Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: trojaner ist hartnäckig

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.06.2004, 11:13   #1
alex1274
 
trojaner ist hartnäckig - Beitrag

trojaner ist hartnäckig



hi leute,
habe mir einen trojaner eingefangen und das entfernen wie hier im forum beschrieben mit antivir, e-scan im abgesicherten modus und hijack this versucht.

nix zu machen, immer wieder taucht der trojaner neu in den logs auf, nach löschen einfach unter einem anderen namen. hier das logfile:

Logfile of HijackThis v1.97.7
Scan saved at 12:08:46, on 21.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\atlpo32.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\WINNT\Mixer.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\sdknr32.exe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\4D Browser Mouse\Scw64.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\System32\mdm.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Treiber&Software\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\xueny.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xueny.dll/index.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xueny.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\xueny.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xueny.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\xueny.dll/sp.html#10213
O2 - BHO: (no name) - {67ADFA69-2840-52FA-C690-C237682F8F6C} - C:\WINNT\system32\crkd.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [sdknr32.exe] C:\WINNT\system32\sdknr32.exe
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - Global Startup: 4D Browser Mouse.lnk = C:\Programme\4D Browser Mouse\Scw64.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19FA0E09-1CDB-4645-95EF-735C045BDA60}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{19FA0E09-1CDB-4645-95EF-735C045BDA60}: NameServer = 62.104.191.241 62.104.196.134

p.s.: wenn ich die zeilen 3 folgende lösche (res:/xueny.dll usw.), dann taucht im nächsten scan einfach eine andere dll mit dem gleichen effekt auf. auch die bereinigung mit adaware bringt keinen dauerhaften erfolg. kann jemand helfen? vielen dank im voraus!

alex

Alt 21.06.2004, 14:23   #2
nitro
 
trojaner ist hartnäckig - Beitrag

trojaner ist hartnäckig



genau so machen dann geht es komplett!!! weg [img]smile.gif[/img]
http://www.trojaner-board.de/forum/u...c;f=6;t=005614
__________________


Alt 21.06.2004, 15:49   #3
alex1274
 
trojaner ist hartnäckig - Beitrag

trojaner ist hartnäckig



wer lesen kann, ist klar im vorteil! sorry, aber das genau das hab ich ja schon gemacht, auch antivir mehrmals, im abgesicherten modus und normal, direkt danach noch e-clean UND hijackthis. trotzdem immer wieder mysteriöse startseiten.... echt zum kotzen! wer hat die lösung?
__________________

Alt 21.06.2004, 15:54   #4
mmk
 
trojaner ist hartnäckig - Blinzeln

trojaner ist hartnäckig



Bitte etwas Geduld. Die Masse der Anfragen ist nicht gerade wenig.
__________________
Grüße, Markus

Alt 21.06.2004, 16:53   #5
mmk
 
trojaner ist hartnäckig - Idee

trojaner ist hartnäckig



Hallo!

C:\WINNT\system32\atlpo32.exe
C:\WINNT\system32\sdknr32.exe
C:\WINNT\xueny.dll
C:\WINNT\system32\crkd.dll

Prüf diese Dateien bitte hier:

http://www.kaspersky.com/de/scanforvirus
Poste hier die Ergebnisse, bevor du was löschst!


Markiere dann die folgenden Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\xueny.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xueny.dll/index.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xueny.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\xueny.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xueny.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\xueny.dll/sp.html#10213
O2 - BHO: (no name) - {67ADFA69-2840-52FA-C690-C237682F8F6C} - C:\WINNT\system32\crkd.dll
O4 - HKLM\..\Run: [sdknr32.exe] C:\WINNT\system32\sdknr32.exe


Geh dann wie folgt vor:

1.) Den Internet Explorer und alle Windows Explorer Fenster schließen.
2.) In HijackThis die oben genannten Einträge markieren, dann "Fix checked" wählen.
3.) Systemwiederherstellung deaktivieren. http://www.systemwiederherstellung-d...indows-xp.html
4.) Windows im abgesicherten Modus (dazu Taste F8 nach dem Einschalten des PC's gedrückt halten und anschl. Start im abgesicherten Modus auswählen) starten.
5.) Dort alle oben genannten Dateien löschen!
6.) eScan laufen lassen (nicht vergessen, vorher updzudaten): http://www.trojaner-board.de/forum/u...c;f=6;t=005602
6.) Neustart im normalen Modus.
7.) Prüfen mit HijackThis, ob alles entfernt wurde.
8.) Browserwechsel. Mit dem IE wirst du immer wieder mit solchen Trojanern "beglückt" werden. Tipp: Mozilla Firefox: http://mozilla-europe.org/de/

__________________
Grüße, Markus

Alt 23.06.2004, 10:26   #6
alex1274
 
trojaner ist hartnäckig - Unglücklich

trojaner ist hartnäckig



ich habe win2k als betriebssystem, nicht xp. gibts bei 2000 auch diese option systemwiederherstellung? hab beim googeln nix gefunden...

das system ist noch immer befallen, irgendwie kann ich die wurzel des übels nicht rausreißen... hab alles genauso gemacht wie besprochen. moment, poste noch mal das hijack-log:
Logfile of HijackThis v1.97.7
Scan saved at 11:25:30, on 23.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\Mixer.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\4D Browser Mouse\Scw64.exe
C:\WINNT\System32\mdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Script Debugger\msscrdbg.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Treiber&Software\HijackThis.exe

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [winupd] C:\WINNT\system32\winupd.exe
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - Global Startup: 4D Browser Mouse.lnk = C:\Programme\4D Browser Mouse\Scw64.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19FA0E09-1CDB-4645-95EF-735C045BDA60}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{19FA0E09-1CDB-4645-95EF-735C045BDA60}: NameServer = 62.104.191.241 62.104.196.134

jedesmal wenn ich den ie aufmache, kriege ich von antivir eine trojaner-meldung nach der anderen... so langsam werde ich paranoid [img]graemlins/koch.gif[/img]

Alt 23.06.2004, 16:22   #7
mmk
 
trojaner ist hartnäckig - Beitrag

trojaner ist hartnäckig



Sorry, hatte mich bei dem Betriebssystem verguckt. Nein, da gibt es diese Funktion nicht (Systemwiederherstellung).


1.) Was ergaben die vorgeschlagenen Prüfungen der Dateien?
2.) Welche Meldungen bekommst du derzeit vom AV-Programm genau?
3.) Diesen Eintrag fixen:
O4 - HKLM\..\Run: [winupd] C:\WINNT\system32\winupd.exe
4.) Beherzige den Tipp des Browserwechsels.
__________________
Grüße, Markus

Antwort

Themen zu trojaner ist hartnäckig
.html, abgesicherten modus, administrator, antivir, bho, browser, dll, drivers, einstellungen, entfernen, explorer, google, hijack, hijack this, hijackthis, immer wieder, internet, internet explorer, logfile, löschen, microsoft, neu, nvcpl.dll, object, programme, rundll, shockwave, software, system, tcpip, trojaner, trojaner eingefangen, unter, vielen dank, windows



Ähnliche Themen: trojaner ist hartnäckig


  1. GVU Trojaner sehr hartnäckig- habe frst.txt erstellt und weiß nun nicht weiter
    Log-Analyse und Auswertung - 11.11.2014 (44)
  2. Windows7, Trojaner Software.Updater.UI.exe, Popup erscheint hartnäckig
    Log-Analyse und Auswertung - 21.03.2014 (17)
  3. GVU sehr hartnäckig
    Plagegeister aller Art und deren Bekämpfung - 07.06.2013 (25)
  4. BRAUCHE DRINGEND HILFE!!! PerformerSoft.com Virus/Trojaner? Hartnäckig!!!
    Plagegeister aller Art und deren Bekämpfung - 28.02.2013 (6)
  5. Trojaner (BKA) versteckt sich hartnäckig
    Log-Analyse und Auswertung - 14.11.2012 (44)
  6. polizei trojaner sehr hartnäckig! bitte um hilfe!
    Log-Analyse und Auswertung - 17.09.2012 (1)
  7. GVU-Trojaner mit Webcam hartnäckig!
    Plagegeister aller Art und deren Bekämpfung - 24.08.2012 (18)
  8. bka-trojaner hält sich hartnäckig
    Log-Analyse und Auswertung - 11.07.2012 (25)
  9. Bifrost_1.2.1.exe , hartnäckig
    Plagegeister aller Art und deren Bekämpfung - 31.10.2010 (9)
  10. Trojaner ist hartnäckig...
    Mülltonne - 25.10.2008 (0)
  11. Virtumonde !hartnäckig!
    Plagegeister aller Art und deren Bekämpfung - 27.07.2008 (11)
  12. Hartnäckig: google trojaner, popups, umleitung und blockaden
    Plagegeister aller Art und deren Bekämpfung - 06.11.2006 (2)
  13. Wintxl32.dll - Download Trojaner - Verflucht hartnäckig!
    Plagegeister aller Art und deren Bekämpfung - 11.03.2006 (1)
  14. Spyware und Trojaner zu hartnäckig :-(
    Log-Analyse und Auswertung - 07.01.2006 (1)
  15. Brauche Hilfe - Trojaner ist hartnäckig
    Log-Analyse und Auswertung - 04.09.2005 (11)
  16. Unbekannt und HARTNÄCKIG
    Log-Analyse und Auswertung - 02.10.2004 (1)
  17. Ein Trojaner ?? Ein Virus ?? Hartnäckig !!!
    Archiv - 15.01.2003 (6)

Zum Thema trojaner ist hartnäckig - hi leute, habe mir einen trojaner eingefangen und das entfernen wie hier im forum beschrieben mit antivir, e-scan im abgesicherten modus und hijack this versucht. nix zu machen, immer wieder - trojaner ist hartnäckig...
Archiv
Du betrachtest: trojaner ist hartnäckig auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.