Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: wieder ein virus

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.11.2007, 12:28   #1
*Krawall$chachtel*
 
wieder ein virus - Standard

wieder ein virus



hallo, naja habe grader erst nen trojan downloader entfernt und schon hat man nen neuen schädlich drauf...
hatte gestern mein system neu aufgesetzt, und da muss es passiert sein. Kaspersky lässt mich nicht in ruhe, also muss wirklich was draufsein...weis aber auch nicht genau, was es ist...das ding muss sich ma wieder in der svchost verankert haben, das er diese exe stopt und als virus erkent und es steht als beschreibung invador..

hier ist schon mal mein HijackThis logfile, escan folgt...

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Geändert von *Krawall$chachtel* (10.11.2007 um 12:38 Uhr)

Alt 10.11.2007, 12:41   #2
MightyMarc
 
wieder ein virus - Standard

wieder ein virus



Zitat:
Zitat von *Krawall$chachtel* Beitrag anzeigen
Kaspersky lässt mich nicht in ruhe, also muss wirklich was draufsein...weis aber auch nicht genau, was es ist...
Ich denke potentiellen Helfern könnte es weiterhelfen, wenn Du exakt beschreiben würdest mit was Dich Kaspersky auf welche Weise penetriert.

Gruß

Marc
__________________

__________________

Alt 10.11.2007, 12:45   #3
*Krawall$chachtel*
 
wieder ein virus - Standard

wieder ein virus



also. ich hatte davor nen onlinescan mit kaspersky gemacht hier der post, ich mache grad noch einen scan mit dem programm, da kaspersky mir die ohren mit volgenden meldungen vorheult:
explorer.exe, services.exe, svchost.exe sollen mit einem "invader" befallen sein...

hier ein beispiel, was dasteht bei der svchost:
10.11.2007 13:14:15 Prozess C:\WINDOWS\System32\svchost.exe, gefunden: potentiell gefährliche Software 'Invader' (Modifikation).
10.11.2007 13:14:15 Prozess C:\WINDOWS\System32\svchost.exe (PID: 1544): Versuch zum Eindringen in einen anderen Prozess erlaubt.


log von kasp.:

-------------------------------------------------------------------------------
Code:
ATTFilter
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Samstag, 10. November 2007 12:00:37
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken: 10/11/2007
 Anzahl der Einträge in den Antiviren-Datenbanken: 455919
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
	C:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 41300
	Viren gefunden: 1
	Infizierte Objekte gefunden: 1
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 00:53:22

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\ICQ\338215937\Messages.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\ICQ\338215937\Owner.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\ICQ\Application.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Temp\~DFF73C.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007111020071111\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{5FE14484-11D5-4591-831A-1243DFE5B37E}\RP18\A0004977.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.NetCat	übersprungen
C:\System Volume Information\_restore{5FE14484-11D5-4591-831A-1243DFE5B37E}\RP27\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{E5FCFB80-2B7A-4FC9-BC35-53621F3ABAA3}.bin	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\sptd.sys	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         
wie aus dem file hervorgeht hab ich den hier drinne: RemoteAdmin.Win32.NetCat

und hier escan:

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK 
    
eScan Version: 9.5.4 
Sprache: German 
Virus-Datenbank Datum: 11/8/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\icq\bart\1024 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKCR\magnet !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 41518 
 Gefundene Viren: 2 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 3 
 Dauer des Scans bisher: 00:21:22 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Aktiviert 
 Überprüfung aller Festplatten :Deaktiviert 
 
Batchstart: 13:46:42,62 
Batchende: 13:46:45,34
         
__________________

Geändert von *Krawall$chachtel* (10.11.2007 um 13:14 Uhr)

Alt 10.11.2007, 13:34   #4
*Krawall$chachtel*
 
wieder ein virus - Standard

wieder ein virus



hier hab ich nen screen von dem was kaspersky sagt, habe die objekte in die sichere zone reingenommen, sonst kann man hier ja nimehr arbeiten...
Miniaturansicht angehängter Grafiken
wieder ein virus-unbenannt.jpg  

Alt 12.11.2007, 17:25   #5
*Krawall$chachtel*
 
wieder ein virus - Standard

wieder ein virus



tolle wurst...naja dann halt ni, ich such mir woanders hilfe...
verwarn ma schnell noch woanders...hättest ja wenigstens was informatifes dalassen können, wie zum beispiel hilfe..



Antwort

Themen zu wieder ein virus
angezeigt, aufgesetzt, beschreibung, downloader, entfernt, escan, exe, gestern, hijack, hijackthis, hijackthis logfile, kaspersky, links, loader, logfile, micro, neu aufgesetzt, neue, neuen, svchost, system, system neu, trend, trend micro, troja, trojan, trojan downloader, virus, wirklich



Ähnliche Themen: wieder ein virus


  1. Schon wieder GVU Virus
    Plagegeister aller Art und deren Bekämpfung - 17.06.2013 (31)
  2. Akm-Virus! Wie werde ich den wieder los?
    Log-Analyse und Auswertung - 07.09.2012 (5)
  3. Mal wieder ein Virus?
    Plagegeister aller Art und deren Bekämpfung - 14.04.2012 (20)
  4. Und wieder der 50€ Virus....
    Plagegeister aller Art und deren Bekämpfung - 10.04.2012 (61)
  5. Mal wieder BKA Virus..
    Plagegeister aller Art und deren Bekämpfung - 24.03.2012 (1)
  6. schon wieder 50 € virus
    Log-Analyse und Auswertung - 21.02.2012 (3)
  7. Msn Virus wieder einmal
    Alles rund um Windows - 20.08.2010 (4)
  8. MSN Virus wie ENTFERNE ich den wieder?
    Plagegeister aller Art und deren Bekämpfung - 03.07.2010 (18)
  9. Und wieder der ICQ & MSN Virus. 'Wie findest du das Foto?'
    Plagegeister aller Art und deren Bekämpfung - 10.06.2010 (9)
  10. Wieder Hartnäckiger virus!
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (1)
  11. schon wieder Virus??
    Plagegeister aller Art und deren Bekämpfung - 15.07.2009 (2)
  12. schon wieder virus???
    Antiviren-, Firewall- und andere Schutzprogramme - 10.07.2009 (1)
  13. Virus kommt wieder
    Log-Analyse und Auswertung - 11.01.2009 (0)
  14. [Windows XP] mal wieder Virus
    Plagegeister aller Art und deren Bekämpfung - 29.07.2008 (10)
  15. Nicht schon wieder,Virus?!?!?!?!
    Plagegeister aller Art und deren Bekämpfung - 16.06.2008 (6)
  16. Virus ? Schon wieder?
    Log-Analyse und Auswertung - 02.12.2005 (3)
  17. Mal wieder einen neuen Virus!
    Log-Analyse und Auswertung - 18.12.2004 (3)

Zum Thema wieder ein virus - hallo, naja habe grader erst nen trojan downloader entfernt und schon hat man nen neuen schädlich drauf... hatte gestern mein system neu aufgesetzt, und da muss es passiert sein. Kaspersky - wieder ein virus...
Archiv
Du betrachtest: wieder ein virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.