Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner noch da?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.08.2007, 07:18   #1
mightymadmo
 
Trojaner noch da? - Standard

Trojaner noch da?



Hey,


ich habe gestern von Antivir 2 Trojaner gemeldet bekommen. Diese habe ich sofort gelöscht (dummerweise ohne mir den Namen der Trojaner aufzusschreiben).
Danach habe ich Hijackthis, Backlight und escan (im abgesicherten Modus) laufen lassen. Hier sind die Ergebnisse:

Backlight hat nichts gefunden, dafür aber Escan:
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.3.9 
Sprache: German 
G:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with spypal Spyware/Adware (G:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei C:\System Volume Information\_restore{5E402C4F-68DB-43DC-BD98-7D4753DF79F2}\RP1\A0001250.dll infiziert von "Trojan-Clicker.Win32.Agent.ac" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei G:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YETUPN3X\stats[1].htm infiziert von "Trojan-Downloader.VBS.Agent.n" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: G:\WINDOWS\system32\gdiplus.dll 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\ACROREAD\ACROREAD.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\MSDN\2003FEB\1031\dnexcl2k2.hxs nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme2\MATLAB6p5\java\jarext\mousewheel.jar nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
G:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 300460 
 Gefundene Viren: 6 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 106 
 Dauer des Scans bisher: 02:22:56 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart:  0:44:34,76 
Batchende:  0:45:08,06
         
und hier ist mein hijackthis-logfile:
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 17:50:09, on 24.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
C:\Programme2\Ahead\InCD\InCDsrv.exe
G:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
G:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
G:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\AntiVir PersonalEdition Classic\sched.exe
G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
G:\Programme\Bonjour\mDNSResponder.exe
C:\Programme2\Logitech\Easy Synchronization\servicestub.exe
C:\Programme2\Logitech\Easy Synchronization\LogitechEasySync.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\svchost.exe
G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\WINDOWS\SOUNDMAN.EXE
C:\Programme2\Logitech\SetPoint\LBTWiz.exe
C:\Programme2\Zone Labs\ZoneAlarm\zlclient.exe
G:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme2\Logitech\SetPoint\SetPoint.exe
G:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
G:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
G:\WINDOWS\System32\svchost.exe
C:\Programme2\Trillian\trillian.exe
C:\Programme2\Mozilla Firefox\firefox.exe
G:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme2\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme2\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme2\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme2\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme2\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ANIWZCS2Service] G:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [MSConfig] G:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - Startup: purge.cmd
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Append to existing PDF - res://C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme2\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - G:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - G:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - G:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme2\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme2\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: g:\programme\bonjour\mdnsnsp.dll
O12 - Plugin for .mpg: G:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185376949703
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme2\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - G:\Programme\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: LBTWlgn - g:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
O23 - Service: Adobe LM Service - Unknown owner - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - G:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - G:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - G:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - G:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme2\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - G:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - G:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: Logitech Easy Synchronization - Unknown owner - C:\Programme2\Logitech\Easy Synchronization\servicestub.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - G:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - G:\Programme\Windows Live\installer\WLSetupSvc.exe
         
Wie gehe ich nun richtig vor um die Plagegeister loszuwerden. Und wie groß ist derzeit das Gefährdungspotential?

Danke und Gruß

Moritz

Alt 25.08.2007, 13:58   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner noch da? - Standard

Trojaner noch da?



Hallo.

Hattest du nach diesem Rootkit-Befall den Rechner neu aufgesetzt?
__________________

__________________

Alt 15.09.2007, 19:16   #3
mightymadmo
 
Trojaner noch da? - Standard

Trojaner noch da?



Sorry für die späte Antwort. Bin gerade erst aus dem Urlaub wiedergekommen ;-)

Das war leider ein anderer Rechner. Erstaunlich welche Sielchen die Wahrscheinlichkeitsrechnung mit einem spielt...
Den anderen Rechner habe ich mittlerweile wieder neu aufgesetzt.

Sind die ERgebnisse aus diesem Thread den in Ordnung?

Gruß

Moritz
__________________

Antwort

Themen zu Trojaner noch da?
abgesicherten modus, antivir, avira, bonjour, computer, content.ie5, cyberlink, dateisystem, desktop, drivers, excel, fehler, festplatte, firefox, helper, hijack, hijackthis, hosts-datei, internet, internet explorer, maßnahme, mozilla, mozilla firefox, object, prozesse, registry, rundll, senden, software, solution, trojaner, trojaner gemeldet, unknown file in winsock lsp, viren, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Trojaner noch da?


  1. Pop up-gvu trojaner noch auf dem pc?
    Plagegeister aller Art und deren Bekämpfung - 10.01.2015 (10)
  2. Mein PC läuft nur noch sehr langsam, nicht mal AVIRA funktiomiert noch. Woran kann das liegen?
    Plagegeister aller Art und deren Bekämpfung - 29.10.2013 (5)
  3. Noch ein GVU Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.04.2013 (25)
  4. Und noch ein GVU-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 21.07.2012 (3)
  5. BKA/GVU Trojaner noch da?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (3)
  6. GVU Trojaner - Was noch zu tun ist
    Plagegeister aller Art und deren Bekämpfung - 26.06.2012 (3)
  7. BKA Trojaner 3.04 Systemwiederherstellung aktiviert noch Reste vom Trojaner vorhanden ?
    Log-Analyse und Auswertung - 09.04.2012 (22)
  8. Noch ein BKA Trojaner in XP
    Plagegeister aller Art und deren Bekämpfung - 09.08.2011 (6)
  9. Trojaner noch da? C Laufwerk noch unsichtbar
    Log-Analyse und Auswertung - 16.05.2011 (11)
  10. Trojaner noch da?
    Log-Analyse und Auswertung - 24.03.2011 (1)
  11. Trojaner noch da?
    Plagegeister aller Art und deren Bekämpfung - 09.03.2011 (11)
  12. Trojaner nach Formatierung immer noch vorhanden- Trojaner auf externer HD?
    Plagegeister aller Art und deren Bekämpfung - 30.12.2009 (11)
  13. Trojaner noch auf dem PC?
    Log-Analyse und Auswertung - 05.12.2009 (1)
  14. Trojaner noch da?
    Log-Analyse und Auswertung - 19.11.2009 (1)
  15. Ist der Trojaner noch da?
    Plagegeister aller Art und deren Bekämpfung - 23.05.2007 (3)
  16. Trojaner noch da?
    Log-Analyse und Auswertung - 02.05.2007 (1)
  17. Ist der Trojaner noch da?
    Log-Analyse und Auswertung - 14.11.2005 (1)

Zum Thema Trojaner noch da? - Hey, ich habe gestern von Antivir 2 Trojaner gemeldet bekommen. Diese habe ich sofort gelöscht (dummerweise ohne mir den Namen der Trojaner aufzusschreiben). Danach habe ich Hijackthis, Backlight und escan - Trojaner noch da?...
Archiv
Du betrachtest: Trojaner noch da? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.