Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HEUR/Malware

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.04.2008, 21:53   #1
Tyrann
 
HEUR/Malware - Standard

HEUR/Malware



Hallo zusammen,

also komme gleich zum Thema. Bin eigentlich davon ausgegangen, dass ich kein Virus im Rechner hab, aber als ich mein Pc eingeschaltet hab, kam dieser Trojaner Meldung von meinem Avira.

Hab eigentlich keine Probleme mitm pc, also fällt mir nichts auf..

Und bei mir laufen zu viele exe dateien, die manche unwichtig sind, z. B. svchost oder so... brauch ich die wirklich alle.. müssen die mitlaufen...

Bin dankbar für jede hilfe.. Danke danke im Voraus..

Logfile of HijackThis v1.97.7
Scan saved at 21:43:38, on 11.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.***/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.**
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.**/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.**
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.**
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.**
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.**
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.**
O2 - BHO: btorbit.*** - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTb.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Tofita] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Netlog 24] "C:\Programme\Netlog 24\Notifier\Netlog24Notifier.exe"
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.***/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.***/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.***/get/flashplayer/current/ultrashim.cab

Alt 11.04.2008, 22:04   #2
-SilverDragon-
 
HEUR/Malware - Standard

HEUR/Malware



Hallo erstmal.
Also: Die Svchost ist eine wichtige Systemdatei.
Svchost.exe ist ein generischer Hostprozessname für Dienste, die aus Dynamic-Link Libraries (DLLs) heraus ausgeführt werden.

Nicht wundern wenn mehrere Instanzen von Svchost laufen.
Die Svchost NICHT mit Prozessen wie scvhost oder syshost usw verwechseln, diese sind höchstwarscheinlich schädlich! Die svchost.exe muss in C:\Windows\system32 sein!

Lad dir mal das aktuelle HijackThis 2.0.2, deine Version ist veraltet.
__________________


Alt 11.04.2008, 22:16   #3
Tyrann
 
HEUR/Malware - Standard

HEUR/Malware



Hab ich gemacht fällt dir denn irgendwas auf ?? oder scheint alles ok zu sein

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:12:23, on 11.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis202.exe
C:\WINDOWS\system32\cidaemon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.***/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.**
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.**/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.**
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.**
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.**
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.**
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.**
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: btorbit.*** - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTb.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Tofita] C:\WINDOWS\winlogon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.***/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.***/binary/MessengerStatsClient.cab31267.cab
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5232 bytes
__________________

Alt 11.04.2008, 22:19   #4
Jaipur
 
HEUR/Malware - Standard

HEUR/Malware



Hallo,

Zitat:
Also: Die Svchost ist eine wichtige Systemdatei.
Absolut richtig :aplaus:.

Zitat:
C:\WINDOWS\winlogon.exe
Die winlogon.exe gehört eigentlich in den Ordner "C:\Windows.System32."

Bitte lasse die Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner überprüfen und poste hier das Ergebnis.

Gruß

Jaipur

Alt 11.04.2008, 22:26   #5
Tyrann
 
HEUR/Malware - Standard

HEUR/Malware



Ich finde die winlogon.exe Datei nicht ???

Im Taskmanger läuft sie aber konnte es im WINDOWS nicht entdecken.
Alle versteckten Ordner anzeigen... hab ich auch versucht aber da ist nichts... ??? komisch


Alt 11.04.2008, 22:52   #6
-SilverDragon-
 
HEUR/Malware - Standard

HEUR/Malware



Versuche im Task Manager Rechtsklick auf die winlogon.exe, und dann Dateipfad öffnen, Dann müsste es dir die Datei Markiert anzeigen, in dem entsprechenden Ordner, so geht es zum mindest bei Vista, ich weiß nicht genau ob es bei XP auch geht, wäre ganz Praktisch...

Alt 11.04.2008, 22:57   #7
Tyrann
 
HEUR/Malware - Standard

HEUR/Malware



Nein, geht leider nicht. Hab auch ein Vista.. aber der hier ist Windows XP.

bin verzweifelt...

Alt 12.04.2008, 12:44   #8
Tyrann
 
HEUR/Malware - Standard

HEUR/Malware



Ich hab mir heute CCleaner runtergeladen und beim durchsuchen von Ordner kam wieder von Avira ne Virus Meldung HEUR/Malware...

SERVER.EXE hieß es..

und was mir etz doch aufgefallen ist, ich bekomm dauert ne Meldung, das irgendein Programm den ich grad benutze defekt ist, bzw nicht richtig funktioniert..

CCleaner hab ich etz grad installiert, da kanns ja nicht sein, dass es nicht richtig funktioniert !!



Alt 12.04.2008, 15:17   #9
Tyrann
 
HEUR/Malware - Standard

HEUR/Malware



Ich hab Avira laufen lassen und hab den Virus gefunden..

Hab vor 2-3 Wochen von einem Freund ein Lied geschickt bekommen...

C:\Dokumente und Einstellungen\Selin\Lokale Einstellungen\Temp\SERVER.EXE

C:\Dokumente und Einstellungen\Selin\Desktop\Incesaz - Çok Asigin Var Diyorlar\Incesaz - Çok Asigin Var Diyorlar.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4863a164.qua' verschoben!
C:\Dokumente und Einstellungen\Selin\Lokale Einstellungen\Temp\SERVER.EXE
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4852a535.qua' verschoben!


Meine Frage jetzt an euch. Das ist doch nur ein MP3-Song... warum steht da ne exe datei ???

und noch ne frage..

ALs ich unter C:\Dokumente und Einstellungen\Selin\Lokale Einstellungen\Temp nach geschaut habe, habe ich viele alte Fotos gefunden, die ich schon seit langem gelöscht hatte...

Wozu dient dieser Ordner denn ??

Anscheinend wollte er unbefugt in mein Rechner rein, daher auch dieser Server.exe ??????? das gibt Rache

kann mir denn keiner helfen... will nur mit meiner Theorie bestätigt werden

Alt 12.04.2008, 18:22   #10
Jaipur
 
HEUR/Malware - Standard

HEUR/Malware



Zitat:
Hab vor 2-3 Wochen von einem Freund ein Lied geschickt bekommen...

C:\Dokumente und Einstellungen\Selin\Lokale Einstellungen\Temp\SERVER.EXE
Also eine MP3 Datei ist das mit Sicherheit nicht. Sende die Datei aus der Quarantäne an AVIRA und warte die dortige Auswertung ab.

Gruß

Jaipur

Alt 18.04.2008, 16:11   #11
-SilverDragon-
 
HEUR/Malware - Standard

HEUR/Malware



Hallo

Falls du noch fragen hast, wo die winlogon.exe herkommt, ich weiß jetzt wie man den Ort wo die gespeichert ist findet.
Lad dir Blacklight---> Hier

Dann lass es erstmal suchen und gehe danach daneben auf den Button show all processes. In der Liste suchst du die winlogon.exe und doppelklickst drauf, da zeigt es dir unter Anderem den Speicherort an (blau hervorgehoben).

Antwort

Themen zu HEUR/Malware
antivir, bho, desktop, downloader, ebay, einstellungen, exe, exe dateien, explorer, firefox, heulen, heur/malware, hijack, hijackthis, home, internet, internet explorer, microsoft, mozilla, mozilla firefox, programme, rundll, software, svchost, system, trojaner, virus, windows, windows xp



Ähnliche Themen: HEUR/Malware


  1. email link Malware Funde Heur.PE@4294967295, Malware@#nwdk01o66rpro, Malware@#2x6qrvr63cjrw
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (10)
  2. AntiVir hat Malware gefunden; HEUR/HTML.Malware
    Plagegeister aller Art und deren Bekämpfung - 17.12.2011 (3)
  3. Malware Trace, HEUR/HTML.Malware
    Log-Analyse und Auswertung - 02.12.2011 (30)
  4. werde Malware nicht los z.B. HEUR/HTML.Malware [heuristic
    Log-Analyse und Auswertung - 31.03.2010 (10)
  5. Malware Problem HEUR/HTML.Malware
    Log-Analyse und Auswertung - 29.03.2010 (1)
  6. HEUR/Malware?
    Plagegeister aller Art und deren Bekämpfung - 01.09.2009 (6)
  7. EXP/ASF.GetCodec.Gen,HEUR/HTML.Malware,TR/Dropper.Gen,HEUR/HTML.Malware
    Plagegeister aller Art und deren Bekämpfung - 10.04.2009 (17)
  8. HEUR/Malware
    Plagegeister aller Art und deren Bekämpfung - 22.03.2009 (13)
  9. HEUR/malware
    Mülltonne - 10.11.2008 (0)
  10. heur/malware
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (3)
  11. heur/malware
    Mülltonne - 08.11.2008 (0)
  12. Spy Eraser findet Adware.CWS, Malware - Avira findet HEUR/HTML.Malware
    Log-Analyse und Auswertung - 20.10.2008 (1)
  13. SN4359887082.vbn HEUR/heur.Malware
    Plagegeister aller Art und deren Bekämpfung - 03.07.2008 (7)
  14. HEUR/Malware
    Plagegeister aller Art und deren Bekämpfung - 15.01.2007 (3)
  15. Heur/Malware
    Plagegeister aller Art und deren Bekämpfung - 31.12.2006 (15)
  16. HEUR/Malware
    Plagegeister aller Art und deren Bekämpfung - 13.12.2006 (2)
  17. Heur/Malware - was ist das?
    Plagegeister aller Art und deren Bekämpfung - 16.10.2006 (8)

Zum Thema HEUR/Malware - Hallo zusammen, also komme gleich zum Thema. Bin eigentlich davon ausgegangen, dass ich kein Virus im Rechner hab, aber als ich mein Pc eingeschaltet hab, kam dieser Trojaner Meldung von - HEUR/Malware...
Archiv
Du betrachtest: HEUR/Malware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.