0F7C-49C8-9DF5-95D3B08F66BD} - C:\WINDOWS\system32\ntmartad.dll

klicke dann auf - fix checked - beende HijackThis und starte den Rechner in den abgesicherten Modus (beim start F8 drücken).
Löscht diese Datei (wenn noch vorhanden) :

C:\WINDOWS\system32\ntmartad.dll

anschließend den Mülleimer rausbringen und den Rechner neustarten in den normalen Modus, update bei Antivir machen und alles überprüfen lassen.

MFG
__________________

Alt 25.05.2007, 20:39   #4
chamudi
 
ntmartad.dll - Standard

ntmartad.dll



Super, vielen Dank - hat geklappt!

Antwort

Themen zu ntmartad.dll
adobe, antivir, avira, bho, c:\windows\temp, cyberlink, dateien, dateien gelöscht, desktop, dll, drivers, explorer, hijack, hijackthis, icq, internet, internet explorer, java-virus, keine viren, log, log datei, microsoft, monitor, pdf, programme, prozess, scan, software, surfen, viren, windows, windows xp, windows\temp



Zum Thema ntmartad.dll - Guten Abend, nachdem ich beim surfen durch AntiVir auf einen Java-Virus aufmerksam gemacht wurde, hatte ich die temporären Dateien gelöscht (auch über die Java-Einstellungen in der Systemsteuerung) und mit AntiVir - ntmartad.dll...
Archiv
Du betrachtest: ntmartad.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.