Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Festplatte verseucht!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.03.2008, 13:43   #1
suto
 
Festplatte verseucht! - Standard

Festplatte verseucht!



Liebe Helfer!
Durch die Software Spywarefighter habe ich festgestellt, dass 200 Dateien infiziert sind. Kann leider mit dem Spywarefighter-bericht nicht viel anfangen.

Daher eine Bitte an euch:
könnt ihr auch meinen HijackThis Log-File durchsehen und mir sagen, wie ich den Infekt wegbekomme??!!

1000 Dank,
Suto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:38, on 18.03.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\WScript.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\Google Talk\googletalk.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Intec\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SERAFIN
F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\bmrhx.exe
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SERAFIN] C:\WINDOWS\SYSTEM32\SERAFIN.vbs
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [start uploading] smsss.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [start uploading] smsss.exe (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://s02.picserver.info/upload/ImageUploader3.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1082008.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O20 - Winlogon Notify: rlx5dom1 - rlx5dom1.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

--
End of file - 8839 bytes

Alt 18.03.2008, 14:02   #2
Franz1968
/// Helfer-Team
 
Festplatte verseucht! - Standard

Festplatte verseucht!



Holla die Waldfee,

dein System ist ziemlich hinüber, tut mir leid. Auf Anhieb sieht man einen Haxdoor-Eintrag
Zitat:
O20 - Winlogon Notify: rlx5dom1 - rlx5dom1.dll (file missing)
und die berüchtigte ntos.exe
Zitat:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\ntos.exe,
Da ist aber auch noch mehr.
Beide Schädlinge haben Backdoor-Funktionen. Die ntos.exe stiehlt darüber hinaus Login-Informationen (Online-Banking z.B.).

Du musst daher deinen Rechner umgehend vom Netz trennen und ihn nach dieser Anleitung neu aufsetzen. Danach (oder schon jetzt von einem anderen, definitiv sauberen Rechner aus) alle Kenn-/Passwörter (Online-Banking, ebay, E-Mail usw.) ändern.
__________________

__________________

Alt 18.03.2008, 14:18   #3
suto
 
Festplatte verseucht! - Standard

Festplatte verseucht!



vielen dank für die schnelle prüfung. nun bin ich natürlich beunruhigt und würde gerne den rechner meiner freundin prüfen lassen, da wir eine externe festplatte nutzen.

sieht es hier genauso schlimm aus?

danke nochmals.


logfile gelöscht

--
End of file - 10612 bytes
__________________

Geändert von suto (18.03.2008 um 15:03 Uhr)

Alt 18.03.2008, 14:31   #4
Franz1968
/// Helfer-Team
 
Festplatte verseucht! - Standard

Festplatte verseucht!



Was genau macht ihr mit der externen Festplatte? Welche Art Daten werden da ausgetauscht? Laufen die Rechner in einem Netzwerk?

Ich sehe vorerst nur einen Befall, ein Script, das du mit Hilfe dieses Postings entfernen kannst. In dem Posting ist die Rede von einer "schon erkannten vbs-Datei", das ist im Falle deiner Freundin die folgende:
Zitat:
C:\WINDOWS\SYSTEM32\SANNAS_TOSHIBA.vbs
Noch etwas zu deinem Rechner: Du verzichtest auf das Service Pack 2 für Windows XP und die nachfolgenden Updates. Dein Rechner ist damit sicherheitstechnisch auf dem Stand von vor fast vier Jahren. Damit öffnest du Schädlingen Tür und Tor.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 18.03.2008, 14:34   #5
suto
 
Festplatte verseucht! - Standard

Festplatte verseucht!



Die Festplatte beinhaltet Fotos aus Südostasien. Ich nehme mal an, dass wir uns daher die Trojaner und alles andere eingefangen haben..


Alt 18.03.2008, 14:44   #6
Franz1968
/// Helfer-Team
 
Festplatte verseucht! - Standard

Festplatte verseucht!



Ich fürchte eher, dass es eher an dem mangelhaften Patch-Stand deines Rechners liegt, denn dass Schädlinge in Bilddateien stecken, ist zwar nicht ausgeschlossen, aber doch unwahrscheinlich. (Es sei denn, ausführbare Dateien sind als Bilddateien getarnt.)
__________________
--> Festplatte verseucht!

Alt 23.03.2008, 14:47   #7
suto
 
Festplatte verseucht! - Standard

Festplatte verseucht!



vielen dank für die hilfe,
haben den rechner meiner freundin bearbeitet. könnt ihr nochmal nachsehen, ob es etwas anderes auffälliges gibt (ich vielleicht noch andere scann-programme drüberlaufen lassen sollte), oder ob alles ok ist?
lieben dank und frohe ostern!

(ps. wieso kann ich meinen ersten eintrag hier im forum nicht editieren??)

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Geändert von suto (23.03.2008 um 15:21 Uhr)

Alt 24.03.2008, 08:37   #8
suto
 
Festplatte verseucht! - Standard

Festplatte verseucht!



niemand da, der kurz einen blick werfen könnte??
ich würde mich seehr freuen!

daaanke!

Antwort

Themen zu Festplatte verseucht!
adobe, antivir, avira, bho, computer, drivers, einstellungen, excel, explorer, festplatte, firefox, google, hacked, hijack, hijackthis, hkus\s-1-5-18, infiziert, internet, internet explorer, konvertieren, log-file, mozilla, mozilla firefox, mozilla thunderbird, pdf, pdf-datei, software, system, temp, userinit.exe, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Festplatte verseucht!


  1. Festplatte beschädigt Das System hat mit einem oder mehreren installierten... Festplatte beschädigt
    Plagegeister aller Art und deren Bekämpfung - 16.02.2018 (27)
  2. Virusverdacht, will den Laptop platt machenVista>Windows 7) aber weiß nicht ob die ext. Festplatte verseucht ist
    Plagegeister aller Art und deren Bekämpfung - 07.09.2013 (31)
  3. sind daten auf externer festplatte nun auch verseucht?
    Plagegeister aller Art und deren Bekämpfung - 27.07.2012 (1)
  4. trojaner ''festplatte beschädigt - durch problem mit IDE/ SATA festplatte''
    Plagegeister aller Art und deren Bekämpfung - 18.05.2011 (3)
  5. Festplatte beschädigt Das System hat mit einem oder mehreren installierten... Festplatte beschädigt
    Plagegeister aller Art und deren Bekämpfung - 21.04.2011 (1)
  6. Virus autorun.inf auf Festplatte, externer Festplatte und USB
    Plagegeister aller Art und deren Bekämpfung - 15.02.2011 (20)
  7. Bin ich verseucht?
    Log-Analyse und Auswertung - 22.06.2009 (1)
  8. Bin ich verseucht ?
    Mülltonne - 31.08.2008 (0)
  9. a.exe verseucht!
    Mülltonne - 28.08.2008 (2)
  10. Verseucht!
    Plagegeister aller Art und deren Bekämpfung - 06.07.2008 (6)
  11. Verseucht
    Mülltonne - 27.08.2006 (1)
  12. Externe Festplatte verseucht !?
    Plagegeister aller Art und deren Bekämpfung - 20.07.2005 (1)
  13. Meine Festplatte immer noch verseucht mit vieren!!!
    Plagegeister aller Art und deren Bekämpfung - 15.01.2005 (11)
  14. meine neue Festplatte verseucht!!!
    Plagegeister aller Art und deren Bekämpfung - 07.01.2005 (51)
  15. Bin ich verseucht ?
    Log-Analyse und Auswertung - 14.12.2004 (13)
  16. [B]Festplatte über Trojaner Festplatte gekapert? Gibt´s denn sowas?[/B]
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (3)
  17. Verseucht....?!
    Log-Analyse und Auswertung - 31.08.2004 (6)

Zum Thema Festplatte verseucht! - Liebe Helfer! Durch die Software Spywarefighter habe ich festgestellt, dass 200 Dateien infiziert sind. Kann leider mit dem Spywarefighter-bericht nicht viel anfangen. Daher eine Bitte an euch: könnt ihr auch - Festplatte verseucht!...
Archiv
Du betrachtest: Festplatte verseucht! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.