| |
| |||||||
Log-Analyse und Auswertung: Viren- oder Trojanerproblem?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
01.08.2007, 20:24
| #1 |
| |  Viren- oder Trojanerproblem? Hallöle ich habe immer eine Meldung von meinem McAffee Virenscanner und kann damit nix anfangen. Nun habe ich gegoogelt und bin auf euer Forum gestoßen. Habe mir jetzt das "hijackthis" Programm runtergeladen und mal gescannt. Ich dachte ich kenne mich mit PC's aus, aber das ist bißchen zu viel des guten!  Könnte sich das mal einer anschauen und sagen ob alles i.O. ist? Achja... in McAffee steht eine datei "a.bat" unter system32/winupdate.exe. Daher beende ich winupdate.exe im Taskmanager immer als erstes. Danke schon mal für Eure Hilfe. Logfile of HijackThis v1.99.1 Scan saved at 21:13:20, on 01.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\McAfee\Common Framework\FrameworkService.exe C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvraidservice.exe C:\Programme\McAfee\Common Framework\UdaterUI.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe D:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\McAfee\Common Framework\McTray.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Karsten\LOKALE~1\Temp\Rar$EX00.906\HijackThis.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\Preispiraten4\IEButtonAmazonInterface.dll O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten4\IEButtonEbayInterface.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O2 - BHO: Preispiraten 4 - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten\Preispiraten4\IEButtonPPInterface.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinPatrol] D:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S80.tmp" /EF "HKLM" O4 - HKLM\..\Run: [winupdate] winupdate.exe O4 - HKLM\..\RunServices: [winupdate] winupdate.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten\Preispiraten4\Searchamazon.htm O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten\Preispiraten4\Searchamazon.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten\Preispiraten4\SearchEbaymein.htm O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten\Preispiraten4\SearchEbaypower.htm O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten\Preispiraten4\SearchEbay.htm O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten\Preispiraten4\SearchEbay.htm O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten\Preispiraten4\SearchGoogle.htm O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten\Preispiraten4\SearchGoogle.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Preispiraten 4 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\Preispiraten4\preispiraten3ie.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: *.moove.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167225467538 O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Programme\McAfee\Common Framework\FrameworkService.exe" /ServiceStart (file missing) O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe MfG Karsten |
|
01.08.2007, 20:59
| #2 | |||
| /// Helfer-Team    | Viren- oder Trojanerproblem? Hallo,
__________________das sind Dateien die ich auf die Schnelle gesehen habe in deinem log. Lasse diese bitte bei Virustotal prüfen. Sieht nach Trojaner aus. VirusTotal - Kostenloser online Viren- und Malwarescanner Zitat:
Zitat:
Zitat:
Poste anschließend die Auswertung. Gruss 
__________________ |
|
01.08.2007, 21:52
| #3 |
| | Viren- oder Trojanerproblem? Bei den ersten beiden Datein war nix..aber dann
__________________ Datei mdnsNSP.dll empfangen 2007.08.01 22:27:00 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.2.0 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.08.01 - Avast 4.7.1029.0 2007.08.01 - AVG 7.5.0.476 2007.08.01 - BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.08.01 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5024 2007.08.01 - Ewido 4.0 2007.08.01 - FileAdvisor 1 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.08.01 - F-Secure 6.70.13030.0 2007.08.01 - Ikarus T3.1.1.8 2007.08.01 - Kaspersky 4.0.2.24 2007.08.01 - McAfee 5088 2007.08.01 - Microsoft 1.2704 2007.08.01 - NOD32v2 2430 2007.07.31 - Norman 5.80.02 2007.08.01 - Panda 9.0.0.4 2007.08.01 - Datei xx2gr.dll empfangen 2007.08.01 22:32:20 (CET) AhnLab-V3 2007.8.2.0 2007.08.01 - AntiVir 7.4.0.54 2007.08.01 - Authentium 4.93.8 2007.08.01 - Avast 4.7.1029.0 2007.08.01 - AVG 7.5.0.476 2007.08.01 - BitDefender 7.2 2007.08.01 - CAT-QuickHeal 9.00 2007.08.01 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - Datei winupdate.exe empfangen 2007.08.01 22:39:05 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.2.0 - AntiVir 7.4.0.54 2007.08.01 TR/Agent.1335808 Authentium 2007.08.01 W32/Trojan.AYND Avast 2007.08.01 - AVG 2007.08.01 SHeur.FB BitDefender 2007.08.01 .Malware.G!! FLMPWX!!BVPkprng.D4D2C5F4 CAT-QuickHeal 2007.08.01 - ClamAV 0.91 2007.08.01 - DrWeb 4.33 2007.08.01 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 2007.08.01 Win32/Rbot.HFN Ewido 4.0 2007.08.01 - FileAdvisor 2007.08.01 - Fortinet 2.91.0.0 2007.08.01 - F-Prot 4.3.2.48 2007.08.01 W32/Trojan.AYND F-Secure 2007.08.01 Backdoor.Win32.Rbot.cmx Ikarus T3.1.1.8 2007.08.01 Backdoor.VB.EV Kaspersky 2007.08.01 Backdoor.Win32.Rbot.cmx McAfee 5088 2007.08.01 - Microsoft 1.2704 2007.08.01 Trojan:Win32/Ircbrute!B960 NOD32v2 2431 2007.08.01 - Norman 5.80.02 2007.08.01 - Panda 9.0.0.4 2007.08.01 W32/Gaobot.PWL.worm Rising 2007.08.01 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.08.01 VIPRE.Suspicious Symantec 2007.08.01 - TheHacker 2007.08.01 - VBA32 3.12.2.2 2007.07.31 - weitere Informationen File size: 1335808 bytes MD5: 60b9a2dc181d1d6c135b9b5ea170ce40 SHA1: 04cbc75ef751db4ab3f76a9fb7d8d625b9d929ca Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics Achja...danke für die schnelle Antwort! MfG Karsten Edit Ps: Hatte es versucht in eine Tabelle zu bringen aber ging net..sorry für das durcheinander! Geändert von karsten157 (01.08.2007 um 21:59 Uhr) |
|
02.08.2007, 07:37
| #4 |
| | Viren- oder Trojanerproblem? Kann mir keiner mehr weiterhelfen? Sorry für die Ungeduld!  |
|
02.08.2007, 08:38
| #5 |
| /// Helfer-Team | Viren- oder Trojanerproblem? Hallo, ich würde dir eher zum Neuaufsetzen raten. Auf deinem System ist ein Backdoortrojaner der Daten etc. von deinem Rechner nach aussen sendet bzw. auch dein System verändert und fernsteuert. Ein Versuch wäre mit deinem AV-Programm im abgesicherten Modus zu scannen und vorher die Systemwiederherstellung abzuschalten. Allerdings sehe ich da keine großen Erfolge. Sorry. Gruss
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
|
02.08.2007, 08:40
| #6 | |
| | Viren- oder Trojanerproblem?Zitat:
 : du konntest nicht erwarten, bis die ersten 2 Dateien vollständig gescannt wurden. Da in der 3. Datei ein Backdoor gefunden wurde, empfiehlt es sich , das System neu aufzusetzen http://www.trojaner-board.de/12154-a...sicherung.htmlEDIT: moin felixx65 |
|
02.08.2007, 08:49
| #7 | ||
| | Viren- oder Trojanerproblem?Zitat:
Zitat:
 Danke für Eure Hilfe MfG Karsten |
|
02.08.2007, 08:57
| #8 | |
| | Viren- oder Trojanerproblem?Zitat:
|
|
02.08.2007, 09:48
| #9 | |
| | Viren- oder Trojanerproblem?Zitat:
Oder sollte ich lieber Norton oder Antivir runterladen? *Edit* Unter D sind auch Programme! :-( |
|
02.08.2007, 09:55
| #10 | |
| | Viren- oder Trojanerproblem?Zitat:
 ). und die FP scannen. |
|
02.08.2007, 11:42
| #11 |
| /// Helfer-Team | Viren- oder Trojanerproblem? Ich würde Windows auf der Systempartition C neu aufsetzen. Danach SP2 und sämtliche updates drauf. Dann kannst du zu deiner Sicherheit nochmals einen escan bzw. Virenscan deiner anderen Partitionen durchführen. Wenn kein Schadproggi mehr gefunden wird, dann dürften die Dateien sauber sein. Beachte bitte auch, das du sämtliche Passwörter änderst! Gruss Edit: Mahlzeit Rene-gad 
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
|
| Themen zu Viren- oder Trojanerproblem? |
| adobe, bho, bonjour, browser, c:\windows\temp, drivers, ebay, excel, explorer, hijack, hijackthis, home, internet, internet explorer, object, pdf, programm, programme, rundll, scan, shockwave, software, starten, system, taskmanager, temp, unknown file in winsock lsp, urlsearchhook, windows, windows xp, windows\temp |
Linear-Darstellung
