Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner auf USB-Stick

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.11.2008, 14:28   #1
reihol
 
Trojaner auf USB-Stick - Standard

Trojaner auf USB-Stick



Hallo,

ich habe auf meinem USB-Stick einen Trojaner entdeckt (bzw. AntiVir) der über die autorun.inf startet. AntiVir meldet WORM/Small.I.35
Im Ordner Recycled auf dem Stick sind zwei Dateien Driveinfo.exe und voinfo.dll vorhanden.
Der Stick war schon länger im Gebrauch - McAffee hat bisher allerdings nichts gemeldet.

Kann mir jemand das Hijack Logfile ansehen, ob irgendetwas ungewöhnliches drin ist?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:37:09, on 12.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\Common Framework\udaterui.exe
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\Citrix\ICA CLient\wfcrun32.exe
C:\PROGRA~1\Citrix\ICACLI~1\WFICA32.EXE
C:\Programme\HP\HP Software Update\HPWUCli.exe
D:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = *.***.**.**:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\PROGRAMME\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll
O3 - Toolbar: I.R.I.S. Desktop Search - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - C:\Programme\IRIS Desktop Search\IRISDesktopSearchIntegration910.dll

O4 - HKLM\..\Run: [IeZonesClient] C:\Programme\Internet Explorer\IE_CliCfg.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [ICAKONFIG] C:\Programme\Citrix\ICA Client\SI\ICA_Konfig_3_0.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /systrayIconn /fln /frn /appDatan

O4 - HKLM\..\Run: [HPUsageTracking] C:\Programme\HP\HP UT\bin\hppusg.exe "C:\Programme\HP\HP UT\"
O4 - HKLM\..\Run: [SIExecuteUserProfile] SiExecuteUserProfile.exe
O4 - HKLM\..\Run: [SYS-JRE] cscript.exe /b /nologo /e:vbs "C:\PROGRAMME\Java\SYS-JRE\jre_login_config.vbs"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\Java\jre1.5.0_14\bin\npjpi150_14.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\Java\jre1.5.0_14\bin\npjpi150_14.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: DevLock2 - Unknown owner - C:\PROGRA~1\DevLock2\DEVLOC~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SIDefrag - Unknown owner - C:\WINDOWS\SYSTEM32\srvany.exe
O23 - Service: SMSSIAMon - Unknown owner - C:\VRZ\BIN\srvany.exe
O23 - Service: Soll/Ist Wert-Vergleich (Systemabgleich) - keine - C:\VRZ\Bin\SYSABG\SOLL\sysabgl.exe

--
End of file - 6195 bytes

Gruß
Holger

Alt 12.11.2008, 14:47   #2
undoreal
/// AVZ-Toolkit Guru
 
Trojaner auf USB-Stick - Standard

Trojaner auf USB-Stick



Halli hallo reihol

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
    Installiert bleiben dürfen nur Anti-Malware und SUPERAntiSpyware ohne Wächter.
    .
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\VRZ\Bin\SYSABG\SOLL\sysabgl.exe
C:\PROGRA~1\DevLock2\DEVLOC~1.EXE
C:\Windows\Installer\TSClientMsiTrans\tscuinst.v bs
SiExecuteUserProfile.exe <-- suchen lassen wie in meiner Signatur beschrieben wird!
C:\Programme\Internet Explorer\IE_CliCfg.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.



1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Räume mit cCleaner auf. (Punkt 1 und 2)

8) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.

9) Systemanalyse:
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.


__________________

__________________

Alt 12.11.2008, 15:13   #3
reihol
 
Trojaner auf USB-Stick - Standard

Trojaner auf USB-Stick



das ist ein Haufen Zeug - ich mach' mich mal an die Arbeit!
__________________

Alt 12.11.2008, 15:24   #4
undoreal
/// AVZ-Toolkit Guru
 
Trojaner auf USB-Stick - Standard

Trojaner auf USB-Stick



=) das ist es in der Tat. Sieht auch nicht grade rosig aus bei dir..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Trojaner auf USB-Stick
1.exe, adobe, antivir, antivir meldet, bho, cscript.exe, dateien, desktop, excel, explorer, explorer.exe, helper, hijack, hijack logfile, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, microsoft, ordner, pdf, programme, software, system, trojaner, trojaner auf usb-stick, usb-stick, windows, windows xp



Ähnliche Themen: Trojaner auf USB-Stick


  1. VBS/LNK.Jenxcus.Gen Trojaner auf USB Stick
    Log-Analyse und Auswertung - 02.10.2015 (9)
  2. Trojaner auf neuem USB Stick
    Plagegeister aller Art und deren Bekämpfung - 02.02.2015 (3)
  3. USB stick mit Trojaner
    Plagegeister aller Art und deren Bekämpfung - 05.01.2015 (4)
  4. Immer, wenn ich den USB Stick vom Fernseher abziehe und mit dem PC wieder verbinde, erscheint auf dem Stick eine CM0013 Datei.
    Plagegeister aller Art und deren Bekämpfung - 08.09.2014 (7)
  5. Trojaner per USB-Stick...?
    Plagegeister aller Art und deren Bekämpfung - 02.11.2013 (5)
  6. USB-Stick von Trojaner befreien
    Plagegeister aller Art und deren Bekämpfung - 17.04.2012 (2)
  7. WORM/Phorpiex.B.64 auf USB-Stick - Datenrettung vom USB-Stick?
    Plagegeister aller Art und deren Bekämpfung - 09.11.2011 (32)
  8. BKA-Trojaner -> USB-Stick infiziert?
    Plagegeister aller Art und deren Bekämpfung - 30.08.2011 (7)
  9. BKA Trojaner Bootfähigen USB-Stick erstellen
    Plagegeister aller Art und deren Bekämpfung - 16.08.2011 (1)
  10. Trojaner durch Surf-Stick?
    Plagegeister aller Art und deren Bekämpfung - 03.06.2011 (1)
  11. Trojaner auf PC & USB-Stick
    Plagegeister aller Art und deren Bekämpfung - 08.03.2011 (3)
  12. Virus auf USB-Stick? - USB-Stick wird beim Einstecken als Ordner angezeigt.
    Antiviren-, Firewall- und andere Schutzprogramme - 21.07.2010 (5)
  13. Trojaner TR/AutorunINF.29 durch USB-Stick
    Plagegeister aller Art und deren Bekämpfung - 25.01.2010 (32)
  14. Was tun bei Trojaner auf Memory Stick?
    Plagegeister aller Art und deren Bekämpfung - 01.11.2009 (7)
  15. Trojaner Meldung - USB Stick
    Log-Analyse und Auswertung - 31.08.2009 (4)
  16. Trojaner auf meinem USB-Stick :(
    Plagegeister aller Art und deren Bekämpfung - 28.04.2009 (0)
  17. USB-stick-Treiber ein Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 26.06.2006 (3)

Zum Thema Trojaner auf USB-Stick - Hallo, ich habe auf meinem USB-Stick einen Trojaner entdeckt (bzw. AntiVir) der über die autorun.inf startet. AntiVir meldet WORM/Small.I.35 Im Ordner Recycled auf dem Stick sind zwei Dateien Driveinfo.exe und - Trojaner auf USB-Stick...
Archiv
Du betrachtest: Trojaner auf USB-Stick auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.