Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trotz Sicherer Neuinstallation diverse Trojaner Meldungen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 22.08.2007, 15:14   #1
Preaver
 
Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Standard

Trotz Sicherer Neuinstallation diverse Trojaner Meldungen



Hallo,

nachdem unglücklicherweise gestern meine 1. von 2 Festplatten abgeraucht ist (monatelang Viren- und Trojanerfrei) musste ich notgedrungen die 2. HDD formatieren und mit Windows beglücken.
Alles lief normal, auch hatte ich Windows SP 2 installiert. Nach der Installation aber blockierte es mir das Internet. Allerdings nicht vollständig, so konnte ich beispielsweise IRC starten und auch verbinden. Nach dem Entfernen von SP 2 lief alles wieder richtig. Die Virenmeldungen fingen daraufhin schnell, und ich war gezwungen wieder neu aufzusetzen.
Diesmal direkt SP1 (hatte ich noch auf CD) installiert. Aber auch hier kamen nach dem herunterladen von AntiVir und dem ersten Update unverzüglich die ersten Meldungen, woraufhin ich mich entschied ein 3. Mal Neuaufzusetzen, dieses Mal strikt mit Absicherung.

Vorbereitung: Service Pack 2, sowie einige aktuelle Sicherheitsupdates und Antivir über 2. Rechner gedownloadet und gebrannt.

Ich ging also wie folgt vor: Habe zuerst formatiert und eine Systempartition partitioniert auf die ich WinXP installiert habe. Nach der Installation kam unmittelbar das ServicePack 2 auf den Rechner, mit sämtlichen vorbereiteten Updates (Netzwerkkabel mit Internetverbindung über Router erst nach SP2 wieder eingesteckt!). Nach dem Neustart meldete die neue Firewall direkt den verdächtigen Prozess WinIogon (großes i, wie Ida), was auf den ersten Blick wie winlogon (mit l, wie Ludwig) aussieht welcher ja ein Windows Prozess ist. habe trotzdem blockiert. Aber leider blockierte das SP 2 auch jetzt wieder mein Internet, sodass mir weitere Microsoft Updates verwehrt bleiben. Nach Installation von AntiVir gingen die Virenmeldungen direkt los.

Bin jetzt wirklich ratlos, wie die Quälgeister so schnell auf meinen Rechner kommen, sodass ich absolut nichts dagegen tun kann:

habe HiJack This laufen lassen:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 15:38:45, on 22.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\FrameWork.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\DOKUME~1\Jan\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\qomlmjk.dll
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\winIogon.exe
O4 - HKLM\..\Run: [FrameWork 2.5] FrameWork.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [FrameWork 2.5] FrameWork.exe
O20 - Winlogon Notify: qomlmjk - C:\WINDOWS\SYSTEM32\qomlmjk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
Mir fällt dabei selber schon auf, dass O2, wie drei der O4 auf die Prozesse WinIogon wie auch FrameWork (FrameWork wurde auch von der WindowsFirewall geblockt) hindeuten.

Die genannte .dlls
\System32\qomlmjk.dll
Taucht auch gerne in AntiVir Meldungen auf, hierbei in Verbindung mit dem Wurm TR/Crypt.XPACK oder so. :-)

Bin ratlos, was tun?

Alt 22.08.2007, 15:25   #2
Gerd_R
 
Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Standard

Trotz Sicherer Neuinstallation diverse Trojaner Meldungen



Hallo,

wenn du tatsächlich vor der Neuinstallation deine Systempartionionneu partitioniert und formatiert hast, dann ist diese garantiert virenfrei.
Kann es sein, dass du in deinen Installationsquellen bereits eine Infektion hast?
__________________


Alt 22.08.2007, 15:29   #3
Preaver
 
Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Standard

Trotz Sicherer Neuinstallation diverse Trojaner Meldungen



Kann ich mir nicht vorstellen.
Habe beim letzten Aufsetzen wie gesagt nur Windows CD, die gebrannte CD mit den heruntergeladenen Sicherheitsupdates (incl. SP2 und AntiVir), sowie die Mainboard Treiber CD verwendet.
Nach der SP2 Installation hatte ich das Netzwerkkabel ja auch wieder eingesteckt, und danach Antivir installiert, was direkt Meldungen ergab.

Allerdings kam ja auch direkt nach der Service Pack 2 Installation der Prozess WinIogon, der durch Windows Firewall geblockt wurde auf. Nur kann ich mir nicht vorstellen, wie ich dagegen vorgehen soll, bzw. wie das überhaupt passiert.
__________________

Alt 22.08.2007, 15:29   #4
BataAlexander
> MalwareDB
 
Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Standard

Trotz Sicherer Neuinstallation diverse Trojaner Meldungen



Hier ist zweierlei möglich

1. Teile Deiner Daten sind beim Brennen befallen worden
2. Teile Deiner anderen Daten sind immer noch befallen

Wenn Du Zugang zu einem anderen Rechner hast, würde ich Dir das c´t offline Update empfehlen, dort die Updates downloaden, brennen und damit den Rechner neu installieren.

Ggf. schafft ein Scannen der bisher verwandten CDs Klarheit.

Bata

Alt 22.08.2007, 15:32   #5
Preaver
 
Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Standard

Trotz Sicherer Neuinstallation diverse Trojaner Meldungen



Mit welchem Programm sollte ich die verwendeten CD's am Besten scannen?
Reicht AntiVir für einen guten test aus?

Das c´t Offline Update werde ich einmal herunterladen, aber zuerst mal versuchen bezüglich der CD's Klarheit zu verschaffen.


Alt 22.08.2007, 16:12   #6
Gerd_R
 
Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Standard

Trotz Sicherer Neuinstallation diverse Trojaner Meldungen



Zitat:
Reicht AntiVir für einen guten test aus
ja gehe aber vorher in die konfiguration/expertenmodus und stelle die heuristik der suche hoch ein.

Gruß
Gerd

Alt 22.08.2007, 17:09   #7
BataAlexander
> MalwareDB
 
Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Standard

Trotz Sicherer Neuinstallation diverse Trojaner Meldungen



Hier eine kurze Anleitung dazu.

Bata

Alt 22.08.2007, 17:33   #8
Preaver
 
Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Standard

Trotz Sicherer Neuinstallation diverse Trojaner Meldungen



Habe jetzt zuerst nur die Heuristik wie von Gerd_R beschrieben hoch gesetzt.
Und tada, er wurde fündig.
Windows CD und selbst gebrannte CD waren zum Glück sauber.

Aber die Mainboard Treiber CD... naja hier mal das AntivirLog:

Zitat:
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpabaln.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FrameWork.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\FrameWork.exe'
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'FrameWork.exe' wird beendet
C:\WINDOWS\system32\FrameWork.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '472d58fc.qua' verschoben!

Es wurden '20' Prozesse mit '19' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '5' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\' <CD v1_2S>
D:\Utility\Recovery Genius\Eng\RecoveryGenius\SIMCOM.DLL
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.NY
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
D:\Utility\Recovery Genius\Eng\RecoveryGenius\YZDLL32.DLL
[FUND] Ist das Trojanische Pferd TR/LaSta.A.18
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!


Ende des Suchlaufs: Mittwoch, 22. August 2007 17:55
Benötigte Zeit: 16:46 min

Der Suchlauf wurde vollständig durchgeführt.

723 Verzeichnisse wurden überprüft
4356 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
2 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
4350 Dateien ohne Befall
416 Archive wurden durchsucht
2 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden
Den oberen Teil des Berichtes habe ich mal heraus gelassen, da stehen ja nur unwichtige Informationen über mich, denke ich.

Die gefundenen Trojaner passen aber nicht zu den Meldungen, die AntiVir sonst aussendet, dabei handelt es sich vorrangig um TR/Crypt.XPACK.gen
Hatte bei vorigen Installaitonen aber auch schon viele andere, wie z.B. Vundo.Gen oder K.Klone.20 oder so Ähnlich.

Mein Plan wäre jetzt System Neuaufsetzen mit der Offline Patch (ist bereits vorbereitet) und dann die Treiber bereits im Vorfeld manuell neu aus dem Internet laden, und die infizierte CD durchbrechen, verbrennen und Daniel K. schicken. :-)
Oder gibt es bessere Vorschläge?

Alt 23.08.2007, 17:09   #9
Preaver
 
Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Standard

Trotz Sicherer Neuinstallation diverse Trojaner Meldungen



Hat funktioniert, bisher kein Befund. :-)
Vielen Dank für den tollen Tipp!

Trotzdem merkwürdig, wie die Trojaner auf eine CD kommen...

Antwort

Themen zu Trotz Sicherer Neuinstallation diverse Trojaner Meldungen
antivir, application, avira, bho, diverse trojaner, entfernen, explorer, festplatte, firewall, hijack, hijack this, hijackthis, installation, internet explorer, logfile, microsoft, neu, neustart, programme, prozess, prozesse, router, starten, tr/crypt.xpack, trojaner, was tun, windows, windows xp, wurm



Ähnliche Themen: Trotz Sicherer Neuinstallation diverse Trojaner Meldungen


  1. Win 7pro: WM/Bartallex.gbf + DR/Delphi.Gen + Diverse andere Meldungen
    Log-Analyse und Auswertung - 22.04.2015 (38)
  2. Diverse Maleware-Meldungen über Avira - FlowSurf - Teil 1
    Log-Analyse und Auswertung - 19.01.2015 (6)
  3. Kontextmenü fehler trotz Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 12.05.2014 (5)
  4. Adware trotz Windows 7 Neuinstallation
    Alles rund um Windows - 17.11.2013 (0)
  5. Trojaner trotz Windows neuinstallation NICHT vom PC entfernt
    Plagegeister aller Art und deren Bekämpfung - 14.08.2013 (2)
  6. PC langsam trotz neuinstallation
    Netzwerk und Hardware - 02.02.2013 (35)
  7. Facebook Virus trotz Neuinstallation?
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (2)
  8. Trojaner JVA/Agent.EX & diverse andere Viren trotz Schutzprogramm?
    Log-Analyse und Auswertung - 09.01.2012 (3)
  9. Trojaner trotz Neuinstallation? Was sagt ihr zu dieser .exe?
    Plagegeister aller Art und deren Bekämpfung - 25.03.2011 (5)
  10. Malware und co trotz Win7 Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 14.01.2010 (5)
  11. Virus trotz Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 10.05.2009 (3)
  12. Kontosperrung wegen WSNPOEM trojaner trotz Neuinstallation von XP
    Plagegeister aller Art und deren Bekämpfung - 08.11.2007 (9)
  13. trotz neuinstallation problem mit trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.06.2007 (1)
  14. Trojaner trotz Neuinstallation??
    Mülltonne - 21.04.2007 (3)
  15. nix internet trotz neuinstallation
    Alles rund um Windows - 29.01.2007 (3)
  16. Trojaner trotz Neuinstallation!!
    Plagegeister aller Art und deren Bekämpfung - 21.06.2005 (2)
  17. Wurm trotz Neuinstallation!!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (6)

Zum Thema Trotz Sicherer Neuinstallation diverse Trojaner Meldungen - Hallo, nachdem unglücklicherweise gestern meine 1. von 2 Festplatten abgeraucht ist (monatelang Viren- und Trojanerfrei) musste ich notgedrungen die 2. HDD formatieren und mit Windows beglücken. Alles lief normal, auch - Trotz Sicherer Neuinstallation diverse Trojaner Meldungen...
Archiv
Du betrachtest: Trotz Sicherer Neuinstallation diverse Trojaner Meldungen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.