| |
| |||||||
Log-Analyse und Auswertung: Hartnäckige MalwareWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.08.2007, 11:43
| #1 |
 |  Hartnäckige Malware Hallo allerseits, dies ist mein erster Eintrag hier und ich hoffe dabei keine Fehler zu machen... Beschreibung des Problems: Vor kurzem habe ich meinen Laptop komplett neu aufgesetzt, um die Probleme zu lösen, die ich hatte. Für ein paar Tage war dann auch alles in Ordnung, aber jezt ist wieder alles beim alten. D.h. mein Internetbrowser öffnet sich ständig von alleine (egal ob ich grad online bin oder nicht). Wenn ich mal kurz weg bin, kann es passieren, dass über 100mal das Startfenster offen ist (dabei ist es egal, ob ich Firefox oder IE benutze). Ein weiteres Problem ist, dass sich Microsoft Outlook von alleine öffnet, und sobald ich es schließe auch schon wieder offen ist. Meine Befürchtung ist, dass es sich um einen Wurm/Trojaner handelt, der sich reinstalieren kann. Die AV-Programme finden nichts bedrohliches (derzeit installiert: Antivir, Adaware, spybot s&d). Mit 2 anderen AV-Programmen (ich glaube Kaspersky und Spy-Sweeper) habe ich (vor der Neuaufsetzung) eine Bedrohung namens Oscarbot.KD entdeckt. Meine Verzweiflung hält nun schon seit langem an, so dass ich viel Zeit hatte zu googeln und letztendlich doch nicht weiter zu kommen. Ein Artikel, der eine Bedrohung namens Poison Ivy beschreibt, verspricht ebenfalls nichts gutes (link: http://kb.mozillazine.org/Firefox.exe_always_open). Im folgenden poste ich das HJTlog: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:44:45, on 02.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\wpabaln.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Dokumente und Einstellungen\Comp\Desktop\Tools\stinger349.exe C:\WINDOWS\regedit.exe C:\Programme\Joost\xulrunner\tvprunner.exe C:\Programme\Ares\Ares.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Comp\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de  fficialR3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Comp\Desktop\Tools\HijackThis\HijackThis.exe /startupscan O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: CC Web-Interface - http://localhost:4002/cookie.cooker/loadifscript O8 - Extra context menu item: Formulare ausfüllen (echte Daten) - http://localhost:4002/cookie.cooker/fillscriptp O8 - Extra context menu item: Formulare ausfüllen (zufällig) - http://localhost:4002/cookie.cooker/fillscriptr O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Werbung blockieren - http://localhost:4002/cookie.cooker/scriptwerbung O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe -- End of file - 5838 bytes Wäre nett, wenn mir jemand in meiner misslichen Lage weiter helfen könnte, bevor mein Laptop  MfG, keinschach |
| Themen zu Hartnäckige Malware |
| ad-aware, antivir, avira, bho, browser, ctfmon.exe, desktop, einstellungen, excel, explorer, fehler, firefox, handel, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, internet explorer, kaspersky, malwar, malware, mozilla firefox, neu aufgesetzt, pop-up-blocker, s-1-5-18, schach, server, software, startfenster, system, temp, trend micro, urlsearchhook, werbung, windows, windows xp, öffnet |
Baum-Darstellung