Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Spy.Goldun.QP Logfile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 15.09.2007, 17:59   #1
baumdeva
 
TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Hallo,

AV hat gemeldet, den im Betreff genannten Trojaner gefunden zu haben. Nun brauche ich Hilfe zur Auswertung des Logfiles. Danke schon mal.


Logfile of HijackThis v1.99.1
Scan saved at 18:51:25, on 15.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Quark\QuarkXPress Passport\QuarkXPress Passport.exe
C:\Programme\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Alt 15.09.2007, 18:30   #2
.::|||::.
 

TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Zitat:
Zitat von baumdeva Beitrag anzeigen
AV hat gemeldet, den im Betreff genannten Trojaner gefunden zu haben.
AV=Antivir Classic?
Dein Log sieht sauber aus!
Wo wurde der Schädling denn gefunden?
Mfg
__________________

__________________

Alt 15.09.2007, 18:38   #3
baumdeva
 
TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Hi,
ja AV ist AntiVir Classic. Das schickte mir folgende Meldung:

In der Datei 'C:\Dokumente und Einstellungen\sarinchen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLK50FWJ\nsp1[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Goldun.QP' [TR/Spy.Goldun.QP] gefunden.
Ausgeführte Aktion: Zugriff verweigern

und

In der Datei 'C:\U.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Goldun.QP' [TR/Spy.Goldun.QP] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Ich habe alle Ordner, die den Namen IE5 enthielten, gelöscht und auch sonst alles andere, was ich an IE-Resten noch auf dem Computer gefunden habe, da ich den sowieso nicht nutze. Den CCleaner habe ich drüberlaufen lassen, AV und AVG scannen lassen, da wurde schon nichts mehr gefunden. Aber das kann doch nicht so einfach sein?
__________________

Alt 15.09.2007, 18:50   #4
.::|||::.
 

TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Zitat:
Zitat von baumdeva Beitrag anzeigen
Aber das kann doch nicht so einfach sein?
Evt. schon.
Konfiguriere Antivir mal Bitte so wie hier und mache noch einen Komplettscan!
Die U.exe ist nun weg, oder?
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 15.09.2007, 18:57   #5
baumdeva
 
TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Ach, das wär schön

Ok, ich lass den AV dann mal nach den Angaben arbeiten, wird aber eine Weile dauern, vermute ich.

Die U.exe kann ich zumindest nicht sehen.


Alt 15.09.2007, 20:07   #6
baumdeva
 
TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



So, hier habe ich den AV-Bericht. Seltsam finde ich die Meldungen aus der Inbox. Dort kann ich die angegebenen Mails nämlich nicht finden.




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 15. September 2007 20:06

Es wird nach 1070955 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: xxx
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: xxx
Computername: xxx

Versionsinformationen:
BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 05.09.2007 18:59:48
AVSCAN.DLL : 7.0.6.0 57384 Bytes 05.09.2007 18:59:48
LUKE.DLL : 7.0.5.3 147496 Bytes 05.09.2007 18:59:48
LUKERES.DLL : 7.0.6.0 10792 Bytes 05.09.2007 18:59:48
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:46
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 19:32:52
ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12.09.2007 22:26:10
ANTIVIR3.VDF : 6.39.1.133 109568 Bytes 14.09.2007 18:38:58
AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 13.09.2007 22:26:10
AVWINLL.DLL : 1.0.0.7 14376 Bytes 19.04.2007 22:25:14
AVPREF.DLL : 7.0.2.2 25640 Bytes 05.09.2007 18:59:48
AVREP.DLL : 7.0.0.1 155688 Bytes 19.04.2007 22:25:16
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 20:51:42
AVREG.DLL : 7.0.1.6 30760 Bytes 05.09.2007 18:59:48
AVARKT.DLL : 1.0.0.20 278568 Bytes 05.09.2007 18:59:46
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 05.09.2007 18:59:46
NETNT.DLL : 7.0.0.0 7720 Bytes 19.04.2007 22:25:16
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 05.09.2007 18:59:40
RCTEXT.DLL : 7.0.62.0 90152 Bytes 05.09.2007 18:59:40
SQLITE3.DLL : 3.3.17.1 339968 Bytes 05.09.2007 18:59:50

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 15. September 2007 20:06

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FIREFOX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'GUARD.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'anbmServ.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinPatrol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Logi_MwX.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Lexpps.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'LexBceS.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSMON.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '0' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0005
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0005

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\77tkbykh.default\Mail\bscsp.de\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: "Rosanne Walden" <ytcfpjbdwxb@zoom-tech.com>][Subject: re: plugin][Message-ID: <20070901092336.A1DA217812A@p15112250.pureserve]2.mim
[1] Archivtyp: MIME
--> plug.exe
[FUND] Ist das Trojanische Pferd TR/PSW.OnLineGames.aci.98
--> Mailbox_[From: "Bradford Daley" <ymoyalw@pavement-ends.com>][Subject: re: plugin][Message-ID: <20070901123341.B9106178129@p15112250.pureserve]4.mim
[1] Archivtyp: MIME
--> plug.exe
[FUND] Ist das Trojanische Pferd TR/PSW.OnLineGames.aci.98
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\77tkbykh.default\Mail\bscsp.de\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: "Rosanne Walden" <ytcfpjbdwxb@zoom-tech.com>][Subject: re: plugin][Message-ID: <20070901092336.A1DA217812A@p15112250.pureserve]586.mim
[1] Archivtyp: MIME
--> plug.exe
[FUND] Ist das Trojanische Pferd TR/PSW.OnLineGames.aci.98
--> Mailbox_[From: "Bradford Daley" <ymoyalw@pavement-ends.com>][Subject: re: plugin][Message-ID: <20070901123341.B9106178129@p15112250.pureserve]588.mim
[1] Archivtyp: MIME
--> plug.exe
[FUND] Ist das Trojanische Pferd TR/PSW.OnLineGames.aci.98
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird\Profiles\77tkbykh.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <9D6364BE.0057711@c2i.net>][From: Martin Badorrek <sales@earthcam.com>][Subject: Die Revolution im Netz des lebhaften Video. Seh]8446.mim
[1] Archivtyp: MIME
--> ecplayer.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Nurech.AK
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <ACERDATA>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 15. September 2007 20:59
Benötigte Zeit: 52:35 min

Der Suchlauf wurde vollständig durchgeführt.

6452 Verzeichnisse wurden überprüft
290110 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
290105 Dateien ohne Befall
21248 Archive wurden durchsucht
6 Warnungen
22 Hinweise

Alt 16.09.2007, 10:01   #7
.::|||::.
 

TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Und wie siehts mit dem Ordner "gelöschte Objekte" oder "Trash" aus?
Ist dort noch was übrig?
Zitat:
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
Und wieso löscht Antivir die fragwürdigen Dateien nicht?
Ausgeführt hast du wohl keinen der Anhänge aus den Mails, oder?
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 16.09.2007, 10:44   #8
baumdeva
 
TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Ich habe den Papierkorb geleert und anschließend nochmal gescannt. Die Trojaner aus der Inbox hat AV wieder gemeldet, obwohl die Dateien eindeutig im Papierkorb lagen und nun gelöscht waren. Gelöscht hat AV nicht, "um die Mailfunktion nicht zu beeinträchtigen" oder so ähnlich.

Nein, ausgeführt habe ich keine Anhänge, normalerweise gehen solche Mails ungeöffnet direkt in den Papierkorb. Es kann aber sein, dass ich die betreffenden Mails geöffnet habe.

Ich habe die Inbox jetzt mal komplett in Quarantäne gestellt und mache noch einen Scan. Glücklicherweise ist das ein Mailkonto, das ich nicht dringend brauche.

Alt 16.09.2007, 11:51   #9
baumdeva
 
TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Nach dem letzten Scan findet AV nun einen Trojaner in der Inbox der Local Folders - und die lässt sich nicht in Quarantäne stellen (keine Ahnung warum). Und jetzt?
Ich finde auch keine Möglichkeit, irgendwas zu repaieren o. Ä.


C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\sarinchen\Anwendungsdaten\Thunderbird\Profiles\77tkbykh.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <9D6364BE.0057711@c2i.net>][From: Martin Badorrek <sales@earthcam.com>][Subject: Die Revolution im Netz des lebhaften Video. Seh]8446.mim
[1] Archivtyp: MIME
--> ecplayer.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Nurech.AK
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'D:\' <ACERDATA>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Alt 16.09.2007, 14:42   #10
.::|||::.
 

TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Hmmm...
Naja, zumindest stellt der Trojaner keine aktive Bedrohung mehr dar...
Du kannst dir ja mal Kilbox holen und bei "Files to delete" folgendes schreiben:
Zitat:
C:\Dokumente und Einstellungen\sarinchen\Anwendungsdaten\Thunderbird\Profiles\77tkbykh.default\Mail\Local Folders\Inbox\8446.mim
-->Bitte ohne den Abstand bei "Thunderbird".
Vll, wird das File dann ja gelöscht!
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 16.09.2007, 17:41   #11
baumdeva
 
TR/Spy.Goldun.QP Logfile - Standard

TR/Spy.Goldun.QP Logfile



Das mit Kilbox werde ich dann mal probieren.

Kann es sein, dass diese Mails mit dem Trojaner einen "Abdruck" im Eingangsordner hinterlassen haben? Ich habe die aufgeführten Mails im Papierkorb gefunden, aber zuerst waren sie natürlich im Posteingang.

Danke jedenfalls schon mal für die Hilfe!

Antwort

Themen zu TR/Spy.Goldun.QP Logfile
adobe, antivir, auswertung, avg, avira, bho, cyberlink, dateien, excel, explorer, hijack, hijackthis, internet, internet explorer, logfile, magix, microsoft, monitor, notebook, programme, software, solution, system, trojaner, trojaner gefunden, windows, windows xp, winlogon



Ähnliche Themen: TR/Spy.Goldun.QP Logfile


  1. spy.goldun.ks.4
    Plagegeister aller Art und deren Bekämpfung - 06.03.2007 (13)
  2. win32.TrojanSpy.goldun / logger.Goldun.nj
    Plagegeister aller Art und deren Bekämpfung - 29.12.2006 (1)
  3. Trojan-Spy.Win32.Goldun.nj
    Log-Analyse und Auswertung - 18.12.2006 (1)
  4. Trojaner TR/Spy.Goldun.ML
    Plagegeister aller Art und deren Bekämpfung - 08.12.2006 (3)
  5. TR/Spy.goldun.ml iexplorer.exe
    Log-Analyse und Auswertung - 06.12.2006 (13)
  6. TR/Spy.Goldun.ML in Iexplorer.exe
    Log-Analyse und Auswertung - 06.12.2006 (1)
  7. Spy.Goldun.ML
    Plagegeister aller Art und deren Bekämpfung - 06.12.2006 (3)
  8. Trojaner Spy Goldun ML
    Plagegeister aller Art und deren Bekämpfung - 06.12.2006 (24)
  9. IExplorer.exe spy.goldun.ml
    Plagegeister aller Art und deren Bekämpfung - 06.12.2006 (1)
  10. PSW.Goldun.DC - ein übles biest
    Plagegeister aller Art und deren Bekämpfung - 11.05.2006 (1)
  11. TR/Spy.Goldun.CF.1
    Plagegeister aller Art und deren Bekämpfung - 10.04.2006 (4)
  12. TR/Goldun..Click..usw. Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 07.04.2006 (4)
  13. trojan.goldun
    Plagegeister aller Art und deren Bekämpfung - 23.02.2006 (1)
  14. Spy Goldun.de.1 will nicht weg
    Plagegeister aller Art und deren Bekämpfung - 30.10.2005 (1)
  15. win32.goldun.bn
    Plagegeister aller Art und deren Bekämpfung - 20.10.2005 (10)
  16. Trojan-Spy.Win32.Goldun.bn
    Mülltonne - 19.10.2005 (1)
  17. Trojan.Goldun , siren.dll
    Plagegeister aller Art und deren Bekämpfung - 19.10.2005 (6)

Zum Thema TR/Spy.Goldun.QP Logfile - Hallo, AV hat gemeldet, den im Betreff genannten Trojaner gefunden zu haben. Nun brauche ich Hilfe zur Auswertung des Logfiles. Danke schon mal. Logfile of HijackThis v1.99.1 Scan saved at - TR/Spy.Goldun.QP Logfile...
Archiv
Du betrachtest: TR/Spy.Goldun.QP Logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.