|
Log-Analyse und Auswertung: Trojaner geht nicht weg - Bitte um HilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.08.2008, 01:47 | #1 |
| Trojaner geht nicht weg - Bitte um Hilfe Hallo miteinander! habe folgendes Problem: es hat sich ein Trojaner bei mir auf dem rechner eingenistet, den ich nicht weg bekomme. Es handelt sich um das Trojanische Pferd "TR/Crypt.FKM.Gen" mit dem Dateinamen 33883343101.CPX. Habe jetzt 5 Antiviren/SpywareProgramme probiert (A-SQUARED, Anti-Trojan Cow 4.1.2, Anti-Trojan 5.5.405, Malwarebytes Anti-Malware 1.23, sowie Avira Antivir Personal). Keines dieser Programme ist in der Lage den Trojaner zu vernichten. Er wird zwar gefunden (in Windows/system 32) und in Quarantäne gesetzt/ bzw. gelöscht, aber bei jedem Neustart taucht er wieder auf und zwar nicht einmal, sondern gleich 11 Mal! Also Antivir schlägt 11 Mal an! Direkt nach der Anmeldung wenn der Desktop erscheint piept es wie wild. Habe auch schon versucht den Trojaner per Hand zu löschen - Pustekuchen, nach dem Neustart alles wie gehabt, er ist wieder da! Der ist schlimmer als meine Ex;-) Im Anhang habe ich mal das Logfile beigefügt. Kann mir jemand sagen was da los ist, bzw. wie ich diesen Störenfried wieder weg bekomme? Vielen Dank schon mal und beste Grüße (von dem Neuling hier im Forum), Frank |
17.08.2008, 18:24 | #2 |
| Trojaner geht nicht weg - Bitte um Hilfe Hat denn keiner eine Idee wie ich das Problem gelöst bekomme?
__________________ |
17.08.2008, 18:27 | #3 |
Trojaner geht nicht weg - Bitte um Hilfe Hoi,
__________________wenn du die 33883343101.CPX noch hast, packe sie bitte in ein passwortgeschütztes ZIP/RAR-Archiv (PW: abc) und sende das Ganze an meine Emailadresse (Profil). Danach machst du bitte folgendes: Blacklight scannen lassen
mfg
__________________ |
17.08.2008, 18:52 | #4 |
| Trojaner geht nicht weg - Bitte um Hilfe Hallo Dark, dank erstmal! Hab Dir grade ne Mail geschickt! (an die gmx Adresse) |
17.08.2008, 18:55 | #5 |
Trojaner geht nicht weg - Bitte um Hilfe Danke, ich mach mich mal schlau, um was es sich dabei handelt. Kann einige Zeit dauern, daher machen wir mit BlackLight weiter. Edit: Erstell bitte davon einen Log und poste den hier: Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle Anwendungen * Doppelklicke dss.exe um das Programm zu starten * Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt * Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE] Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt * es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Lauferken.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. Geändert von Silent sharK (17.08.2008 um 19:01 Uhr) |
17.08.2008, 19:21 | #6 |
| Trojaner geht nicht weg - Bitte um Hilfe Ok, hab ich gemacht anbei die logfiles! hier das main.txt (ist zu gross um anzuhängen) -- Last 5 Restore Point(s) -- 54: 2008-08-17 18:06:04 UTC - RP312 - Deckard's System Scanner Restore Point 53: 2008-08-16 12:12:33 UTC - RP311 - Systemprüfpunkt 52: 2008-08-15 11:23:31 UTC - RP310 - Wiederherstellungsvorgang 51: 2008-08-13 19:57:12 UTC - RP309 - Systemprüfpunkt 50: 2008-08-12 18:09:58 UTC - RP308 - Systemprüfpunkt -- First Restore Point -- 1: 2008-05-18 18:22:43 UTC - RP259 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis Clone ------------------------------------------------------------ Emulating logfile of Trend Micro HijackThis v2.0.2 Scan saved at 2008-08-17 20:08:28 Platform: Windows XP Service Pack 2 (5.01.2600) MSIE: Internet Explorer (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\system32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\EPSON\ESM2\eEBSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\sstray.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SSC Service Utility\ssc_serv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Registry Mechanic\RegMech.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Gaby & Frank\Desktop\dss.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\GoogleToolbar1.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [IW_ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\\InstantDrive\InstantDrive.exe /remount O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Glock Suite 1.1] C:\WINDOWS\system32\glock32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programme\Anti Trojan Elite\TJEnder.exe :NO O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user') O4 - Global Startup: EPSON Background Monitor.lnk = C:\Programme\EPSON\ESM2\Stms.exe O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O4 - Global Startup: Verknüpfung mit svchost.lnk = C:\WINDOWS\system32\svchost.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194301642281 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1194301629953 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL O20 - Winlogon Notify: bmjtkzfz - C:\WINDOWS\system32\bmjtkzfz.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\EPSON\ESM2\eEBSvc.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 9804 bytes -- File Associations ----------------------------------------------------------- .reg - regfile - shell\open\command - regedit.exe "%1" %* .scr - scrfile - shell\open\command - "%1" %* -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R0 TPkd - c:\windows\system32\drivers\tpkd.sys <Not Verified; PACE Anti-Piracy, Inc.; InterLok(R)> R0 VOBID - c:\windows\system32\drivers\vobid.sys <Not Verified; Pinnacle Systems; InstantDrive> R1 Cdrdrv - c:\windows\system32\drivers\cdrdrv.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite> R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; > R1 StarOpen - c:\windows\system32\drivers\staropen.sys R1 vobcom - c:\windows\system32\drivers\vobcom.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite> R1 vobiw - c:\windows\system32\drivers\vobiw.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite> R3 ASAPIW2K - c:\windows\system32\drivers\asapiw2k.sys <Not Verified; VOB Computersysteme GmbH; asapi> R3 DT154_A02 (T-Sinus 154data Driver) - c:\windows\system32\drivers\ts154usb.sys <Not Verified; GlobespanVirata, Inc.; PRISM 802.11 Wireless LAN> R3 MACNDIS5 (MACNDIS5 NDIS Protocol Driver) - c:\programme\gemeinsame dateien\marmiko shared\macndis5.sys <Not Verified; Marmiko IT-Solutions GmbH; Marmiko NDis Helper for Windows> R3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine> R3 w32n5223 (w32n5223 Protocol Driver) - c:\programme\t-com\t-com wlan manager t-sinus 154data\installer\winxp\w32n5223.sys <Not Verified; Deutsche Telekon; W32N5223 Protocol for Windows> S3 ATE_PROCMON - c:\programme\anti trojan elite\atepmon.sys (file missing) S3 giveio - c:\windows\system32\giveio.sys S3 Hmr05 - c:\windows\system32\drivers\hmr05.sys (file missing) S3 Jot61 - c:\windows\system32\drivers\jot61.sys (file missing) S3 MIINPazX (MIINPazX NDIS Protocol Driver) - c:\programme\gemeinsame dateien\marmiko shared\minfrais\miinpazx.sys <Not Verified; T-Online International AG, Marmiko IT-Solutions GmbH; Marmiko InfraIS Module> S3 MTOnlPktAlyX (MTOnlPktAlyX NDIS Protocol Driver) - c:\programme\t-online\t-online_software_6\basis-software\basis1\mtonlpktalyx.sys <Not Verified; T-Online International AG, Marmiko IT-Solutions GmbH; T-Online Dialer Module> S3 Oty15 - c:\windows\system32\drivers\oty15.sys (file missing) S3 Sxe27 - c:\windows\system32\drivers\sxe27.sys (file missing) S3 Syd15 - c:\windows\system32\drivers\syd15.sys (file missing) S3 Uaf37 - c:\windows\system32\drivers\uaf37.sys (file missing) S3 Xej27 - c:\windows\system32\drivers\xej27.sys (file missing) S3 Yej38 - c:\windows\system32\drivers\yej38.sys (file missing) -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation> R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service> R2 Bonjour Service (##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##) - c:\programme\bonjour\mdnsresponder.exe <Not Verified; Apple Computer, Inc.; Bonjour> R2 CCALib8 (Canon Camera Access Library 8) - c:\programme\canon\cal\calmain.exe <Not Verified; Canon Inc.; > R2 EpsonBidirectionalService - c:\programme\epson\esm2\eebsvc.exe R2 MZCCntrl (T-Online WLAN Adapter Steuerungsdienst) - c:\programme\gemeinsame dateien\marmiko shared\mzccntrl.exe <Not Verified; Deutsche Telekom AG, Marmiko IT-Solutions GmbH; T-Online WLAN Adapter Steuerung> S3 FLEXnet Licensing Service - "c:\programme\gemeinsame dateien\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)> -- Device Manager: Disabled ---------------------------------------------------- Class GUID: Description: Ethernet-Controller Device ID: PCI\VEN_10DE&DEV_0066&SUBSYS_80A71043&REV_A1\3&13C0B0C5&0&20 Manufacturer: Name: Ethernet-Controller PNP Device ID: PCI\VEN_10DE&DEV_0066&SUBSYS_80A71043&REV_A1\3&13C0B0C5&0&20 Service: Class GUID: Description: RAID-Controller Device ID: PCI\VEN_1095&DEV_3112&SUBSYS_61121095&REV_02\4&3B1D9AB8&1&5840 Manufacturer: Name: RAID-Controller PNP Device ID: PCI\VEN_1095&DEV_3112&SUBSYS_61121095&REV_02\4&3B1D9AB8&1&5840 Service: Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318} Description: Ethernet-Controller Device ID: PCI\VEN_10B7&DEV_9201&SUBSYS_80AB1043&REV_40\4&35344E25&0&0860 Manufacturer: Name: Ethernet-Controller PNP Device ID: PCI\VEN_10B7&DEV_9201&SUBSYS_80AB1043&REV_40\4&35344E25&0&0860 Service: -- Scheduled Tasks ------------------------------------------------------------- 2008-06-15 01:49:33 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job -- Files created between 2008-07-17 and 2008-08-17 ----------------------------- 2008-08-16 13:05:00 0 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-16 00:19:01 0 d-------- C:\Programme\Anti-Trojan-55 2008-08-15 20:50:06 0 d-------- C:\Programme\Anti Trojan Cow 2008-08-15 20:49:53 290816 -----n--- C:\WINDOWS\Setup1.exe <Not Verified; Microsoft Corporation; Microsoft Visual Basic für Windows> 2008-08-15 20:49:52 74752 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic für Windows> 2008-08-15 20:23:19 0 d-------- C:\Programme\Anti Trojan Elite 2008-08-15 14:34:04 0 d-------- C:\Programme\a-squared Free 2008-08-15 13:16:17 0 dr-h----- C:\Dokumente und Einstellungen\Gaby & Frank\Recent 2008-08-06 22:48:15 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-08-06 22:47:28 0 d-------- C:\WINDOWS\Internet Logs 2008-08-06 00:02:12 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2008-08-05 23:59:04 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100> 2008-08-05 23:59:04 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100> 2008-08-05 23:58:58 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?> 2008-08-05 23:58:58 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®> 2008-08-05 23:58:58 815104 --a------ C:\WINDOWS\system32\divx_xx0a.dll <Not Verified; DivX, Inc.; DivX®> 2008-08-05 23:58:58 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®> 2008-08-05 23:58:56 683520 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®> 2008-08-05 23:58:14 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll -- Find3M Report --------------------------------------------------------------- 2008-08-16 13:05:05 0 d-------- C:\Dokumente und Einstellungen\Gaby & Frank\Anwendungsdaten\Malwarebytes 2008-08-16 00:11:29 8 --a------ C:\autoexec.bat 2008-08-15 13:16:12 0 d-------- C:\Programme\DivX 2008-06-24 23:54:05 0 d--h----- C:\Programme\InstallShield Installation Information 2008-06-24 23:54:05 0 d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared 2008-06-24 23:47:09 0 d-------- C:\Programme\Gemeinsame Dateien 2008-06-24 23:44:10 57182 --a------ C:\WINDOWS\system32\NULL 2008-06-24 23:01:42 0 d-------- C:\Programme\T-Online 2008-05-23 23:57:28 3997 --a------ C:\WINDOWS\mozver.dat -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nForce Tray Options"="sstray.exe" [13.11.2002 09:34 C:\WINDOWS\system32\sstray.exe] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [17.11.2003 11:33] "nwiz"="nwiz.exe" [17.11.2003 11:33 C:\WINDOWS\system32\nwiz.exe] "IW_ControlCenter"="C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" [21.02.2003 11:27] "VOBID"="C:\Programme\Pinnacle\InstantCDDVD\\InstantDrive\InstantDrive.exe" [26.02.2003 13:31] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [28.02.2003 17:46] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.05.2007 04:06] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [29.07.2008 01:12] "SSC Service Utility"="C:\Programme\SSC Service Utility\ssc_serv.exe" [09.10.2007 13:55] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [13.04.2008 14:01] "Glock Suite 1.1"="C:\WINDOWS\system32\glock32.exe" [04.08.2004 01:58] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [27.05.2008 10:50] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [02.06.2008 11:13] "Anti Trojan Elite"="C:\Programme\Anti Trojan Elite\TJEnder.exe" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57] "MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [04.08.2004 01:58] "NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [] "T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [25.07.2007 18:50] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [23.10.2007 23:18] "AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [06.06.2007 00:25] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [11.11.2007 22:48] "userinit"="C:\WINDOWS\system32\ntos.exe" [] "braviax"="C:\WINDOWS\system32\braviax.exe" [] "RegistryMechanic"="C:\Programme\Registry Mechanic\RegMech.exe" [08.07.2008 16:41] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "userinit"=C:\WINDOWS\system32\ntos.exe "InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ EPSON Background Monitor.lnk - C:\Programme\EPSON\ESM2\Stms.exe [03.12.1999 21:11:46] T-COM WLAN Manager T-Sinus 154data.lnk - C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe [25.09.2003 14:35:56] Verknpfung mit svchost.lnk - C:\WINDOWS\system32\svchost.exe [02.04.2003 14:00:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\bmjtkzfz] bmjtkzfz.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hmr05.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jot61.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Oty15.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sxe27.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Syd15.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uaf37.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xej27.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yej38.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" -- Hosts ----------------------------------------------------------------------- 127.0.0.1 microsoft.com 127.0.0.1 kaspersky.com 127.0.0.1 norton.com 127.0.0.1 multitrader.info 127.0.0.1 reggame.biz 127.0.0.1 tele-globus.biz 127.0.0.1 newasp.com.cn 127.0.0.1 mygolddinar.com 127.0.0.1 xfatum.com 127.0.0.1 think-adz2.com 7 more entries in hosts file. -- End of Deckard's System Scanner: finished at 2008-08-17 20:09:14 ------------ |
17.08.2008, 19:26 | #7 |
Trojaner geht nicht weg - Bitte um Hilfe Ok, prüf bitte, welche Größe die Dateien haben, die du mir geschickt hast. Zu DSS: Die Probleme haben sich gehäuft.. Das hier bitte schnellstens durchführen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\ntos.exe C:\WINDOWS\system32\braviax.exe
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
17.08.2008, 19:47 | #8 |
| Trojaner geht nicht weg - Bitte um Hilfe VirusTotal geht leider nicht: ausgelastet! |
17.08.2008, 19:49 | #9 |
| Trojaner geht nicht weg - Bitte um Hilfe und die bravias.exe habe ich gar nicht! |
17.08.2008, 19:56 | #10 | |
Trojaner geht nicht weg - Bitte um Hilfe Sorry, ich vergaß das zu erwähnen, das Virustotal momentan nicht geht. Hast du die _ntos.exe_ gefunden? Mach bitte noch folgendes:
mfg Edit: Zitat:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
17.08.2008, 20:10 | #11 |
| Trojaner geht nicht weg - Bitte um Hilfe OK das Logfile ist im Anhang! |
17.08.2008, 20:23 | #12 |
Trojaner geht nicht weg - Bitte um Hilfe So, bitte lies noch schnell das Edit: in meinem letzten Post und reiche das nach. Die Dateien kannst du nicht finden, die existieren nicht mehr. Das heißt, du hast schonmal versucht zu bereinigen. Was du machen solltest, da du einen Schädling hattest, der Zugriff auf deinen Rechner ermöglicht und Bankdaten stiehlt:
Für die Zukunft: Finger von vermeintlicher Antivirensoftware wie Anti-Trojan etc. lassen! Das ist Rogue Software und gibt vor, dir zu helfen - sind aber selber Schädlinge. Es reicht, wenn du z.B. Avira installiert hast, als Firewall die XP eigene, am besten noch einen Router zulegen. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
17.08.2008, 20:49 | #13 |
| Trojaner geht nicht weg - Bitte um Hilfe Ist das soo schlimm, dass ich alles sperren/ ändern muss? Ich habe meine Daten nicht auf dem PC gespeichert, sondern gebe sie jedes Mal per Hand ein! Kann ich es dann so lassen? Übrigens ich verwende ienen Router hier. Die CPX Dateien um die es geht sind irgendwie jetzt weg! Sie hatten eine Größe von ca 340 KB meine ich. Kann ich das System jetz so lassen? Soll ich wirklich mein Online Banking Konto sperren lassen? |
17.08.2008, 20:54 | #14 |
Trojaner geht nicht weg - Bitte um Hilfe Ja, es ist leider so schlimm. Es ist nicht nur das, auch diverse andere Sachen, die aber bei so einem Befall nebensächlich sind. Klick mal auf den Link für die Technische Kompromittierung und lies dir das durch, dann weißt du, was dir wiederfahren ist. Und überprüf deine Kontoauszüge, ob schon ungewollte Kontobewegungen stattgefunden haben, bzw. rede mit der Bank. Noch was zu den CPX-Dateien. Die wo bei mir angekommen waren, sind nicht virulent und jeweils 1 KB groß, deshalb wollte ich wissen, wie groß die originalen waren. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
17.08.2008, 20:57 | #15 |
| Trojaner geht nicht weg - Bitte um Hilfe Ok, mach ich! Sag mal, wäre es besser ich würde auch die Platte formatieren und Windows neu installieren? |
Themen zu Trojaner geht nicht weg - Bitte um Hilfe |
anmeldung, anti-malware, avira, avira antivir, beste grüße, bitte um hilfe, datei, desktop, folge, forum, geht nicht weg, gelöscht, handel, logfile, löschen, malwarebytes, malwarebytes anti-malware, meldung, neustart, personal, pferd, problem, quara, quarantäne, rechner, tr/crypt.fkm.gen, trojaner, trojanische, trojanische pferd, wieder weg |