Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trotz Format C Trojaner Problem! Help!?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.09.2008, 15:20   #1
Tobsn
 
Trotz Format C Trojaner Problem! Help!? - Standard

Trotz Format C Trojaner Problem! Help!?



Hallo Leute,

ich hoffe mir kann einer helfen. ein freund von mir wollte sich etwas an meinem pc herunterladen und mir dabei einen trojaner eingefangen. laut bit defender handelt es sich um den "Trojan.Downloader.WMA.Wimad.AA". ich habe einiges probiert um ihn wieder los zu werden, habe dann allerdings gedacht, dass format c die beste lösung wäre. vorher habe ich die privaten sachen auf meiner externen gesichert. habe dann windows neu aufgesetzt. wenn ich jetzt allerdings die externe festplatte überprüfen lasse, dann findet bit defender immer noch diesen trojaner in meinen musik dateien. diese werden dann natürlich gelöscht, aber nach ein paar tagen werden wieder infizierte dateien gefunden! gibt es irgendeine möglichkeit, diesen trojaner endgültig zu entfernen? ich habe sooooo wichtige sachen auf der externen, so dass ich sie nicht einfach formatieren kann. ich bin für jede hilfe äußerst dankbar!

hier mein aktueller log: (hoffe er ist richtig so, es ist das erste mal)






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:20, on 05.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\omnipage\OpwareSE2.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vestel\Vestel Mobile Utilities\Mobile Utility Button\Mobutil.exe
C:\Programme\Vestel\Vestel Mobile Utilities\On Screen Display\OSD.EXE
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
D:\Programme\firefox.exe
E:\Eigene Dateien\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [OpwareSE2] "D:\Programme\omnipage\OpwareSE2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Reader\reader_sl.exe
O4 - Global Startup: Anti-Theft Sensor.lnk = ?
O4 - Global Startup: Mobile Utility Button.lnk = ?
O4 - Global Startup: On Screen Display.lnk = ?
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FDF3BC8-CC05-4E5D-9F16-7FB9E3E37D36}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 7418 bytes


gruß

Alt 05.09.2008, 22:03   #2
undoreal
/// AVZ-Toolkit Guru
 
Trotz Format C Trojaner Problem! Help!? - Standard

Trotz Format C Trojaner Problem! Help!?



Hallo Tobsen.

Der Wimand ist für jeden der viel Mucke auf dem Rechner hat ein Graus.. Der schreibt sich in Musik Files ein.
Du wirst wenn du ganz sicher gehen möchtest abschied von deiner Mucke nehmen müssen..
Ander Alternative wäre es sich auf MWAV zu verlassen und evtl. zusätzlich noch andere Scanner drüber zu jagen...

Bereinigung nach einer Kompromitierung


Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________

__________________

Alt 06.09.2008, 16:09   #3
Tobsn
 
Trotz Format C Trojaner Problem! Help!? - Standard

Trotz Format C Trojaner Problem! Help!?



ich danke dir erstmal vielmals für deine hilfe, werde deine schritte schnellstmöglich befolgen!
__________________

Alt 06.09.2008, 18:49   #4
Tobsn
 
Trotz Format C Trojaner Problem! Help!? - Standard

Trotz Format C Trojaner Problem! Help!?



so, also der MWAV hat natürlich einiges gefunden. bei der musik hat er fast alles als infiziert gemeldet. da dies nur eine testversion ist, hat er keine änderungen vorgenommen. empfiehlt sich ein kauf der software?
die mbr.exe hat nichts gesagt, bzw stand nicht MBR rootkit code detected ! im log file.
nur: Stealth MBR rootkit detector 0.2.4 by Gmer, http://w**.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


würde es denn ausreichen wenn ich meine komplette musik löschen würde? ich habe zwar viel musik, aber das sind dateien die ich vom ipod wieder herstellen könnte (der sollte noch virenfrei sein). schlimmer sind einige dokumente aus meinem studium!

gruß

Alt 06.09.2008, 19:36   #5
undoreal
/// AVZ-Toolkit Guru
 
Trotz Format C Trojaner Problem! Help!? - Standard

Trotz Format C Trojaner Problem! Help!?



Zitat:
empfiehlt sich ein kauf der software?
nö, die Dateien kannst du auch manuell löschen.

Zitat:
würde es denn ausreichen wenn ich meine komplette musik löschen würde?
sollte reichen ja.

Die anderen Dateien sollten halt nicht ausführbar sein und mit MWAV gecheckt werden wie ich es unten gepostet habe..

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 14.09.2008, 16:03   #6
Tobsn
 
Trotz Format C Trojaner Problem! Help!? - Standard

Trotz Format C Trojaner Problem! Help!?



ich danke dir nochmal! habe jetzt die gesamte musik gelöscht. muss aber nochmal die anderen dateien checken lassen. hatte in den letzten wochen leider keine zeit....

gruß

Antwort

Themen zu Trotz Format C Trojaner Problem! Help!?
adobe, bho, bonjour, browser, defender, desktop, entfernen, erste mal, festplatte, format, gservice, handel, help, hijack, hijackthis, hkus\s-1-5-18, infizierte dateien, internet, internet explorer, musik, problem, rundll, senden, software, solution, system, trojaner, virus, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Trotz Format C Trojaner Problem! Help!?


  1. Internet Problem trotz Lan-Verbindung
    Log-Analyse und Auswertung - 15.10.2014 (4)
  2. 100 euro trojaner nach der neuaufsetzung von windows xp alle dateien fotos mp3 txt in fremden format
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (1)
  3. Trojan ADH trotz format C: immer noch aktiv
    Log-Analyse und Auswertung - 14.02.2011 (1)
  4. Rätselhafte Bildfehler trotz Format C:
    Alles rund um Windows - 03.07.2009 (1)
  5. Rootkit trotz format c: noch erhalten?
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (13)
  6. Schwerwiegendes Problem! Virus trotz Formatierung
    Mülltonne - 20.12.2008 (2)
  7. Trojaner oder Virus - PC spinnt. Format C ?
    Plagegeister aller Art und deren Bekämpfung - 21.09.2008 (38)
  8. Trojaner nach low level Format immer noch nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 13.07.2008 (22)
  9. rtf-Format-Problem OpenOffice
    Alles rund um Windows - 19.03.2008 (4)
  10. Wlan problem! Trotz super emfang extrem langsames i-net
    Alles rund um Windows - 13.11.2007 (1)
  11. Problem mit Format C
    Plagegeister aller Art und deren Bekämpfung - 03.11.2007 (5)
  12. trotz neuinstallation problem mit trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.06.2007 (1)
  13. Problem mit .avi Format
    Alles rund um Windows - 02.01.2007 (5)
  14. system error trotz format c:
    Log-Analyse und Auswertung - 21.12.2006 (12)
  15. TROTZ format c: VIRUS ;( schnelle Hilfe
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (2)
  16. Low-Level-Format-resistenter Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 12.07.2003 (83)
  17. Problem bezüglich format c
    Archiv - 02.01.2003 (11)

Zum Thema Trotz Format C Trojaner Problem! Help!? - Hallo Leute, ich hoffe mir kann einer helfen. ein freund von mir wollte sich etwas an meinem pc herunterladen und mir dabei einen trojaner eingefangen. laut bit defender handelt es - Trotz Format C Trojaner Problem! Help!?...
Archiv
Du betrachtest: Trotz Format C Trojaner Problem! Help!? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.