Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Zwei Trojaner gefunden

Zwei Trojaner gefunden


Log-Analyse und Auswertung: Zwei Trojaner gefunden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 07.12.2008, 21:49   #1
formatb
 
Zwei Trojaner gefunden - Beitrag

Zwei Trojaner gefunden


Hallo ich habe zwei Trojaner (laut AV nicht besonders stark) auf meinem PC gefunden.

1. TR/ATRAPS.GEN (c:\windows\system32\)
2. TR/Crypt.XPACK.Gen

Ich habe bis jetzt CCleaner laufen lassen wie auf http://virus-protect.org/ccleaner.html beschrieben.

Anschliessend noch Combofix und HijackThis mit nachfolgenden Logfiles!

Danke für die Hilfe!

----------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:36:59, on 07.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Launch LgDevAgt] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - /wuweb_site.cab?1187798016046
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - /muweb_site.cab?1187804758671
O17 - HKLM\System\CS5\Services\Tcpip\..\{0993F3A6-6960-4DB7-97FE-38B7402C7F6F}: NameServer = 85.255.112.212;85.255.112.238
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 07.12.2008, 21:50   #2
formatb
 
Zwei Trojaner gefunden - Standard

Zwei Trojaner gefunden


ComboFix 08-12-06.06 - mike 2008-12-07 21:28:35.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2561 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\mike\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
c:\windows\Readme.txt
E:\Autorun.inf
E:\resycled
F:\Autorun.inf
F:\resycled

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-07 bis 2008-12-07 ))))))))))))))))))))))))))))))
.

2008-12-07 20:30 . 2008-12-07 20:30 <DIR> d-------- c:\programme\CCleaner
2008-12-07 20:22 . 2008-12-07 20:22 <DIR> d-------- c:\programme\Trend Micro
2008-12-04 22:33 . 2008-12-04 22:33 682,280 --a------ c:\windows\system32\pbsvc.exe
2008-12-03 19:21 . 2008-12-03 19:21 <DIR> d-------- c:\windows\system32\AGEIA
2008-12-03 19:21 . 2008-12-03 19:21 <DIR> d-------- c:\windows\nview
2008-12-03 19:21 . 2008-12-03 19:21 <DIR> d-------- c:\programme\AGEIA Technologies
2008-12-03 19:21 . 2008-10-07 13:33 453,152 --a------ c:\windows\system32\nvudisp.exe
2008-12-03 19:21 . 2008-12-07 10:35 200,819 --a------ c:\windows\system32\nvapps.xml
2008-12-03 19:21 . 2008-10-07 13:33 18,477 --a------ c:\windows\system32\nvdisp.nvu
2008-12-03 19:02 . 2008-12-03 19:02 552 --a------ c:\windows\system32\d3d8caps.dat
2008-12-03 19:01 . 2008-12-03 19:02 <DIR> d-------- c:\programme\SystemRequirementsLab
2008-12-03 19:01 . 2008-12-03 19:01 <DIR> d-------- c:\dokumente und einstellungen\mike\SystemRequirementsLab
2008-12-03 18:47 . 2008-11-12 13:45 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2008-12-02 19:09 . 2008-12-02 19:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-30 18:42 . 2008-11-30 18:45 <DIR> d-------- C:\vcs5core
2008-11-30 18:42 . 2008-11-30 21:18 <DIR> d-------- C:\vcs5BGEffects
2008-11-30 18:42 . 2008-11-30 18:42 <DIR> d-------- C:\AV_LOGS
2008-11-30 18:41 . 2008-11-30 21:18 <DIR> d-------- c:\programme\AV Vcs 6.0 GOLD
2008-11-27 20:03 . 2008-11-27 20:03 <DIR> d-------- C:\rivatuner
2008-11-27 20:03 . 2008-11-27 20:04 <DIR> d-------- c:\programme\RivaTuner v2.20
2008-11-25 20:24 . 2008-11-25 20:24 <DIR> d-------- c:\programme\iTunes
2008-11-25 20:24 . 2008-11-25 20:24 <DIR> d-------- c:\programme\iPod
2008-11-25 20:24 . 2008-11-25 20:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-25 20:21 . 2008-11-25 20:21 <DIR> d-------- c:\programme\QuickTime
2008-11-20 21:44 . 2008-11-20 21:44 42,320 --a------ c:\windows\system32\xfcodec.dll
2008-11-19 17:54 . 2008-08-05 20:10 1,684,736 --a------ c:\windows\system32\drivers\Ambfilt.sys
2008-11-19 17:54 . 2006-01-04 15:41 1,389,056 --a------ c:\windows\system32\drivers\Monfilt.sys
2008-11-19 17:54 . 2008-11-10 15:35 34,816 --a------ c:\windows\system32\RtkCoInstXP.dll
2008-11-16 22:48 . 2008-12-05 22:58 <DIR> d-------- C:\filme
2008-11-12 20:37 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 20:36 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-09 13:07 . 2008-11-09 13:07 <DIR> d-------- c:\programme\DVD Shrink
2008-11-08 20:50 . 2008-12-05 19:07 <DIR> d-------- c:\programme\PB

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-07 20:31 11,728,928 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-12-07 19:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-06 22:33 134,756 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-12-06 14:29 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\Xfire
2008-12-06 09:23 202,000 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-06 09:23 139,280 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-12-06 09:20 --------- d-----w c:\programme\Xfire
2008-12-06 08:03 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\FileZilla
2008-12-05 16:49 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\teamspeak2
2008-12-05 15:12 2,959,360 ----a-w c:\windows\Internet Logs\xDB19.tmp
2008-12-05 15:10 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-04 22:10 2,954,240 ----a-w c:\windows\Internet Logs\xDB18.tmp
2008-12-04 21:37 2,959,360 ----a-w c:\windows\Internet Logs\xDB17.tmp
2008-12-04 21:33 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-12-04 21:33 22,328 ----a-w c:\dokumente und einstellungen\mike\Anwendungsdaten\PnkBstrK.sys
2008-12-03 18:21 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-02 18:06 4,074 ----a-w c:\windows\system32\ealregsnapshot1.reg
2008-12-01 20:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-12-01 20:32 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\dvdcss
2008-12-01 06:03 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\OpenOffice.org2
2008-11-25 23:15 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\Skype
2008-11-25 23:02 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\skypePM
2008-11-25 19:24 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-22 18:21 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-20 20:04 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\CSS-WarFinder
2008-11-12 20:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-11-12 16:35 --------- d-----w c:\programme\Soulseek
2008-11-11 16:21 4,946,944 ----a-w c:\windows\system32\drivers\RtkHDAud.sys
2008-11-10 19:21 --------- d-----w c:\programme\FileZilla FTP Client
2008-11-10 17:42 --------- d-----w c:\programme\ICQ6
2008-11-07 15:40 17,421,824 ----a-w c:\windows\RTHDCPL.EXE
2008-11-03 19:29 485,376 ----a-w c:\windows\Internet Logs\xDB16.tmp
2008-10-26 16:13 --------- d-----w c:\programme\Native Instruments
2008-10-25 19:37 --------- d-----w c:\programme\SlySoft
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-18 10:34 2,701,312 ----a-w c:\windows\Internet Logs\xDB15.tmp
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-11 08:04 --------- d-----w c:\dokumente und einstellungen\mike\Anwendungsdaten\Locktime
2008-10-09 16:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Locktime
2008-10-04 16:15 45,056 ----a-w c:\windows\Internet Logs\xDB13.tmp
2008-10-04 16:15 2,639,360 ----a-w c:\windows\Internet Logs\xDB14.tmp
2008-10-04 14:03 28,160 ----a-w c:\windows\Internet Logs\xDB11.tmp
2008-10-04 14:03 2,629,120 ----a-w c:\windows\Internet Logs\xDB12.tmp
2008-10-04 13:37 320,000 ----a-w c:\windows\Internet Logs\xDB10.tmp
2008-09-30 18:21 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-30 15:38 2,168,320 ----a-w c:\windows\MicCal.exe
2008-09-28 11:42 4,756,991 ----a-w c:\windows\Internet Logs\tvDebug.zip
2008-09-20 15:32 682,496 ----a-w c:\windows\Internet Logs\xDBF.tmp
2008-09-19 16:48 1,200,128 ----a-w c:\windows\RtlUpd.exe
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"STYLEXP"="c:\programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"MsnMsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Launch LgDevAgt"="c:\programme\Logitech\GamePanel Software\LgDevAgt.exe" [2007-12-13 346648]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-12-13 2095640]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-11-07 c:\windows\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-08-26 25214]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-08-06 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"=e:\adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_0_0
"Steam"="f:\steam\steam.exe" -silent
"BitTorrent DNA"="c:\programme\DNA\btdna.exe"
"EA Core"=c:\programme\Electronic Arts\EADM\Core.exe -silent
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"AnyDVD"=c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe
"ICQ"="c:\progra~1\ICQ6\ICQ.exe" silent
"ICQ Library"=c:\programme\ICQ6\ICQ.exe
"Xfire"=c:\programme\Xfire\xfire.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"Adobe Version Cue CS2"="e:\adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
"Acrobat Assistant 7.0"="e:\adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" /hide
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"Start WingMan Profiler"=c:\programme\Logitech\Gaming Software\LWEMon.exe /noui
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"HPHUPD08"=c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"SearchSettings"=c:\programme\Search Settings\SearchSettings.exe
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Games\\AOE3\\age3x.exe"=
"e:\\Games\\AOE3\\age3y.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"e:\\Games\\COD4\\iw3mp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"e:\\Games\\BF2142\\BF2142.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"f:\\S.T.A.L.K.E.R\\bin\\XR_3DA.exe"=
"f:\\S.T.A.L.K.E.R\\bin\\dedicated\\XR_3DA.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Games\\COD5\\CoDWaW.exe"=
"e:\\Games\\COD5\\CoDWaWmp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0FF3767A-1915-1BAE-0306-080507030200}]
c:\windows\System32\svchostreg.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-AtiExtEvent - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.www.daemon-search.com/default
uInternet Settings,ProxyOverride = *.local
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - e:\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\mike\Anwendungsdaten\Mozilla\Firefox\Profiles\nyfin8xo.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/firefox
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\DNA\plugins\npbtdna.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-07 21:31:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2008-12-07 21:32:43
ComboFix-quarantined-files.txt 2008-12-07 20:32:40

Vor Suchlauf: 22 Verzeichnis(se), 20.625.448.960 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 20,647,936,000 Bytes frei

270 --- E O F --- 2008-11-12 20:56:46
__________________
Alt 08.12.2008, 12:25   #3
undoreal
/// AVZ-Toolkit Guru
 
Zwei Trojaner gefunden - Standard

Zwei Trojaner gefunden


Hallöle.

Du surfst mit Umleitung über die Ukraine zu uns und wirst dabei ausspioniert. Trenne den Rechner also physikalisch vom Internet. D.h. => LAN-Stecker ziehen!
Ändere danach von einem def. sauberen PC aus alle deine Passwörter und Zugangsaccounts!

Es wäre am besten wenn du den Rechner platt machen würdest! Nur so stellst du wieder ein vertrauenswürdiges System her!

Und lass' in Zukunft die Finger von illegalen/nicht-vertrauenswürdigen Dateien aus dem Internet! Grade P2P-Filesharing Börsen wie (Torrent, eMule, Kazaa ...) sind extrem verseucht!

Wenn du trotz des Risikos eine Bereinigung versuchen möchtest geht's so weiter:

DNS-Einträge entfernen:

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden
-poste bitten den Bericht: C:\fixwareout\report.txt

{mfg an [Gc]Sunny}

Fixe nun mit HijackThis folgende Einträge:
Zitat:
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O17 - HKLM\System\CS5\Services\Tcpip\..\{0993F3A6-6960-4DB7-97FE-38B7402C7F6F}: NameServer = 85.255.112.212;85.255.112.238
Überprüfe den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
c:\windows\system32\xfcodec.dll
c:\windows\system32\drivers\Ambfilt.sys
c:\windows\system32\drivers\Monfilt.sys
c:\windows\system32\RtkCoInstXP.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.


Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Folders to delete:
c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA6 4CB79BCF6}
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste auch ein frisches hJT log.
__________________
__________________
Geändert von undoreal (08.12.2008 um 12:40 Uhr)

Alt 08.12.2008, 14:04   #4
formatb
 
Zwei Trojaner gefunden - Standard

Zwei Trojaner gefunden


Also wenn ich gesetzenfalls den Rechner komplett platt mache (formatiere) habe ich kein Problem mehr!?
Welches Risiko besteht wenn ich eine Bereinigung versuche?
Wenn ich die wichtigsten Dateien auf dvd kopiere und dann prüfe. Wie gross ist die Möglickeit das der Trojaner sich darauf auch mitkopiert?
Und mit welchen Tools könnte ich anschliessend am besten testen!
Ich werde auf jeden Fall eine Bereinigung versuchen!
Werde heute Abend mal das Ganze in Angriff nehmen!

Alt 08.12.2008, 16:42   #5
undoreal
/// AVZ-Toolkit Guru
 
Zwei Trojaner gefunden - Standard

Zwei Trojaner gefunden


Eine sichere Formatierung sieht so aus:

Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Eine BEreinigung birgt immer das Risiko, dass Schädlinge unbemerkt auf dem System verbleiben. Das System ist dann unbemerkt kompromitiert. Bietet daher vollen Zugriff für den Angreifer. Was das bedeutet kannst du dir selber überlegen...
Bei der Art von Infizierung die dein System aufweist empfehle ich ein Neuaufsetzen, gebe aber auch Hilfestellung zur Bereinigung.
Wäre die Infektion eindeutig von remotem Charakter tue ich das nicht weil es einfach zu gefährlich ist.
Zusammengefasst bedeutet das: Ich denke, dass sich das Risiko was eine Bereinigung birgt in Grenzen hält die man verkraften kann wenn keine Staatsgeheimnisse über den Rechner laufen...

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 09.12.2008, 17:25   #6
formatb
 
Zwei Trojaner gefunden - Standard

Zwei Trojaner gefunden


Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 3

09.12.2008 17:24:09
mbam-log-2008-12-09 (17-24-02).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 347156
Laufzeit: 2 hour(s), 1 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Install\winxp original machen\KeyGen.exe (Malware.Tool) -> No action taken.
E:\Webdesign\progs\keygen\keygen.exe (Trojan.Downloader) -> No action taken.
E:\Webdesign\progs\keygen\Vegas 6 keygen\Vegas6.exe (Trojan.Downloader) -> No action taken.
E:\Webdesign\progs\Keygen-SSG\keygen.exe (Trojan.Downloader) -> No action taken.

Antwort

Themen zu Zwei Trojaner gefunden
adobe, antivir, antivirus, avgnt, avgnt.exe, avira, bho, combofix, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, launch, microsoft, monitor, mozilla, nvidia, pdf, pdf-datei, programme, rojaner gefunden, rundll, software, system, tr/crypt.xpack.ge, trojaner, trojaner gefunden, tuneup.defrag, windows, windows xp, windows xp sp3, xp sp3, zwei trojaner


« Virus lässt sich nicht löschen. TR/Vundo.Gen | Sounddatei wird permanent abgespielt »


Ähnliche Themen: Zwei Trojaner gefunden


  1. Gesellschaft für Urheberrechtsverletzung - zwei Trojaner
    Log-Analyse und Auswertung - 05.07.2013 (1)
  2. Zwei Trojaner an Board...
    Plagegeister aller Art und deren Bekämpfung - 31.01.2013 (17)
  3. Zwei Trojaner / agent-61735 und 7473465
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (3)
  4. Entdeckung von zwei Funden SecurityHijack und Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (2)
  5. Erneut EXP/CVE-2012-0507 gefunden. Zwei Viren, aber nur einer lässt sich in Quarantäne verschieben
    Log-Analyse und Auswertung - 15.06.2012 (1)
  6. Gleich zwei Trojaner auf einmal?
    Plagegeister aller Art und deren Bekämpfung - 18.02.2012 (31)
  7. 100% CPU-Auslastung dank svchost.exe - zwei Trojaner gefunden!
    Log-Analyse und Auswertung - 24.10.2011 (1)
  8. TR/Crypt.XPACK.Gen3 auf Rechner zwei mal gefunden.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2011 (25)
  9. Zwei Trojaner durch Malwarebytes Anti-Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.09.2010 (44)
  10. zwei Trojaner - TR/ATRAPS.Gen
    Log-Analyse und Auswertung - 05.10.2009 (10)
  11. brauche hilfe..verdacht auf zwei trojaner
    Mülltonne - 06.01.2009 (0)
  12. Zwei Trojaner und vertrauliche Daten?
    Plagegeister aller Art und deren Bekämpfung - 03.03.2007 (3)
  13. Zwei Trojaner gefunden - was nun?
    Plagegeister aller Art und deren Bekämpfung - 12.11.2005 (23)
  14. Hilfe!! Hab zwei Trojaner die ich nicht wegbekomme!
    Log-Analyse und Auswertung - 02.11.2005 (1)
  15. HILFE! zwei trojaner auf meinem pc
    Log-Analyse und Auswertung - 25.07.2005 (2)
  16. zwei trojaner, aber was löschen ?:(
    Plagegeister aller Art und deren Bekämpfung - 25.02.2005 (10)
  17. ein wurm und zwei trojaner...
    Plagegeister aller Art und deren Bekämpfung - 11.12.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Zwei Trojaner gefunden - Hallo ich habe zwei Trojaner (laut AV nicht besonders stark) auf meinem PC gefunden. 1. TR/ATRAPS.GEN (c:\windows\system32\) 2. TR/Crypt.XPACK.Gen Ich habe bis jetzt CCleaner laufen lassen wie auf http://virus-protect.org/ccleaner.html beschrieben. - Zwei Trojaner gefunden...
Archiv
Du betrachtest: Zwei Trojaner gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131