Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Monder.33280.1

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.06.2008, 20:43   #1
AlexXx07
 
TR/Monder.33280.1 - Standard

TR/Monder.33280.1



Hi,

So wo fange ich an ich hatte vor 1ner woche den msn Virus gehabt den habe ich aber nach 3 Stunden entfernt und dannach 2x einen kompletten viren scann gemacht(antivir) alle entfernt!

so und jetzt das problem irgendwie bekokomme ich immer noch viren funde von
monder...

In der Datei 'C:\System Volume Information\_restore{BD597DEF-14BC-4AA4-8CE7-C3B19FEA962C}\RP301\A0073951.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Monder.33280.1' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

kann mir da jemand helfen? =(
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:28, on 17.06.2008
Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Razer\CopperHead\razerhid.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\mdm.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Razer\CopperHead\razerofa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\AlexXx\Desktop\Desktop\MSD 0.651\MSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\AlexXx\Desktop\STM.exe
C:\DOKUME~1\AlexXx\LOKALE~1\Temp\RarSFX2\TaskMan.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 216.66.69.83 l2authd.lineage2.com
O1 - Hosts: 216.107.250.194 nprotect.lineage2.com
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\CopperHead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211049906968
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211049893531
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 10188 bytes

Alt 17.06.2008, 21:36   #2
BIOTEC
 
TR/Monder.33280.1 - Standard

TR/Monder.33280.1



Hi!

Ich würde mal sagen, das der in einem Wiederherstellungspunkt liegt....

Was heisst, wenn du diesen Punkt wiederherstellst, ist auch der Virus wieder da...

Ich würde mal die Systemwiederherstellung ganz abschalten und dann wieder aktivieren....dann sind alle Wiederherstellungspunkte gelöscht und der Trojaner sollte dann auch weg sein...

ABER: Warte lieber noch, was die PROFIS hier meinen...vieleicht denken die ja auch so wie ich!

Gruss BIOTEC
__________________


Alt 17.06.2008, 21:59   #3
Rami4ever
 
TR/Monder.33280.1 - Standard

TR/Monder.33280.1



Lol kein Entkommen.
Warte noch ein wenig länger und der Virus verbreitet sich.
Ja sogar im Java Ordner und anscheinend betreibt der irgendwie Verkehr und kriegt dann auch Kinder wie TR/FindVm.S
Warum ich mich mit dem Monder auskenne?
Hatte das gleiche vor 2 TAgen weil mein erbärmlicher Bruder einen Link von MSN geklickt hat -.-
Musste neu aufsetzen...
Ich hab alles versucht.Autostarteinträge löschen->wurden im selben Moment wieder eingetragen.
Mit Hijack fixen->Nach neuem Scan wieder da.
Im SAFEMODE Avira laufen lassen--->hat zwar gefunden aber konnten nicht gelöscht werden....
__________________

Alt 18.06.2008, 15:33   #4
AlexXx07
 
TR/Monder.33280.1 - Standard

TR/Monder.33280.1



Zitat:
Zitat von Rami4ever Beitrag anzeigen
Lol kein Entkommen.
Warte noch ein wenig länger und der Virus verbreitet sich.
Ja sogar im Java Ordner und anscheinend betreibt der irgendwie Verkehr und kriegt dann auch Kinder wie TR/FindVm.S
Warum ich mich mit dem Monder auskenne?
Hatte das gleiche vor 2 TAgen weil mein erbärmlicher Bruder einen Link von MSN geklickt hat -.-
Musste neu aufsetzen...
Ich hab alles versucht.Autostarteinträge löschen->wurden im selben Moment wieder eingetragen.
Mit Hijack fixen->Nach neuem Scan wieder da.
Im SAFEMODE Avira laufen lassen--->hat zwar gefunden aber konnten nicht gelöscht werden....

Neu aufsetzen oh neein das ist das letzte was ich jetzt brauche mein windows läuft schon länger als 1 1/2 jahre stabil und jetzt dies ich hoffe jemand kann mir weiter helfen =)

Alt 18.06.2008, 20:15   #5
AlexXx07
 
TR/Monder.33280.1 - Standard

TR/Monder.33280.1



Zitat:
Zitat von BIOTEC Beitrag anzeigen
Hi!

Ich würde mal sagen, das der in einem Wiederherstellungspunkt liegt....

Was heisst, wenn du diesen Punkt wiederherstellst, ist auch der Virus wieder da...

Ich würde mal die Systemwiederherstellung ganz abschalten und dann wieder aktivieren....dann sind alle Wiederherstellungspunkte gelöscht und der Trojaner sollte dann auch weg sein...

ABER: Warte lieber noch, was die PROFIS hier meinen...vieleicht denken die ja auch so wie ich!

Gruss BIOTEC

Wiederherstellungspunkt habe ich gemacht! habe jetzt auch mal antivir durchlaufen lassen bis jetzt noch nichts gefunden ich hoffe es bleibt so!


Alt 20.06.2008, 16:03   #6
AlexXx07
 
TR/Monder.33280.1 - Standard

TR/Monder.33280.1



Zitat:
Zitat von BIOTEC Beitrag anzeigen
Hi!

Ich würde mal sagen, das der in einem Wiederherstellungspunkt liegt....

Was heisst, wenn du diesen Punkt wiederherstellst, ist auch der Virus wieder da...

Ich würde mal die Systemwiederherstellung ganz abschalten und dann wieder aktivieren....dann sind alle Wiederherstellungspunkte gelöscht und der Trojaner sollte dann auch weg sein...

ABER: Warte lieber noch, was die PROFIS hier meinen...vieleicht denken die ja auch so wie ich!

Gruss BIOTEC

Super ding hat mir echt geholfen keine viren mehr!

Antwort

Themen zu TR/Monder.33280.1
adobe, antivir, avira, bho, desktop, einstellungen, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, magix, mozilla, mozilla firefox, problem, programm, rundll, scan, server, software, system, teamspeak, trojan, viren, virus, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: TR/Monder.33280.1


  1. TR/Monder.atzr
    Plagegeister aller Art und deren Bekämpfung - 03.02.2009 (0)
  2. Monder & Vundo
    Plagegeister aller Art und deren Bekämpfung - 26.01.2009 (0)
  3. Win32.Monder
    Log-Analyse und Auswertung - 22.01.2009 (4)
  4. TR/Monder.
    Mülltonne - 05.01.2009 (0)
  5. TR/Monder.acaq
    Mülltonne - 15.12.2008 (0)
  6. TR/Monder.yis
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (11)
  7. TR/Monder.yis
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (12)
  8. TR/Monder.yis
    Mülltonne - 11.11.2008 (0)
  9. TR/monder
    Mülltonne - 11.11.2008 (0)
  10. TR/Monder.tzt + TR/Vundo.Gen
    Mülltonne - 24.10.2008 (0)
  11. Virtumonde/ TR/Monder
    Plagegeister aller Art und deren Bekämpfung - 08.10.2008 (6)
  12. TR/Monder
    Mülltonne - 27.09.2008 (0)
  13. TR/Monder. bqt oder TR/Monder.142848
    Plagegeister aller Art und deren Bekämpfung - 13.08.2008 (1)
  14. Tr/Monder
    Mülltonne - 02.07.2008 (2)
  15. TR/Agent.ruh und TR/Monder.QX
    Log-Analyse und Auswertung - 18.06.2008 (9)
  16. TR/Vundo, TR/Monder
    Plagegeister aller Art und deren Bekämpfung - 15.06.2008 (4)
  17. Monder
    Mülltonne - 13.06.2008 (0)

Zum Thema TR/Monder.33280.1 - Hi, So wo fange ich an ich hatte vor 1ner woche den msn Virus gehabt den habe ich aber nach 3 Stunden entfernt und dannach 2x einen kompletten viren scann - TR/Monder.33280.1...
Archiv
Du betrachtest: TR/Monder.33280.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.