Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: trojaner-infektion, firewall kaputt?!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.11.2008, 00:22   #1
srtmxx
 
trojaner-infektion, firewall kaputt?! - Standard

trojaner-infektion, firewall kaputt?!



Hallo und guten Abend, oder guten Morgen, je nachdem … (gäääähhn)

Habe gerade 12 Stunden am Rechner einer Bekannten gesessen, der folgende Probleme hatte: keine Avir-updates mehr möglich, falsche Google-links, Abstürze usw… Das Übliche eben.
Als ich gestern kam, ließ er sich gar nicht mehr starten, auch nicht im abgesicherten Modus.
CD-Rom-Boot --> Avira-Rescue hat etliches gefunden und erstmal umbenannt. Danach abgesicherter Modus wieder möglich. Dort Malewarebites installiert, dann Scan. Auch etliches gefunden, Quarantäne. Dann normaler Systemstart, tagesaktuelles Antivir durchlaufen lassen und die vorhin umbenannten Dateien in Quarantäne. Und zwar folgende:
(alles win/sys32)
imagx532.dll
tdssadw.dll
tdssl.dll
tdsslog.dll
tdssmain.dll
tdssserf.dll
tdssserf1.dll
und zu guter letzt:
/drivers/tdssserv.sys !!!

div. Rootkitscans: nichts gefunden
Spybot: nichts gefunden

Mehrfache Neustarts und Scans: nichts mehr gefunden. Der Rechner scheint soweit sauber und funktioniert auch wieder einwandfrei. Das heißt, fast …
Die Windows-updates funktionieren nicht: Fehlercode: Ox800704DD
Aber vor allem: windows firewall ist deaktiviert, und es gibt auch keine Sicherheitswarnungen. Wenn ich sie aktiviere und den Rechner neustarte, ist sie wieder deaktiviert, obwohl der Dienst gestartet ist. (Wie übrigens alle anderen MS-Dienste auch).
Dabei ist es egal, ob ich Zone-alarm aus dem Systemstart rausnehme oder nicht. (Dachte erst, die zwei vertragen sich nicht.)

Meine Vermutung: der Rechner ist zwar wieder sauber, aber die oben erwähnte .sys hat irgendwo Schaden angerichtet. Deswegen will ich morgen, oh verdammt (auf die Uhr guck), äh heute, oder vielmehr dann von Windows-CD booten, reparieren und hoffen.

Mein Problem: Ich bin mir nicht sicher!

Meine Bitte: Im Anschluss folgen zwei HJT-Log´s. Das erste habe ich gemacht gleich nachdem ich im abgesicherten Modus wieder starten konnte. Also zwar nach dem Umbenennen durch avira-rescue, aber vor dem Aufräumen. Das Zweite ist von sechs Stunden später, als der Rechner wieder „normal“ lief.
Sollte irgendjemand der wirklich Ahnung hat etwas finden, das ich übersehen habe, oder eine Idee haben, was die böde .sys getan haben könnte, oder auch irgendeine ganz andere Idee, wäre ich wirklich dankbar.

Ach ja, ein „das mußte neu aufsetzen“ lass ich nicht gelten …

Vielen Dank im Voraus, und Gute Nacht, Guten Morgen, oder was immer. Carpe Diem!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:45:19, on 15.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\mosec\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.30.217.10:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {6FFAA46E-64D6-483E-BE3D-D5934FAE5BD5} - C:\WINDOWS\system32\imagx532.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4460 bytes



und das nächste:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:57, on 15.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
E:\mosec\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.30.217.10:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4240 bytes

Alt 16.11.2008, 19:52   #2
srtmxx
 
trojaner-infektion, firewall kaputt?! - Standard

trojaner-infektion, firewall kaputt?!



Falls es irgendwen interessiert: 1.Problem: ZoneAlarm -> Firewall -> Grundeinstellungen -> Erweitert -> win-firewall deaktivieren.
Ist diese Option gewählt, hilft es auch nicht ZoneAlarm aus dem Systemstart zu nehmen, die firewall bleibt aus.

Problem 2: schon interessanter. HKEY_LOCAL_MASCHINE -> Software -> Microsoft -> Windows NT -> Current Version -> Winlogon -> Notify -> sollte diverse Ordner enthalten, unter anderem -> SensLogn, war aber leer.
Die Folge: Windows kann nicht updaten!
Die Lösung: zig Schlüssel manuell schreiben, oder Windows rerarieren, fertig!
(Jetzt haben wir also auch SP3 und IE7 ...
__________________


Antwort

Themen zu trojaner-infektion, firewall kaputt?!
adobe, anschluss, antivir, antivirus, bho, booten, dateien, download, excel, explorer, firewall, funktionieren nicht, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, kaputt, launch, letzt, microsoft, monitor, nicht sicher, programme, rundll, senden, software, starten, windows xp, wmi



Ähnliche Themen: trojaner-infektion, firewall kaputt?!


  1. Windows 7: fbdownoader im Browser, Infektion mit Gen:Adware.Heur.lu8@Yfys1Lli., unbekannte Netzwerke in Firewall
    Log-Analyse und Auswertung - 16.10.2014 (13)
  2. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  3. TR7Crypt.EPACK.Gen2 Trojaner und/oder Festplatte kaputt
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (5)
  4. HProblem nach Maleware-Infektion - Windows Update/Firewall/Defender
    Plagegeister aller Art und deren Bekämpfung - 14.12.2013 (5)
  5. Trojaner Dropper/ Bitte schnelle Hilfe , PC geht kaputt
    Plagegeister aller Art und deren Bekämpfung - 28.10.2013 (13)
  6. GVU BKA Trojaner Infektion.
    Plagegeister aller Art und deren Bekämpfung - 13.05.2013 (10)
  7. Trojaner(?): Festplatte angeblich kaputt, Desktop ist schwarz, Startmenü leer
    Plagegeister aller Art und deren Bekämpfung - 03.08.2012 (14)
  8. RAM Kaputt, oder Trojaner?
    Netzwerk und Hardware - 26.07.2012 (3)
  9. Bundespolizei Trojaner nach Entfernung mit Malware hängt PC Immernoch und Windows Explorer kaputt
    Log-Analyse und Auswertung - 21.07.2012 (6)
  10. Trojaner ist kaputt
    Plagegeister aller Art und deren Bekämpfung - 15.12.2010 (0)
  11. Windows Server 2003 SBS defekt, Dienste kaputt, kein Trojaner oder Virus gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.09.2009 (7)
  12. CID Trojaner macht meine PC kaputt!
    Mülltonne - 11.12.2008 (1)
  13. PC zeigt komische Sachen, Virus,Trojaner oder Graka kaputt?
    Plagegeister aller Art und deren Bekämpfung - 11.11.2008 (5)
  14. PC zeigt komische Sachen, Virus,Trojaner oder Graka kaputt?
    Mülltonne - 09.11.2008 (0)
  15. Trojaner macht alles kaputt
    Plagegeister aller Art und deren Bekämpfung - 27.12.2007 (0)
  16. Windows Firewall kaputt?
    Antiviren-, Firewall- und andere Schutzprogramme - 17.03.2006 (5)
  17. HILFE!!! trojaner? ie kaputt und diverse software.
    Log-Analyse und Auswertung - 20.01.2005 (21)

Zum Thema trojaner-infektion, firewall kaputt?! - Hallo und guten Abend, oder guten Morgen, je nachdem … (gäääähhn) Habe gerade 12 Stunden am Rechner einer Bekannten gesessen, der folgende Probleme hatte: keine Avir-updates mehr möglich, falsche Google-links, - trojaner-infektion, firewall kaputt?!...
Archiv
Du betrachtest: trojaner-infektion, firewall kaputt?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.