| |
| |||||||
Log-Analyse und Auswertung: Antivir-Fund TR/PSW.Banker4.GYS und TR/Dldr.Delf.jmuWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
15.07.2008, 15:45
| #1 |
| |  Antivir-Fund TR/PSW.Banker4.GYS und TR/Dldr.Delf.jmu Hallo, nachdem mein antivir mit dem Befund TR/PSW.Banker4.GYS + TR/Dldr.Delf.jmu aufkam, hier mein hjt-logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:28:57, on 15.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mobile Master\MMAgent.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Mobile Master\MMScan.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Azureus\Azureus.exe C:\Programme\Steam\Steam.exe c:\programme\avira\antivir personaledition classic\avscan.exe c:\programme\avira\antivir personaledition classic\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MMAgent] C:\Programme\Mobile Master\MMAgent.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - S-1-5-18 Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe (User 'SYSTEM') O4 - .DEFAULT Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe (User 'Default user') O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O4 - Global Startup: GammaTray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6736 bytes Vielen Dank für Eure Hilfe! ps.: Hier noch das antivir Protokoll, mein Betriebssystem ist WinXP Professional SP2 Code:
ATTFilter "Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 15. Juli 2008 16:14
Es wird nach 1411247 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: AA
Computername: egal
Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 02.05.2008 02:21:23
AVSCAN.DLL : 8.1.1.0 57601 Bytes 02.05.2008 02:21:23
LUKE.DLL : 8.1.2.9 151809 Bytes 02.05.2008 02:21:23
LUKERES.DLL : 8.1.2.0 12545 Bytes 02.05.2008 02:21:23
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:15
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 17:20:47
ANTIVIR2.VDF : 7.0.5.86 547840 Bytes 09.07.2008 23:15:26
ANTIVIR3.VDF : 7.0.5.95 147968 Bytes 10.07.2008 23:15:26
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 02.05.2008 02:21:23
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 02.07.2008 17:18:37
AESCN.DLL : 8.1.0.22 119157 Bytes 20.06.2008 15:16:05
AERDL.DLL : 8.1.0.20 418165 Bytes 02.05.2008 02:21:23
AEPACK.DLL : 8.1.1.6 364918 Bytes 20.06.2008 15:16:03
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 20.06.2008 15:15:58
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 02.07.2008 17:18:36
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 22:41:50
AEGEN.DLL : 8.1.0.29 307573 Bytes 20.06.2008 15:15:41
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 10:49:22
AECORE.DLL : 8.1.0.32 168311 Bytes 02.07.2008 17:18:30
AVWINLL.DLL : 1.0.0.7 14593 Bytes 02.05.2008 02:21:23
AVPREF.DLL : 8.0.0.1 25857 Bytes 02.05.2008 02:21:23
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 02.05.2008 02:21:23
AVARKT.DLL : 1.0.0.23 307457 Bytes 02.05.2008 02:21:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 02.05.2008 02:21:23
SQLITE3.DLL : 3.3.17.1 339968 Bytes 02.05.2008 02:21:23
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 02.05.2008 02:21:23
NETNT.DLL : 8.0.0.1 7937 Bytes 02.05.2008 02:21:23
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 02.05.2008 02:21:20
RCTEXT.DLL : 8.0.32.0 86273 Bytes 02.05.2008 02:21:20
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Dienstag, 15. Juli 2008 16:14
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Biet-O-Matic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Azureus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MMScan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'speedfan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '49' Prozesse mit '49' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '50' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <system>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\AA\Desktop\check\xxxxxx.rar
[0] Archivtyp: RAR
--> xxxxxx
[FUND] Ist das Trojanische Pferd TR/PSW.Banker4.GYS
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\xxxxxx.rar
[0] Archivtyp: RAR
--> C:\Dokumente und Einstellungen\AA\Desktop\check\xxxxxxx.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.jmu
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Dienstag, 15. Juli 2008 16:21
Benötigte Zeit: 07:13 min
Der Suchlauf wurde vollständig durchgeführt.
4072 Verzeichnisse wurden überprüft
130376 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
130374 Dateien ohne Befall
1090 Archive wurden durchsucht
2 Warnungen
2 Hinweise
|
|
15.07.2008, 15:52
| #2 |
| Administrator > Competence Manager  | Antivir-Fund TR/PSW.Banker4.GYS und TR/Dldr.Delf.jmu Hallo.
__________________ Wieso hast du denn die gefundenen .rar Dateien mit lauter xxxxx unekenntlich gemacht?! Wenn ich nicht weiß wie eine Datei heißt, dann kann ich sie auch nicht entfernen, abgesehen davon das ich einen Trojan-Delf eh nicht entfernen würde.  Oder handelt es sich bei den geheimnisvollen Dateien um Cracks/Serials?
__________________ |
|
15.07.2008, 16:00
| #3 |
| | Antivir-Fund TR/PSW.Banker4.GYS und TR/Dldr.Delf.jmu unkenntlich da ich in den Regeln las, man solle die eigenen Files so anonym wie möglich halten...
__________________ist das denn wichtig? es handelte sich um zwei Archive mit jpegs und je einer enthaltenen exe... und warum sollte man den delf gar nicht erst entfernen? |
|
15.07.2008, 16:04
| #4 | |||
| Administrator > Competence Manager | Antivir-Fund TR/PSW.Banker4.GYS und TR/Dldr.Delf.jmuZitat:
Zitat:
Wo hast du sie denn her?! Also wo runtergeladen? Zitat:
Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
15.07.2008, 16:24
| #5 |
| | Antivir-Fund TR/PSW.Banker4.GYS und TR/Dldr.Delf.jmu die archive sind im torrent-netzwerk runtergeladen. woran erkenne ich, ob der delf denn drauf ist? virenscans verlaufen auf meiner systempartition nämlich weiterhin ohne befund... danke für die prompte hilfe! |
|
| Themen zu Antivir-Fund TR/PSW.Banker4.GYS und TR/Dldr.Delf.jmu |
| 0 bytes, adobe, antivir, avira, bho, desktop, drivers, einstellungen, explorer, firefox, google, hijack, hijackthis, internet, internet explorer, modul, mozilla, mozilla firefox, nt.dll, programme, prozesse, quara, registry, software, suchlauf, system, tuneup.defrag, verweise, virus, virus gefunden, warnung, windows, windows xp, windows\system32\drivers |
Linear-Darstellung
