Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner auf dem Rechner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.07.2007, 21:15   #1
Rüdi
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo zusammen,

bin das erste Mal hier, nur gelegentlicher PC-Nutzer, daher mehr Laie, habe aber seit letztes Wochenende ein Viren-Problem. Hoffe, ihr könnt mir helfen.

Mein G Data InternetSecurity 2007 hat mir beim Scannen folgende 3 Viren angezeigt:

1. C:/Dokumente und Einstellungen/Rüdiger/Lokale Einstellungen/Temporary Internet Files/ Content.IE5/……../ riff_last (1).bin den Virus „Exploit:Win32.IMG-ANI.w“

2. C:/ Dokumente und Einstellungen/ Rüdiger/Lokale Einstellungen/ Temporary Internet Files/ Content.IE5/ YP8FSVAN/ riff_last (1)bin. den Virus „CVE-2007-0038“

3. C:/Windows/Windowsupdate.log den Virus „Win32:Agent-HAI (Trj)

G Data konnte die Viren weder löschen noch desinfizieren.

Mit adaware, Spybot, AVG Anti-Spyware, CWShredder, Trojan Remover, a-squared und dem aktuellen Windows-Tool zum Entfernen bösartiger Software konnte ich anschließend nichts finden.

Habe dann die Inhalte der Ordner „Temporary Internet Files“ und „Cookies“ über Start > Systemsteuerung > Internetoptionen > Allgemein gelöscht, den Rechner heruntergefahren und nach Neustart mit dem CCleaner nochmals alles analysiert. Dabei musste ich feststellen, dass in „Temporary Internet Files“ der Ordner „Content.IE5“ immer wieder neu kopiert wurde und im Ordner „Cookies“ auch immer wieder die Datei „Index.dat“ erschien. Die Datei „Index.dat“ wurde als Datei im Ordner „Content.IE5“ angezeigt.
Ein Löschen von „Content.IE5“ und „Index.dat“ in den beiden Ordnern durch markieren und löschen scheiterte jedes Mal, da angezeigt wurde, dass die beiden Ordner vom System genutzt werden.

Ich habe dann im abgesicherten Modus und nach Deaktivierung der Systemwiederherstellung nochmals mit den vorgenannten Scannern alles gescannt – wieder ohne Meldung, diesmal auch nicht vom G Data InternetSecurity. Nach dem Neustart waren die Ordner „Content.IE5“ und „Index.dat“ im Ordner Cookies wieder da. Die Überprüfung der betroffenen Dateien mit „virusscan.jotti.org“ hat auch nichts ergeben.

Habe beim googeln festgestellt, dass Microsoft zum Virus „CVE-2007-0038“ bereits selber eine Warnung (MS07-017) veröffentlicht und im April einen Patch zur Schließung der Lücke bereitgestellt hat (KB 925902). Habe diesen heruntergeladen und installiert. Ich hoffe, damit wenigstens diesen Virus unschädlich gemacht zu haben. Zu den beiden anderen Viren findet man bei Google vor allem Hinweise auf Probleme von Usern im französischen Raum.

Da ich immer noch unsicher bin, ob die Viren nicht doch noch auf meinem System sind, sende ich euch mein HijackThis-log und die eScan-Auswertung mit der Bitte, einmal darüber zu schauen. eScan hat beim Scannen im abgesicherten Modus mit Deaktivierung Systemwiederherstellung wohl einiges gefunden, was ich jedoch nicht alles verstehe.

Besten Dank im Voraus.


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:56:10, on 06.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\0190wa~1\w0svc.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\GoogleFilter\Core\Googlefilter.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aomi.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {60DF4425-F36F-42D7-AECF-A409EBE4558C} - C:\Programme\SimonTools\CyberGhost2006\tbcghost.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: SimonTools - {CC48EB38-F950-48C0-9F22-D64F829AE3DF} - C:\Programme\SimonTools\CyberGhost2006\tbcghost.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System\tool.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CyberGhost2006] "C:\Programme\SimonTools\CyberGhost2006\CGhost.exe" min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129318703171
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5066/mcfscan.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\progra~1\0190wa~1\w0svc.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9512 bytes


Hier die eScan Virus Log Information

[General]
EngineType=1

[Welchia]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","",""
DeleteFile1=%winsysdir%\wins\svchost.exe
DeleteFile2=%winsysdir%\wins\Dllhost.exe

[LovGate]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","",""
Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","",""
Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","",""
DeleteFile1=%winsysdir%\NetServices.exe
DeleteFile2=%winsysdir%\RAVMOND.EXE
DeleteFile3=%winsysdir%\RAVMOND.EXE
DeleteFile4=%winsysdir%\WinGate.exe
DeleteFile5=%winsysdir%\WinDriver.exe
DeleteFile6=%winsysdir%\WinHelp.exe
DeleteFile7=%winsysdir%\winrpc.exe
DeleteFile8=%winsysdir%\ily.dll
DeleteFile9=%winsysdir%\task.dll
DeleteFile10=%winsysdir%\reg.dll
DeleteFile11=%winsysdir%\1.dll
DeleteFile12=%winsysdir%\win32vxd.dll
DeleteFile13=%winsysdir%\kernel66.dll
DeleteFile14=%winsysdir%\kernel66.dll
DeleteFile15=%winsysdir%\iky668.dll
DeleteFile16=%winsysdir%\reg678.dll
DeleteFile17=%winsysdir%\task688.dll
DeleteFile18=%winsysdir%\111.dll

[CodeRed]
DeleteFile1=%inetpub%\scripts\root.exe
DeleteFile2=%PF%\common~1\system\MSADC\root.exe
;DeleteFile3=%SYSTEMDIR%explorer.exe
;DeleteFile3 commented because in XP (64-bit OS), explorer.exe is kept in system32 folder!!!
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D

[OpaServ]
DeleteFile1=%SYSTEMDIR%\Tmp.ini
; this is Opaserv.M
DeleteFile2=%SYSTEMDIR%\MSLICENF.COM
DeleteFile3=%SYSTEMDIR%\BOOT.EXE
BAT1=Autoexec.bat,MSLICENF
BAT2=Autoexec.bat,BOOT.EXE

[Sobig.e]
DeleteFile1=%winsysdir%\cgtask.exe
DeleteFile2=%winsysdir%\mmtask.exe

[Winupie]
DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll

[Swen]
DeleteFile1=%winsysdir%\SWEN*.DAT

[JS.Fortnight]
DeleteFile1=%PF%\sign.htm
DeleteFile2=%PF%\sign.html

[Novarg]
DeleteFile1=%winsysdir%\shimgapi.dll

[Pagabot]
Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"",""

[Parite.b]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"",""

[Parite.a]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"",""

[Adware.SeekSeek]
Reg1=HKEY_CURRENT_USER\Console,UUID,"",""
Reg2=HKEY_CURRENT_USER\Console,lp,"",""

Alt 06.07.2007, 21:21   #2
nochdigger
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo

du willst uns doch nicht erzählen, dass eScan diese alle beseitigt hat, oder?
Verstehe ich hier etwas falsch?

Kennst du diese Datei :
C:\WINDOWS\System\tool.exe

MFG
__________________


Alt 07.07.2007, 16:26   #3
Rüdi
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo,

sorry, habe eScan das erste Mal genutzt und da wohl etwas falsch gemacht. Habe soeben eScan nochmals darüber laufen lassen.
Hier die aus der der Datei mwav.log und der virus log information herausgesuchten infected files.
Wenn nötig, poste ich die gesamte virus log information, die jedoch sehr lang ist.

Sat Jul 07 14:18:04 2007 => System found infected with sillyworm.vo Worm (hkey_local_machine\software\microsoft\windows\currentversion\run/system)! Action taken: No Action Taken.

Sat Jul 07 14:18:17 2007 => File C:\WINDOWS\msstasks.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.

Sat Jul 07 14:18:17 2007 => File C:\WINDOWS\mstaskss.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.

Sat Jul 07 14:47:53 2007 => Scanning File C:\Programme\a-squared\infected.txt

Sat Jul 07 14:47:56 2007 => Scanning File C:\Programme\a-squared Free\infected.txt

Sat Jul 07 15:41:25 2007 => File C:\WINDOWS\msstasks.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.

at Jul 07 15:41:25 2007 => File C:\WINDOWS\mstaskss.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken.

Sat Jul 07 15:57:30 2007 => Total Objects Scanned: 83088
Sat Jul 07 15:57:30 2007 => Total Critical Objects: 11
Sat Jul 07 15:57:30 2007 => Total Disinfected Objects: 0
Sat Jul 07 15:57:30 2007 => Total Objects Renamed: 0
Sat Jul 07 15:57:30 2007 => Total Deleted Objects: 0
Sat Jul 07 15:57:30 2007 => Total Errors: 194
Sat Jul 07 15:57:30 2007 => Time Elapsed: 01:40:29
Sat Jul 07 15:57:30 2007 => Virus Database Date: 7/5/2007
Sat Jul 07 15:57:30 2007 => Virus Database Count: 358745

Sat Jul 07 15:57:30 2007 => Scan Completed.


Was meinst Du mit C:/Windows/system/tool.exe?
__________________

Alt 07.07.2007, 17:09   #4
nochdigger
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo

Zitat:
Was meinst Du mit C:/Windows/system/tool.exe?
na wie ich es geschrieben hab, kennst du diese Datei?
Wenn nicht lass sie bitte hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
gleiches gilt für diese Datei :
C:\WINDOWS\msstasks.exe (auswerten lassen)
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei, sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Alt 11.07.2007, 21:47   #5
Rüdi
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo,

war einige Tage beruflich unterwegs, daher komme ich erst heute wieder an meinen Rechner.

Ein Scan der Datei "C/Windows/msstasks.exe" bei virustotal hat folgendes ergeben:

"0 bytes size received / Se ha recibido un archivo vacio".

Ein Scan bei Jotti hat zu folgendem Ergebnis geführt:

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file".

Die Datei "msstaasks.exe" fand sich übrigens zweimal im Ordner C/Windows". Ein Scan beider Fundstellen hat das gleiche Ergebnis wie vorstehend ergeben.


Die Datei "C/Windowes"system/tool.exe" findet sich im Arbeitsplatz/Explorer nicht. Auch Prozess Explorer hat diese nicht angezeigt,+. Erst Autoruns zeigte sie an unter "HKey_local_machine/software/microsoft/windows/CurrentVersion/run". Soll ich den Prozess aus der Windows-Registrierung und dem Autorun löschen?

MfG
Rüdi


Alt 11.07.2007, 22:41   #6
nochdigger
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo

ich hab bei der ganzen Sache ein komisches Gefühl...

Deaktiviere bitte den Teatimer von Spybot S&D so :
starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.

Mach bitte alle versteckten Dateien und Ordner sichtbar.

Dann starte HijackThis mit der Option - do a system scan only - und hake diesen Eintrag an :
O4 - HKLM\..\Run: [System] C:\WINDOWS\System\tool.exe
klicke nun auf - fix checked,
anschließend klicke auf - Main Menu - und wähle "Open the Misc Tools section" --> "Misc Tools" anwählen --> Delete a file on reboot --> wähle die zu löschende Datei -->
die Frage zum Neustart mit "Nein" beantworten --> die Frage des Neustarts erst mit "Ja" beantworten wenn alle Dateien ausgewählt wurden.
Wähle folgende Datei(en) :

C/Windows/msstasks.exe

C:\WINDOWS\System\tool.exe

beende HijackThis und starte den Rechner neu.
Nach dem Neustart schau bitte in den Backupordner von HijackThis ob sich unsere beiden Patienten dort befinden, wenn ja, lass sie jetzt nochmal bei Virustotal auswerten.

MFG

Alt 12.07.2007, 21:21   #7
Rüdi
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo,

besten Dank für Deine Hinweise.

Wie beschrieben habe ich den Teatimer von Spybot S&D deaktiviert und alle versteckten Dateien und Ordner sichtbar gemacht sowie anschließend HijackThis wie geschildert gestartet.

Nachdem ich den entsprechenden Hacken beim Eintrag "04-HKLM/../Run: ...C:/Windows/System/tool.exe" gesetzt hatte und über Main Menue > Misc Tools ...>> zu Delete a file on reboot gekommen war, passierte auch hier wieder etwas komisches: Ich habe die zu löschende Datei "C:/Windows/System/tool.exe" nicht im Explorer gefunden; sie wurde dort noch immer nicht angezeigt. Ich konnte sie daher nicht auswählen.

Anders bei den beiden Dateien "C:/Windows/msstasks.exe", die sich problemlos finden und auswählen liessen.

Nach dem Neustart des Rechners findet sich in dem Backupordner von HijackThis nur noch der Eintrag zu der Datei "C:/Windows/System/tool.exe". Da diese Datei im Explorer (s.o.) nicht auffindbar ist, kann ich sie leider auch nicht nochmals über Virustotal auswerten lassen.

Übrigens wird diese Datei jetzt von Autoruns nícht mehr angezeigt.

MfG

Rüdi

Alt 12.07.2007, 22:57   #8
nochdigger
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo

Zitat:
ich hab bei der ganzen Sache ein komisches Gefühl...
und es hat sich nicht wirklich gebessert...

lade dir ClearProg und lasse es dein System bereinigen (hake an --> alles löschen), lass alles löschen.
Lade dir bitte auch mal Silentrunners
und lasse es dein System scannen, anschließend poste das Log.
Erstelle bitte ein neues HijackThis Log und lass AVG mal upgedatet übers System schauen, poste die Funde aber bitte keine gefundenen Cookies.

MFG

Alt 13.07.2007, 21:25   #9
Rüdi
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo,

habe ClearProg und Silentrunners drüber laufen lassen. Im Folgenden die Logs von Silentrunners und HijackThis.


Log von Silentrunners:

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Googlefilter" = "C:\Programme\GoogleFilter\Core\Googlefilter.exe /run" ["ABoTech Software Andreas Born, Marc Waesche Services"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"PCMService" = ""C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"" [empty string]
"PRISMSTA.EXE" = "PRISMSTA.EXE START" ["Intersil Americas Inc."]
"EPSON Stylus C84 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"" ["SEIKO EPSON CORPORATION"]
"Googlefilter" = "C:\Programme\GoogleFilter\Core\Googlefilter.exe /run" ["ABoTech Software Andreas Born, Marc Waesche Services"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["GRISOFT s.r.o."]
"AVKTray" = ""C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"" ["G DATA Software AG"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"McAfeeUpdaterUI" = ""C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey" ["McAfee, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0124123D-61B4-456f-AF86-78C53A0790C5}\(Default) = "G DATA WebFilter Class"
-> {HKLM...CLSID} = "G DATA WebFilter"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{15362FA5-C983-41ed-B7AC-5B9BEAF56929}" = "AOL"
-> {HKLM...CLSID} = "AOL"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\aolshare\shell\de\shellext.dll" ["America Online, Inc."]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshellext.dll" ["RealNetworks"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" [empty string]
EastTecFileShredder\(Default) = "{09FAB52A-B435-11D6-A324-0050BFE9FD8F}"
-> {HKLM...CLSID} = "East-Tec File Shredder Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\EAST-T~1\etfscm.dll" ["EAST Technologies"]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
-> {HKLM...CLSID} = "ReisswolfContextMenu"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" [empty string]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
-> {HKLM...CLSID} = "AVK9ContextMenue"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\AVK\ShellExt.dll" [empty string]
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
-> {HKLM...CLSID} = "ReisswolfContextMenu"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Shredder\Reisswlf.dll" [empty string]


Group Policies {policy setting}:
--------------------------------
Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{Prevent access to registry editing tools}

HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\

"Homepage" = (REG_DWORD) hex:0x00000000
{Disable changing home page settings}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]

Startup items in "****" & "All Users" startup folders:
---------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"G DATA Firewall Tray" -> shortcut to: "C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [null data]
"Kontrollfeld für die kabellose Tastatur" -> shortcut to: "C:\WINDOWS\CNYHKey.exe" ["Chicony"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Picture Package Menu" -> shortcut to: "C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe" ["Sony Corporation"]
"Picture Package VCD Maker" -> shortcut to: "C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe -h" ["Sony Corporation."]

Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{0124123D-61B4-456F-AF86-78C53A0790C5}" = "G DATA WebFilter"
-> {HKLM...CLSID} = "G DATA WebFilter"
\InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
(unwritable string)

Missing lines (compared with English-language version):
[Version]: 2 lines
[RestoreHomePage]: 1 line
[RestoreHomePage.reg]: 1 line
[RestoreBrowserSettings.reg]: 12 lines
[DeleteTemplates.reg]: 5 lines
[DeleteAutosearch.reg]: 1 line
[Strings]: 1 line
[RestoreBrowserSettings]: 2 lines
[Strings]: 3 lines


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
0190/0900 Warner Überwachungsdienst, 0190_0900_Warner_MonitorService, "c:\progra~1\0190wa~1\w0svc.exe" ["Mirko Böer"]
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."]
AVK Service, AVKService, "C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe" ["G DATA Software AG"]
AVK Wächter, AVKWCtl, "C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe" [empty string]
AVKProxy, AVKProxy, ""C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"" ["G DATA Software AG"]
Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"]
G DATA Personal Firewall, GDFwSvc, "C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe" [null data]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
McAfee Framework-Dienst, McAfeeFramework, ""C:\Programme\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart" ["McAfee, Inc."]
WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."]
X10 Device Network Service, x10nets, "C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"]

Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
----------
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 47 seconds, including 6 seconds for message boxes)


Log von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:24:01, on 13.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\0190wa~1\w0svc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\GoogleFilter\Core\Googlefilter.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Rüdiger\Eigene Dateien\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aomi.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.aomi.info
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129318703171
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5066/mcfscan.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\progra~1\0190wa~1\w0svc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8579 bytes


Ein Scan mit upgedatetem AVG Anti-Spyware hat keine Funde ergeben.

Mit freundlichen Grüßen

Rüdi

Alt 13.07.2007, 21:52   #10
nochdigger
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo

ich muss sagen mein schlechtes Gefühl hat mich nicht betrogen, wenn ich nach diesem Eintrag Google
Zitat:
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
komme ich dahin
eigentlich kann ich dir aufgrund der Funde und Dateien die nicht auszuwerten waren nur das Neuaufsetzen des Systems und anschliessende Absicherung! raten, Sorry.
Ändere nach der Neuinstallation bitte auch alle Pass/Kennwörter.

Wenn jemand noch eine andere Idee hat möge er sich doch bitte melden (evtl. lieg ich ja voll daneben).

MFG

Alt 23.07.2007, 11:57   #11
Rüdi
 
Trojaner auf dem Rechner - Standard

Trojaner auf dem Rechner



Hallo,

vielen Dank für Deine Hinweise.

Ich habe zwischenzeitlich den Rechner neu formatiert und aufgesetzt - dies war wohl insgesamt die beste und sicherste Lösung.

Dennoch nochmals besten Dank für Deine und eure Hilfe und Mühe.

Rüdi

Antwort

Themen zu Trojaner auf dem Rechner
64-bit, abgesicherten modus, adobe, avg, bho, browseui preloader, computer, cyberghost, desktop, dll, drivers, entfernen, erste mal, excel, firewall, g data, google, hijack, hkus\s-1-5-18, home, immer wieder, internet explorer, löschen, neustart, programme, regsvr32, rundll, s-1-5-18, scan, security, software, trend micro, trojan, trojaner, virus, warnung, windows xp, windows-tool



Ähnliche Themen: Trojaner auf dem Rechner


  1. Trojaner auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 04.06.2015 (2)
  2. BKA trojaner auf rechner?
    Plagegeister aller Art und deren Bekämpfung - 17.05.2015 (9)
  3. Trojaner auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 08.11.2014 (30)
  4. Trojaner auf dem rechner
    Plagegeister aller Art und deren Bekämpfung - 19.07.2014 (15)
  5. GVU Trojaner auf XP Rechner
    Log-Analyse und Auswertung - 29.06.2013 (29)
  6. Trojaner auf Rechner!
    Log-Analyse und Auswertung - 28.05.2013 (18)
  7. Der Rechbaran seinen Rechner, da der Rechner von einem Virus "Zahlundsaufforderung angeblich von der GVU" hat den Rechner
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (2)
  8. GVU Trojaner auf XP-Rechner
    Log-Analyse und Auswertung - 11.04.2013 (5)
  9. GVU Trojaner auf Win 7 Rechner. Bin gerade im Ausland unterwegs und brauche meinen Rechner dringend
    Log-Analyse und Auswertung - 29.01.2013 (10)
  10. GVU Trojaner auf WIN 7 Rechner
    Log-Analyse und Auswertung - 14.08.2012 (20)
  11. XP REchner: kann nicht erkennen, ob ich immer noch Trojaner auf meinem Rechner habe
    Plagegeister aller Art und deren Bekämpfung - 13.09.2011 (43)
  12. Trojaner auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (1)
  13. Trojaner auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 28.03.2010 (1)
  14. TRojaner auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 24.03.2009 (5)
  15. Trojaner auf dem Rechner
    Log-Analyse und Auswertung - 23.01.2009 (2)
  16. Trojaner auf dem Rechner
    Log-Analyse und Auswertung - 28.11.2008 (0)
  17. Trojaner auf Rechner
    Log-Analyse und Auswertung - 29.06.2006 (10)

Zum Thema Trojaner auf dem Rechner - Hallo zusammen, bin das erste Mal hier, nur gelegentlicher PC-Nutzer, daher mehr Laie, habe aber seit letztes Wochenende ein Viren-Problem. Hoffe, ihr könnt mir helfen. Mein G Data InternetSecurity 2007 - Trojaner auf dem Rechner...
Archiv
Du betrachtest: Trojaner auf dem Rechner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.