Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: SHeur2.UGT

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.03.2009, 11:44   #1
tommes58
 
SHeur2.UGT - Standard

SHeur2.UGT



Hi,

vielleicht könnt Ihr mir ja beim auswerten meiner Log-File helfen? Ich wäre euch sehr dankbar!

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:29:26, on 15.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\DU Meter\DUMeterSvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\pctspk.exe
C:\WINXP\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\AQUIP\54M Wireless\Mrv8000x.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\tommes58.BIE\LOKALE~1\Temp\~nsu.tmp\Au_.exe
C:\Dokumente und Einstellungen\tommes58.BIE\Desktop\HiJackThis.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.dufpy.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\idaw64.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\S-1-5-21-790525478-813497703-1708537768-1003\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-21-790525478-813497703-1708537768-1003 Startup: Verknüpfung mit Ruhezeit-Aktivität vorziehen.lnk = ? (User '?')
O4 - S-1-5-21-790525478-813497703-1708537768-1003 Startup: Yahoo! Widgets.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgets.exe (User '?')
O4 - Startup: Verknüpfung mit Ruhezeit-Aktivität vorziehen.lnk = ?
O4 - Startup: Yahoo! Widgets.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: 54M Wireless.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1226477234717&h=460c5f0d1ff43ef8823dec06c9385350/&filename=jinstall-6u10-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FA81E151-CFE7-4B18-8B9E-8B96E62BAC11} (DownloadManager) - h**ps://de.web.sonynetservices.com/portal/applets/DownloadManager.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B51F575-8248-4430-98BC-979067E33B48}: NameServer = 192.168.0.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINXP\SYSTEM32\avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Programme\DU Meter\DUMeterSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINXP\system32\pctspk.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\TwonkyMedia\TwonkyMedia.exe

--
End of file - 11540 bytes
         
Danke für die Mühe!!

Alt 15.03.2009, 12:00   #2
nochdigger
 
SHeur2.UGT - Standard

SHeur2.UGT



Hallo und

Zitat:
Trojaner eingefangen
Wer meldet dir was wo gefunden wurde (Pfad/Dateiname - Schädlingsbezeichnung)?

Mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Dann lass diese Datei
C:\WINXP\system32\idaw64.exe
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

Anschließend arbeite bitte diese Anleitung ab
http://www.trojaner-board.de/69886-a...-beachten.html

MFG
__________________

__________________

Alt 15.03.2009, 12:26   #3
tommes58
 
SHeur2.UGT - Standard

SHeur2.UGT



Hi nochdigger,

also mein AVG hat mir gemeldet, dass im system32 Ordner ein Trojaner entdeckt wurde. Ich suche mal den Dateinamen.

Alle Dateien und Systemdatein werden im Explorer angezeigt, trotzdem finde ich keine idaw64.exe nur idq.dll und idndl.dll, kann dass dein sein, dass ich diese Datei nicht habe?

Hier der Bericht von AVG:

Trojaner: SHeur2.UGT im C:\WINXP\system32\reader_s.exe

Trojaner: SpamTool.AQY im C:\WINXP\system32\idaw64.exe (! Ah, da ist sie ja, soll ich diese wiederherstellen?)

Trojaner: SHeur2.UGT im C:\Dokumente und einstellungen\tommes58.BIE\reader_s.exe Verzeichnis.
__________________

Alt 15.03.2009, 12:44   #4
nochdigger
 
SHeur2.UGT - Standard

SHeur2.UGT



Hallo

Zitat:
Trojaner: SpamTool.AQY im C:\WINXP\system32\idaw64.exe (! Ah, da ist sie ja, soll ich diese wiederherstellen?)
Ja mach das mal

Lass auch diese Datei
C:\WINXP\system32\reader_s.exe
überprüfen, ich fürchte aber du hast dir Virut eingefangen...

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 15.03.2009, 12:46   #5
tommes58
 
SHeur2.UGT - Standard

SHeur2.UGT



Okay, Virus, was aknn ich tun um den Schaden zu beheben? AntiVirus etc laufen lassen? Ich werde das mal probieren.


Alt 15.03.2009, 12:48   #6
tommes58
 
SHeur2.UGT - Standard

SHeur2.UGT



Wenn ich die Datei chekcen will kommt folgendes:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

obwohl die Datei 64 Mb groß ist. Verdammt, was kan ich tun?

Alt 15.03.2009, 12:49   #7
nochdigger
 
SHeur2.UGT - Standard

SHeur2.UGT



Hallo

Zitat:
Okay, Virus...
Wenn ich Virus gemeint hätte würde ich es auch schreiben
Virut ist ein Fileinfector und da bleibt nach meinem dafürhalten nur eine Neuinstallation.
Lass die Dateien erstmal prüfen.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 16.03.2009, 06:33   #8
tommes58
 
SHeur2.UGT - Standard

SHeur2.UGT



Hallo,

leider lässt sich die Datei nicht finden, wenn ich sie hochladen will, bekomm eich die Nachricht: "Die Datei kann nicht gefunden werden". Was kann ich tun??

Alt 16.03.2009, 06:39   #9
a5cl3p1o5
 
SHeur2.UGT - Standard

SHeur2.UGT



kurz reinspring

kopiere die Datei, benenne sie um und lade sie dann hoch

wieder rausspring
__________________
a5cl3p1o5, ehemals 45cl3p1u5

Alt 16.03.2009, 16:37   #10
nochdigger
 
SHeur2.UGT - Standard

SHeur2.UGT



Hallo

sollte das
Zitat:
kopiere die Datei, benenne sie um und lade sie dann hoch
nix werden, dann versuche einen Onlinescan hier
Free Virus Scan - Kaspersky Lab
oder hier
Kostenloser Online Virus und Spyware Scanner - Trend Micro Deutschland
und poste bitte die Funde hierher.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Antwort

Themen zu SHeur2.UGT
ad-aware, ask toolbar, auswerten, avg, avg free, bho, desktop, downloader, e-mail, einstellungen, excel, firefox, google, hijack, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, konvertieren, logfile, mozilla, object, pdf-datei, rundll, software, solution, system, usb, userinit.exe, windows, windows xp



Ähnliche Themen: SHeur2.UGT


  1. Trojaner SHeur2.APRQ und SHeur2.BQYZ auf Vokabeltrainer-CD gefunden!
    Antiviren-, Firewall- und andere Schutzprogramme - 30.08.2010 (4)
  2. Trojaner SHeur2.Capp
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (1)
  3. SHeur2.ARNC fund
    Log-Analyse und Auswertung - 19.07.2009 (0)
  4. Trojaner auf PC - SHeur2.HAN
    Mülltonne - 24.12.2008 (0)
  5. Was tun? gadcom.exe/SHeur2.FYW
    Plagegeister aller Art und deren Bekämpfung - 23.12.2008 (1)
  6. gadcom.exe/SHeur2.FYW
    Mülltonne - 23.12.2008 (0)
  7. SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE
    Log-Analyse und Auswertung - 12.12.2008 (1)

Zum Thema SHeur2.UGT - Hi, vielleicht könnt Ihr mir ja beim auswerten meiner Log-File helfen? Ich wäre euch sehr dankbar! Code: Alles auswählen Aufklappen ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at - SHeur2.UGT...
Archiv
Du betrachtest: SHeur2.UGT auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.