Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner-Meldung von Avira

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.11.2007, 20:52   #1
RosaBauer
 
Trojaner-Meldung von Avira - Standard

Trojaner-Meldung von Avira



Hallo,

nachdem mein Virenscanner AVIRA heute beim versuchten Zugriff auf eine Webseite einen Fund (HTML/Crypted.Gen) gemeldet hat, hab ich "Zugriff verweigern" ausgewählt. Ich bin dann auf dieses Forum gestoßen und habe versucht (als PC technischer Laie...*stöhn*) alle "Anweisungen" (HiJack + EScan) zu befolgen. Nach dem ersten Versuch HiJack umzubenennen, bekam ich wieder eine Virenwarnung (diesmal in Quarantäne geschickt), ich habs ein zweites Mal probiert - wieder das Gleiche. Dann bin ich hier im Forum auf einen anderen Link gestoßen und habe HiJack als zip runtergeladen und umbenannt, da gab es keine Warnung.

AVIRA hat also momentan zwei Funde in Quarantäne (HIDDENEXT/Crypted). Mit dem gesicherten Modus wusste ich ehrlich gesagt nicht so recht, wie ich das machen soll und habe den EScan und Hijack so durchgeführt. Hier die Ergebnisse:

EScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/20/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\nettopro\autos
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 37890
Gefundene Viren: 2
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 125
Dauer des Scans bisher: 00:06:21
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 21:09:19,26
Batchende: 21:09:24,45


HiJack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:27:30, on 20.11.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
D:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe
D:\programme\sicherheit\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Sicherheit\Spybot2\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\NCLAUNCH.EXe
D:\Programme\Internet\fritzdsl\StCenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
d:\programme\internet\fritzdsl\IGDCTRL.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
D:\Programme\Internet\Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
D:\Programme\Packprogramme\ALZip\ALZip.exe
D:\Programme\Internet\HiJack\pruefung.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.audible.de/adde/store/welcome.jsp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [LyraHD2TrayApp] "D:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\programme\sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Sicherheit\Spybot2\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\Internet\fritzdsl\StCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\programme\internet\fritzdsl\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5500 bytes


Ich hoffe, ich habe alles richtig gemacht. Mich wundert, dass als Browser Internet Explorer aufgeführt wird, ich benutze aber Firefox 2.0.0.8.

Kann mir jemand helfen? Was soll ich weiter tun?

Danke und viele Grüße,
Rosa

Alt 20.11.2007, 22:25   #2
RosaBauer
 
Trojaner-Meldung von Avira - Standard

Trojaner-Meldung von Avira



Hallo nochmal,

hab leider nicht rausgefunden, wie ich meinen Beitrag editieren kann...

Ich hatte beim ersten Mal den eScan versehentlich nicht auf allen Festplatten durchgeführt. Nachfolgend nun die aktuelle Auswertung:

eScan


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/20/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Claudia Kern\Recent\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Claudia Kern\Anwendungsdaten\nettopro\autos
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 78492
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 140
Dauer des Scans bisher: 00:33:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:11:07,95
Batchende: 23:11:20,12


Hoffe, es stimmt jetzt.

Danke nochmal im voraus und viele Grüße,
Rosa
__________________


Antwort

Themen zu Trojaner-Meldung von Avira
antivir, avira, bho, browser, cyberlink, dateisystem, dll, drivers, einstellungen, explorer, fehler, firefox, hijack, hijackthis, hkus\s-1-5-18, hosts-datei, internet, internet explorer, maßnahme, monitor, nvidia, object, outlook express, prozesse, quara, registry, registry key, rundll, s-1-5-18, scan, sicherheit, software, thomson, trend micro, warnung, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Trojaner-Meldung von Avira


  1. Abstürzen einige Minuten nach Start, Bildschirm schwarz, kurzer Surrton, Avira Meldung: avira.systray.exe ungültiges Bild
    Plagegeister aller Art und deren Bekämpfung - 26.09.2015 (5)
  2. Win 8.1, Browser-Werbefester-"Gewitter" und Trojaner(?)-Meldung von Avira
    Plagegeister aller Art und deren Bekämpfung - 26.12.2014 (4)
  3. Avira Trojaner Meldung bei Steam start! (TR/Dropper.Gen)
    Plagegeister aller Art und deren Bekämpfung - 01.06.2014 (13)
  4. Windows 7 Avira Meldung Bitguard
    Plagegeister aller Art und deren Bekämpfung - 26.01.2014 (16)
  5. Avira-Meldung TR/Fakeadb.A
    Log-Analyse und Auswertung - 11.09.2013 (13)
  6. TR/Dropper.gen Meldung über Avira
    Plagegeister aller Art und deren Bekämpfung - 24.08.2013 (15)
  7. Zuerst Avira Trojaner-Meldung, dann PUP.Blabbers - was tun?
    Plagegeister aller Art und deren Bekämpfung - 05.04.2013 (1)
  8. Laptop bootet nach Trojaner Meldung (Avira) nicht mehr, Start von Win XP CD nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 12.11.2012 (1)
  9. avira meldung EXP/08-5353.AJ
    Plagegeister aller Art und deren Bekämpfung - 02.11.2012 (32)
  10. Avira meldet Trojaner... wie werde ich das los? Meldung: TR/Rogue.kdv.651763
    Log-Analyse und Auswertung - 26.06.2012 (3)
  11. Avira Meldung: TR/Small.FI und TR/sirefef.ag.35
    Log-Analyse und Auswertung - 18.06.2012 (2)
  12. Avira Trojaner Meldung TR/PSW Z Bot.Y379
    Log-Analyse und Auswertung - 03.05.2012 (7)
  13. Avira Trojaner Meldung TR/PSW Z Bot.Y379
    Mülltonne - 01.05.2012 (1)
  14. Verwirrende Avira-Meldung -_-"?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (1)
  15. Avira Meldung cryptnet32.dll
    Plagegeister aller Art und deren Bekämpfung - 25.03.2011 (28)
  16. Alle 5 Minuten Trojaner Meldung über Avira AntiVir
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (48)
  17. Avira Meldung
    Log-Analyse und Auswertung - 13.03.2009 (2)

Zum Thema Trojaner-Meldung von Avira - Hallo, nachdem mein Virenscanner AVIRA heute beim versuchten Zugriff auf eine Webseite einen Fund (HTML/Crypted.Gen) gemeldet hat, hab ich "Zugriff verweigern" ausgewählt. Ich bin dann auf dieses Forum gestoßen und - Trojaner-Meldung von Avira...
Archiv
Du betrachtest: Trojaner-Meldung von Avira auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.