Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: 'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 09.08.2008, 11:25   #1
Neutrino
 
'TR/Rootkit.Gen' [trojan]  gefunden - HJT- Log - Standard

'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log



Hallo,

Ich habe vor einiger Zeit mit Antivir folgende Funde gehabt:

In der Datei 'C:\WINDOWS\Temp\FE.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe'
enthielt einen Virus oder unerwünschtes Programm 'BDS/Ceckno.buo' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Ad-Aware bringt seitdem bei jedem Suchlauf folgende auffällige Meldung:

Infections Found
===========================
Family Id: 725 Name: Tracking Cookie Category: DataMiner TAI:3
Item Id: 600000542 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt ivwbox.de i00 /
Item Id: 600000144 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt doubleclick.net id /
Item Id: 600000101 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt overture.com CMUserData /
Item Id: 600000142 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt de.sitestat.com s1 /idgcom-de/pcwelt/
Item Id: 600000001 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt adserver.71i.de NGUserID /
Item Id: 600000295 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt adtech.de JEB2 /
Item Id: 600000212 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt 2o7.net s_vi_ox60mx7Fx7Famxxix7Fhi /
Item Id: 600000179 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt atdmt.com AA002 /
Item Id: 600000263 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt mediaplex.com svid /
Item Id: 600000447 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt apmebf.com S /
Item Id: 600000471 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt partners.webmasterplan.com fritz3607 /
Item Id: 600000471 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt partners.webmasterplan.com fritz0 /
Item Id: 600000234 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt tradedoubler.com TD_EH_0 /
Item Id: 600000234 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt tradedoubler.com TD_UNIQUE_IMP /
Item Id: 600000234 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt tradedoubler.com TradeDoublerGUID /
Item Id: 600000234 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt tradedoubler.com TD_PIC /
Item Id: 600000523 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt webstats4u.com w4u_cid_AD7NmgbAZ6kIR3n5pK10ytGzaZQA /
Item Id: 600000138 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt fastclick.net pluto /
Item Id: 600000138 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt fastclick.net adv_ic /
Item Id: 600000138 Value: Browser: Firefox Cookie: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles/fhd63obk.default\cookies.txt fastclick.net pjw /

Family Id: 9999 Name: MRU Object Category: MRU Object TAI:0
Item Id: 1 Value: MRU Path: C:\Dokumente und Einstellungen\***\Recent Count: 24
Item Id: 2 Value: MRU Registry Key: S-1-5-21-1327117681-4103007115-1748355879-1006\Software\Microsoft\Search Assistant\ACMru\5603 Count: 1

Diesen Key lasse ich jedes mal löschen, aber bei jedem neuen Suchlauf ist er wieder da.


Hier also das Hijack*This Logfile (3 persönliche Zeilen habe ich rausgenommen)


Logfile of Trend Micro Hijack*This v2.0.2
Scan saved at 11:30:22, on 09.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe


O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {8EE5046C-394B-4CB7-A3F8-253BE8BB60BD} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172710552658
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E2ADFD7-2D92-4DB5-B64D-96BAF1B2215D}: NameServer = XXXXX
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6825 bytes


Seitdem habe ich auch das Problem, dass mein Rechner nicht mehr in den Standby und den Ruhezustand gehen kann. Es kommt immer die XP- übliche Schrift „Standbymodus wird vorbereitet“, dann wird der Bildschirm dunkel, aber der Rechner läuft weiter und reagiert auf nix mehr (geht auch nicht mehr in den normalen Betrieb über), lässt sich nur noch mit Strom ab ausschalten.

Weiterhin lässt sich die Drahtlosnetzwerverbindung nicht mehr deaktivieren. Wenn ich es trotzdem versuche, geht auch das Herunterfahren des Rechners nicht mehr.
Ich musste dann im abgesicherten Modus den Chipsatztreiber neu installieren, sodass wenigstens das Herunterfahren wieder funktionierte.

Ich wäre euch sehr sehr dankbar, wenn ihr mal über die logs drüber gucken könntet und mir sagt, woran das Problem liegt und was zur Behebung desselben zu tun ist.

Abgesehen davon plane ich sowieso ein neu aufsetzen. Würde das schon reichen?

Vielen Dank!
Neutrino

Geändert von Neutrino (09.08.2008 um 11:37 Uhr)

Alt 09.08.2008, 15:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
'TR/Rootkit.Gen' [trojan]  gefunden - HJT- Log - Blinzeln

'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log



Tach

Zitat:
Zitat von Neutrino Beitrag anzeigen
Abgesehen davon plane ich sowieso ein neu aufsetzen. Würde das schon reichen?
Ja, normalerweise reicht ein einfaches Formatieren der Systempartition. Heutige Schädlinge befallen aber mittlerweile wieder den MBR, d.h. Du müsstest noch sicherheitshalber aus der Wiederherstellungskonsole die Befehle fixboot und fixmbr ausführen und unmittelbar danach neu aufsetzen.

Noch gründlicher gehts mit DBAN, einmal mit der schnellen Methode die Platte wipen. Kann je nach Größe und Schnelligkeit der Platte aber dauern.
Alle Daten auf der Platte werden gelöscht, also nicht nur die Systempartition. Aber die wichtigsten Daten hat man ja eh immer extern gespeichert, richtig?

Sofern Dein MBR okay ist, reicht ein einfaches Formatieren aus dem Windows-Setup heraus. Den MBR überprüfen kannst Du mit der mbr.exe von GMER.
__________________

__________________

Alt 13.08.2008, 09:43   #3
Neutrino
 
'TR/Rootkit.Gen' [trojan]  gefunden - HJT- Log - Standard

'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log



Hallo root24,

vielen Dank für deine Hilfe!! Ich werde deine Tipps beim baldigen Neuaufsetzen berücksichtigen!

Grüße,
Neutrino
__________________

Antwort

Themen zu 'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log
abgesicherten modus, ad-aware, antivir, avira, backdoor, behebung, bho, bildschirm, browser, c:\windows\temp, cid, desktop, doubleclick.net, drahtlos, ebay, excel, firefox, helper, hijack, hkus\s-1-5-18, launch, logfile, mozilla firefox, object, outlook express, popup, problem, programm, registry, registry key, software, suchlauf, system, virus, windows, windows xp, windows\temp



Ähnliche Themen: 'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log


  1. Trojan.Phex.THAGen6, RootKit.0Access, Trojan.FakeAlert
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (29)
  2. Wohl mehrere Viren: Rootkit.0Access Trojan.Zaccess Trojan.RansomP.Gen Trojan.Agent bzw. TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (13)
  3. Trojan.SpyEyes, Trojan.ZbotR.Gen, 2x Trojan.Agent gefunden
    Mülltonne - 14.09.2012 (4)
  4. Rootkit.0Access, Trojan.Sirefef, Trojan.Small Befall
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (3)
  5. Trojan.Small, Trojan.Sirefef, Rootkit.0Access in C:\Windows\installer - ist nicht zu entfernen
    Log-Analyse und Auswertung - 05.07.2012 (23)
  6. trojan.small, trojan.sirefef, rootkit.0access
    Log-Analyse und Auswertung - 29.06.2012 (1)
  7. Hilfe! Trojan.Small; Trojan.Sirefef; Rootkit.0Access; Trojan.Atraps.Gen2 auf meinem Rechner.
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (11)
  8. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  9. Trojan.Banker & Rootkit gefunden. Wie werde ich die 100%ig wieder los?
    Log-Analyse und Auswertung - 17.08.2011 (1)
  10. TR/Rootkit.Gen gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.05.2011 (13)
  11. Trojan.Agent, Trojan.FakeAltert, Trojan.Hiloti.Gen gefunden und gelöscht,aber wirklich weg?
    Log-Analyse und Auswertung - 27.04.2011 (11)
  12. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  13. Rootkit.TDSS/ Trojan.Downloader gefunden - .exe-Anwendungen sind blockiert!
    Log-Analyse und Auswertung - 04.11.2010 (21)
  14. Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit
    Plagegeister aller Art und deren Bekämpfung - 10.05.2010 (3)
  15. Rootkit gefunden!
    Plagegeister aller Art und deren Bekämpfung - 19.01.2010 (15)
  16. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  17. Win32:Trojan-gen, Win32:Rootkit-gen, Win32:Adware-gen gefunden!
    Log-Analyse und Auswertung - 14.07.2008 (1)

Zum Thema 'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log - Hallo, Ich habe vor einiger Zeit mit Antivir folgende Funde gehabt: In der Datei 'C:\WINDOWS\Temp\FE.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Die Datei - 'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log...
Archiv
Du betrachtest: 'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.