| |
| |||||||
Log-Analyse und Auswertung: Bitte guckt Euch mein HJT log-file an!Hab nen Trojaner!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
14.10.2008, 17:50
| #1 |
| |  Bitte guckt Euch mein HJT log-file an!Hab nen Trojaner!Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:36:29, on 14.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\Programme\TRACEBoard\TRACEBoardSrv.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\TRACEBoard\TRACEBoardSrv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\IBM\Messages By IBM\ibmmessages.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\brastk.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\WINDOWS\system32\svqfwdcd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Winamp\winamp.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Ich selbst\Desktop\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.internetcologne.de/ O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe O4 - HKLM\..\Run: [XP Antispyware 2009] "C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" /hide O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe O4 - HKCU\..\Run: [stradm] C:\WINDOWS\system32\svqfwdcd.exe O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe O4 - HKCU\..\Run: [dscutilui] C:\WINDOWS\system32\wvsxadwb.exe O4 - HKCU\..\Run: [mntwin] C:\WINDOWS\system32\mvsxwlct.exe O4 - HKLM\..\Policies\Explorer\Run: [eJ93tltCSZ] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qfybuhiz\wjudmnej.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188142372444 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223909648154 O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: ActCfgInfo - {621483C7-EF15-1660-0E71-00BE5E159BBC} - C:\Programme\lxgaheb\ActCfgInfo.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: TRACEBoard_Service - TRACEBoard - C:\Programme\TRACEBoard\TRACEBoardSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6787 bytes http://www.trojaner-board.de/61930-mein-compi-ist-infiziert-mit-tr-fakeav-baj-2-a.html#post381716 Hatte das nämlich hier schon 2x gepostet, aber leider hat sich noch keiner gemeldet. Vielen Dank für die Hilfe Gruß Volker |
|
14.10.2008, 18:42
| #2 |
| Gesperrt | Bitte guckt Euch mein HJT log-file an!Hab nen Trojaner!Code:
ATTFilter MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Code:
ATTFilter C:\Programme\TRACEBoard\TRACEBoardSrv.exe
C:\WINDOWS\system32\brastk.exe <- 100% schädlich
C:\WINDOWS\system32\svqfwdcd.exe
C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" /hide
C:\WINDOWS\system32\wvsxadwb.exe
C:\WINDOWS\system32\mvsxwlct.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qfybuhiz\wjudmnej.exe
C:\Programme\lxgaheb\ActCfgInfo.dll
C:\WINDOWS\SYSTEM32\PLSRemote.exe
Falls sich einige dieser Dateien nicht finden lassen gehe so vor: Start->Systemsteuerung->Extras->Ordernoptionen->Zum Reiter ''Ansicht'' wechseln ->Hacken bei ''Erweiterungen bei bekannten Dateitypen ausblenden'' entfernen ->Hacken bei ''Geschützte Systemdateien ausblenden(empfohlen)'' entfernen ->Hacken bei ''Inhalte von Systemordern anzeigen''machen ->Punkt bei ''Alle Dateien und Ordner anzeigen''machen. Dann die Windowssuche öffnen(Start->Suchen) Dann öffnet sich ein Fenster mit dem Titel ''Suchergebnisse'' Dort klickst du auf ''Bevorzugte Einstellungen ändern'' Dann klickst du auf ''Datei- und Ordnersuchverhalten ändern'' Dann markierst du dort Erweitert und drückst auf OK Jetzt klickst du auf weitere Optionen und machst dort einen Hacken bei: -Systemordner durchsuchen -Versteckte Elemente durchsuchen -Unterordner dursuchen Dann gibst du bei bei ''Gesamter oder Teil des Dateinamens:'' xxxxxx ein ''Ein Wort oder ein Begriff innerhalb der Datei:'' lässt du frei. Bei ''Suchen in:'' wählst du Arbeitsplatz aus Dann klickst du auf Suchen und wartest ab bis eventuell etwas gefunden wird, falls das der Fall ist ladest du diese Datei bei VirusTotal hoch. Mein persönlicher Tipp ist bei diesem infizierten System allerdings Daten per Live-CD sichern, formatieren aller Partitionen und dann den Rechner Neuaufzusetzen, nicht nur wegen deiner eigenen Sicherheit, sondern der Sicherheit aller anderen Surfer. Dein PC kann z.B.oder ist schon in einem Bot-Netz eingegliedert und kann oder wurde schon für SPAM-Missbrauch benutzt und kann für Distributed Denial of Service-Attacken auf andere Server benutzt werden, die dadurch lahmgelegt werden. Gruß Geändert von Computergeni (14.10.2008 um 18:43 Uhr) Grund: Diese ständigen Rechtschreibfehler |
|
14.10.2008, 18:59
| #3 |
| | Bitte guckt Euch mein HJT log-file an!Hab nen Trojaner! Vielen Dank für die fixe Antwort. Da ich leider nicht so bewandert bin was Computer angeht, habe ich mich entschieden, das System zu plätten. Dann habe ich das alles wenigstens hinter mir und ich glaube, das krieg ich noch hin.
__________________Dein Vorschlage mit der LIve-CD....Habe mal im Internet geguckt, aber für mich leider keine befriedigende Anleitung gefunden. Kann ich die Daten auch alle auf eine externe Festplatte kopieren? Oder ist die dann auch verseucht von dem Trojaner? Wie sicher ich meine Daten? Vielen Dank Gruß Volker |
|
14.10.2008, 19:34
| #4 | |
| Gesperrt | Bitte guckt Euch mein HJT log-file an!Hab nen Trojaner!Zitat:
Eine Live-CD sollte von einem sauberen PC erstellt werden So erstellst du eine Live-CD: 1. Download Ubuntu 2. Brenne die ISO-Datei als Image auf CD 3. Ändere die Bootreihenfolge deines verseuchten PC's im BIOS auf 1.CD-ROM 4. Boote deinen verseuchten PC von der CD 5. Drücke nun F2 um die Sprache(Deutsch) auszuwählen 6. Klick auf Ubuntu testen 7. Warte bis sich der Ubuntudesktop komplett geladen hat. 8. Kopiere die wichtigen Daten auf deine externe Festplatte, außer ausführbare Dateien (.com; .ese; .bat; .cmd; .pif; .scf; .scr usw.) Ich finde es sehr fürsorglich, dass du dich für das ''Plätten'' entschieden hast. Gruß |
|
| Themen zu Bitte guckt Euch mein HJT log-file an!Hab nen Trojaner! |
| antispyware, antivir, avira, components, ctfmon.exe, desktop, dsl, einstellungen, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, log-file, logfile, microsoft, mozilla, mozilla thunderbird, programme, software, system, trojaner, tuneup.defrag, windows, windows xp, windows xp sp3, xp antispyware, xp sp3 |
