Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Autoit.EH

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 31.03.2009, 11:08   #1
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Hallo,

bin neu hier, schade, dachte ich käm um diese Thematik drumherum, aber jetzt hats meinen PC erwischt, trotz sämtlicher Vorsichtsmaßnahmen. Dennoch schön im Forum zu sein, hab nur Gutes von Euch gehört.

So zum Problem:

Hab mir den Trojaner TR/Autoit.EH und einen weiteren im Netz eingefangen, Antivir schlug Alarm, ich hab das System komplett gecheckt und nach dem Aufspüren des Trojaners ihn durch Löschen beseitigt und den CCCleaner meine Temp-Dateien löschen lassen, wo sich der Übeltäter befand.

Wollt jetzt sicher gehen, vielleicht guckt Ihr mal über meine HJThis Liste:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58:07, on 31.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://***.focus.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://***.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://***.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://***.focus.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.focus.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://***.focus.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programme\Megaupload\Mega Manager\MegaIEMn.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5000C342-D8AD-4BD2-AE71-0FD59B2AE313}: NameServer = 195.50.140.114 195.50.140.252
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6108 bytes

sockspy.dll sieht verdächtig aus, hatte gegoogelt hat schon einige Probleme verursacht.

Alt 31.03.2009, 11:10   #2
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Äh keine Probleme bei mir, sondern bei den Usern der älteren Threats im Netz.

Bei mir läuft alles NOCH einwandfrei, bis auf dass vorhin der PC abschmierte, was noch nie passiert ist.
__________________


Alt 31.03.2009, 11:46   #3
RushHour777
Gesperrt
 
TR/Autoit.EH - Standard

TR/Autoit.EH



hallo

bitte lies das http://www.trojaner-board.de/69886-a...-beachten.html

mfg RusdhHour777

habe ich doch glatt vergessen steht dort aber auch

Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

* Starte nochmals "HijackThis"
* Klick "open the Misc Tools section"
* Klick "Open Uninstall Manager"
* Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.)
* Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.
__________________

Geändert von RushHour777 (31.03.2009 um 11:52 Uhr)

Alt 31.03.2009, 11:51   #4
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Weiß cih doch, HJT war nur das Erste, Malwarebytes läuft, Rest folgt.
Dachte es könnte schonmal jemand was zu sagen...

Alt 31.03.2009, 12:41   #5
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
300_saver_01
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 7.1.0 - Deutsch
Adobe® Photoshop® Album Starter Edition 3.0
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
Call of Duty(R) - World at War(TM)
CCleaner (remove only)
CDex extraction audio
Cisco Systems VPN Client 4.8.02.0010
Citrix Presentation Server Client
Crysis(R)
Deinstallation der Arcor Online Software
Deinstallation der Arcor Online Software
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
DVD Shrink 3.2 deutsch (DeCSS-frei)
eMule
EVEREST Home Edition v2.20
EZdrummer
EZXDfh
Far Cry 2
Feederkennung (Windows Live Toolbar)
Free PDF to Word Doc Converter v1.1
Free YouTube Download 2.2
FreeMind
Google Earth
GUI for dvdauthor 1.05
heute-Bildschirmschoner 07 Screen Saver
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
ICQ Toolbar
ICQ6
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Macromedia Shockwave Player
Malwarebytes' Anti-Malware
Mega Manager
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Works
Mozilla Firefox (3.0.8)
MSN
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Native Instruments Absynth 4
Nero 7 Premium
NetXfer 2.50.380
OneCare Advisor (Windows Live Toolbar)
PDFCreator
Popupblocker (Windows Live Toolbar)
PunkBuster Services
QuickTime
Realtek High Definition Audio Driver
SDP Downloader
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB958439)
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Security Update for Microsoft Office Excel 2007 (KB958437)
Security Update for Microsoft Office OneNote 2007 (KB950130)
Security Update for Microsoft Office PowerPoint 2007 (KB951338)
Security Update for Microsoft Office Publisher 2007 (KB950114)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office Word 2007 (KB956358)
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Encoder (KB954156)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Smart Menus (Windows Live Toolbar)
Software Informer 1.0 BETA
Sony Picture Utility
Sony USB Driver
Steinberg Cubase SX v3.0.2.623
Steinberg HALion v2.0.3.5
SUPER © Version 2008.bld.24 (Jan 18, 2008)
SyncroSoft Emu (Remove only)
Syncrosofts Lizenz Kontrolle
TerraTec Home Cinema
TVUPlayer 2.4.1.0
Uninstall 1.0.0.1
Update for Microsoft Office Outlook 2007 (KB952142)
Update for Office 2007 (KB946691)
Update for Outlook 2007 Junk Email Filter (kb962871)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VC80CRTRedist - 8.0.50727.762
VideoLAN VLC media player 0.8.6a
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp
Winamp Toolbar
Windows Live Favorites für Windows Live Toolbar
Windows Live Messenger
Windows Live Outlook-Toolbar (Windows Live Toolbar)
Windows Live Sign-in Assistant
Windows Live Toolbar
Windows Live Toolbar
Windows Live Toolbar-Erweiterung (Windows Live Toolbar)
Windows Media Encoder 9-Reihe
Windows Media Encoder 9-Reihe
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Service Pack 3
WinRAR Archivierer
Xilisoft AVI to DVD Converter
Xilisoft Video Converter 3
XP Codec Pack


Alt 31.03.2009, 12:45   #6
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1923
Windows 5.1.2600 Service Pack 3

31.03.2009 13:44:44
mbam-log-2009-03-31 (13-44-44).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|K:\|)
Durchsuchte Objekte: 200391
Laufzeit: 58 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xttb00001.xttb00001toolbar (Adware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 01.04.2009, 10:30   #7
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Keiner, der mal drüberguckt?

Alt 01.04.2009, 11:25   #8
myrtille
/// TB-Ausbilder
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Was für ein Rechner ist das? Wo wurde der Befall gefunden?

Wofür brauchst du Citrix unc Cisco VPN?

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 01.04.2009, 12:05   #9
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Befall in den Temp-Ordnern, Mozilla Cache und einem Vista Ordner meiner externen Festplatte.

Cisco und VPN für Uni-Datenbanken einst.

Intel Pentium 4, 3,06GHz., 2,0GB Ram, XP SP3


Dank Dir für die Rückemldung.
Was mit meinen Berichten? Kann man daraus Schlüsse ziehen?

Alt 01.04.2009, 12:29   #10
myrtille
/// TB-Ausbilder
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Hi,

ich hätte bitte gern den genauen Befall jeweils mit dem genauen Pfad. Der Befall im Mozilla-Cache ist wahrscheinlich unbedenklich, würde ihn dennoch gerne sehen.

Die andern beiden sollte man sich genauer ansehen.


Du hast auf deinem Rechner einige Programme, die typisch für Firmenrechner sind. Daher wollte ich wissen, ob es sich um deinen eigenen oder einen Firmen/Uni-rechner handelt.
(Ja, ich weiß, dass man das nicht unbedingt aus "Was ist das für ein Rechner rauslesen kann". Daher die Frage nochmal in deutlich. )

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 01.04.2009, 12:51   #11
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Ich hab die Dinger bereits gelöscht, lass Antivir aber eben nochmal drübersehen, aber beim letzten Mal, hat Antivir nichts mehr gefunden.

Alt 01.04.2009, 12:55   #12
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 26. März 2009 17:01

Es wird nach 1322859 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ****
Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 11:54:01
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 22:03:03
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 22:03:04
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 22:03:04
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 22:25:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 13:34:29
ANTIVIR2.VDF : 7.1.2.199 1008640 Bytes 22.03.2009 11:04:26
ANTIVIR3.VDF : 7.1.2.218 168960 Bytes 26.03.2009 11:04:28
Engineversion : 8.2.0.126
AEVDF.DLL : 8.1.1.0 106868 Bytes 02.02.2009 10:30:08
AESCRIPT.DLL : 8.1.1.67 364923 Bytes 19.03.2009 10:52:18
AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 10:30:16
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 00:38:30
AEPACK.DLL : 8.1.3.11 397687 Bytes 26.03.2009 11:04:36
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 01.03.2009 01:49:54
AEHEUR.DLL : 8.1.0.111 1679736 Bytes 26.03.2009 11:04:34
AEHELP.DLL : 8.1.2.2 119158 Bytes 01.03.2009 01:49:47
AEGEN.DLL : 8.1.1.30 336245 Bytes 19.03.2009 10:52:11
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 17:07:21
AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 14:15:08
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 17:07:19
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 22:03:03
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 22:03:03
AVREP.DLL : 8.0.0.2 98344 Bytes 03.08.2008 13:13:37
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 22:03:03
AVARKT.DLL : 1.0.0.23 307457 Bytes 18.04.2008 08:44:35
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 22:03:02
SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.04.2008 08:44:37
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 22:03:05
NETNT.DLL : 8.0.0.1 7937 Bytes 18.04.2008 08:44:37
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 22:02:58
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 22:02:58

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, K:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Donnerstag, 26. März 2009 17:01

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '66543' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOButler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OPXPApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OmniServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HidService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HDD>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'K:\' <Volume>
K:\Serial\Microsoft Windows Vista 32-X86-X64 Working Activation Key-(june 08).rar
[0] Archivtyp: CAB (Microsoft)
--> Setup + Patch.exe
[FUND] Ist das Trojanische Pferd TR/Pakes.bzo
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Freitag, 27. März 2009 01:29
Benötigte Zeit: 8:28:47 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

13588 Verzeichnisse wurden überprüft
538520 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
538516 Dateien ohne Befall
11156 Archive wurden durchsucht
3 Warnungen
1 Hinweise
66543 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden



Die Datei 'K:\Serial\Microsoft Windows Vista 32-X86-X64 Working Activation Key-(june 08).rar'
enthielt einen Virus oder unerwünschtes Programm 'TR/Pakes.bzo' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.


In der Datei 'D:\Dokumente und Einstellungen\Godrik\Lokale Einstellungen\Temp\RunVG.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Autoit.EH' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


In der Datei 'D:\Dokumente und Einstellungen\Godrik\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\jfd9qyfn.default\Cache\_CACHE_002_'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen


In der Datei 'D:\Dokumente und Einstellungen\Godrik\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\jfd9qyfn.default\Cache\490A72D2d01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Alt 01.04.2009, 13:06   #13
myrtille
/// TB-Ausbilder
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Glückwunsch, du hast soeben einmal Neuaufsetzen gewonnen.

Zitat:
Die Datei 'K:\Serial\Microsoft Windows Vista 32-X86-X64 Working Activation Key-(june 08).rar'
enthielt einen Virus oder unerwünschtes Programm 'TR/Pakes.bzo' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
Die Einträge im Cache sind harmlos, der im Temp wahrscheinlich nicht.

Mach alles platt, lass die Finger von Cracks und Keygens und dem Rechner sollte es in Zukunft besser gehen.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 01.04.2009, 13:25   #14
Hoegaarden
Gast
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Hä? Jetzt bitte für Leute, die keine Cracks sind.

Rechner neuaufsetzen? Warum?
Was ist so gefährlich daran, krieg ich das Gerät nicht gelöscht?
Was bewirkt es?

Geändert von Hoegaarden (01.04.2009 um 13:42 Uhr)

Alt 01.04.2009, 13:41   #15
myrtille
/// TB-Ausbilder
 
TR/Autoit.EH - Standard

TR/Autoit.EH



Hi,
Zitat:
Was sind Cracks und Keygens?
Cracks und Keygens sind die Mittel und Wege, mit denen man a) kostenpflichtige Software illegal umsonst bekommt und deren Programmierer um ihren Lohn betrügt und b) die einfachste Art mit der man Leute mit Malware infizieren kann (weil sich niemand darüber beschweren kann, dass der Crack nicht funktioniert) .
Das nutzen solcher Programme sollte man sich ganz schnell abgewöhnen.

Wenn du nicht für dein Betriebssystem zahlen willst, dann schau dich mal bei den zahlreichen Linuxdistributionen um. Alle kostenlos.
Wenn du für Software nicht zahlen willst, dann kannst du hier osalt nach (kostenlosen) opensource Alternativen zu kostenpflichtigen Programmen suchen.

Wer meint trotz der zahlreichen Angebote an kostenloser Software unbedingt keygens benutzen zu müssen, wird von mir keine Hilfe bekommen.

Zitat:
Rechner neuaufsetzen? Warum?
Weil du illegale Software und wahrscheinlich ein illegales Betriebssystem auf deinem Rechner hast.
Da ist ein Neuanfang die sicherste Variante.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu TR/Autoit.EH
acroiehelper.dll, adobe, antivir, avira, bho, browser, explorer, firefox, generic, helper, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, mozilla, pdf, problem, programme, realtek, senden, software, system, trojaner, windows, windows xp



Ähnliche Themen: TR/Autoit.EH


  1. AutoIt/Ippedo.A, Win32/Autorun.AHV!lnk
    Plagegeister aller Art und deren Bekämpfung - 12.03.2015 (13)
  2. Bestimmte Programme mit Funktionen automatisch nutzen. AutoIT
    Diskussionsforum - 09.10.2014 (3)
  3. AutoIt-Bot wird gemeldet!
    Alles rund um Windows - 12.10.2013 (2)
  4. Worm/Autoit.ATXZ + Crypt.AQLW
    Plagegeister aller Art und deren Bekämpfung - 11.04.2012 (11)
  5. Trojan.Agent/Gen-Autoit auf Ext. Backup HDD
    Log-Analyse und Auswertung - 04.04.2012 (13)
  6. SPR/AutoIt.Gen und TR/Crypt.XPACK.Gen3 auf einmal
    Log-Analyse und Auswertung - 01.07.2011 (28)
  7. DR/Autoit.XL.350 in Autorun.inf von USB-Stick
    Plagegeister aller Art und deren Bekämpfung - 28.11.2010 (5)
  8. RSIT - AutoIT Error - Programm nicht ausführbar
    Diskussionsforum - 07.03.2010 (0)
  9. DR/Autoit.TC.115 und TR/FraudPack.ajcp
    Plagegeister aller Art und deren Bekämpfung - 14.01.2010 (11)
  10. DR/Autoit.TC.9 in C:\windows\csrcs.exe
    Plagegeister aller Art und deren Bekämpfung - 12.01.2010 (9)
  11. WORM/AutoIt.QV
    Plagegeister aller Art und deren Bekämpfung - 27.09.2009 (3)
  12. Virus win32.AutoIt.f
    Plagegeister aller Art und deren Bekämpfung - 28.02.2009 (3)
  13. TR/Autoit.EG
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (5)
  14. Trojan.Autoit.ST Auf dem USB Stick
    Mülltonne - 22.10.2008 (0)
  15. Trojan-Downloader.Win32.AutoIt.fs
    Mülltonne - 03.10.2008 (0)
  16. Frage zu Trojan.Autoit.E und svchost.exe
    Log-Analyse und Auswertung - 02.05.2005 (8)

Zum Thema TR/Autoit.EH - Hallo, bin neu hier, schade, dachte ich käm um diese Thematik drumherum, aber jetzt hats meinen PC erwischt, trotz sämtlicher Vorsichtsmaßnahmen. Dennoch schön im Forum zu sein, hab nur Gutes - TR/Autoit.EH...
Archiv
Du betrachtest: TR/Autoit.EH auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.