Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: immer wieder Trojaner, immer gleiches Verzeichnis

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.09.2009, 09:57   #1
Kampy
 
immer wieder Trojaner, immer gleiches Verzeichnis - Unglücklich

immer wieder Trojaner, immer gleiches Verzeichnis



Hallo Trojaner-Board. Seit Monaten versuche ich diesen Virus loszuwerden und manchmal hatte ich schon gedacht, es geschafft zu haben, aber dann war's immer ein anderer scheinbar. Ich habe schon alle möglichen Anti-Virus/Malware/Spyware/Hastenichtgesehen versucht. Könnt ihr vielleicht mein RSIT log mal anschauen und vielleicht fällt euch ja was auf (mir sagt das log nicht viel).

Was bei mir passiert ist immer dasselbe:
Nach dem Starten kommt irgendwann eine Virusmeldung mit Antivir (steht schon auf hardcore), dass er einen tr dropper.gen gefunden hat und danach so ein pseudo-Bild z.B. gif - das ganze findet sich immer in diesem Verzeichnis:

C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files

Ich lösch den dann immer mit dem Unlocker und dann ist auch Ruhe bis zum nächsten Neustart, aber es nervt natürlich kolossal. Der Virus kommt nicht durch eine manuelle Auslösung. Auch wenn ich überhaupt nichts mache kommt er irgendwann. Er kommt aber auch nicht in den gleichen Zeitabständen. Manchmal kommt er sofort manchmal dauert es sehr lange.

Ah hier jedenfalls das Logfile:

Zitat:
Logfile of random's system information tool 1.06 (written by random/random)
Run by USER at 2009-09-06 10:41:54
Microsoft Windows XP Professional Service Pack 2
System drive C: has 26 GB (36%) free of 73 GB
Total RAM: 3327 MB (87% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:41:59, on 06.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Dokumente und Einstellungen\ADMIN_USER\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\USER.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

--
End of file - 2691 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-05-16 16862720]
"Six Engine"=C:\Program Files\ASUS\Six Engine\SixEngine.exe [2008-06-03 5964800]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-05-01 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe [2004-05-01 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
C:\Programme\ICQ6.5\ICQ.exe silent []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
C:\Programme\Internet Download Manager\IDMan.exe /onboot []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-10-29 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"Start_NotifyNewApps"=0
"Persistent"=0
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Quake3\quake3.exe"="C:\Programme\Quake3\quake3.exe:*isabled:quake3"
"C:\Spiele\Age of Empires II\empires2.EXE"="C:\Spiele\Age of Empires II\empires2.EXE:*isabled:Age of Empires II"
"C:\Spiele\Quake III Arena\quake3.exe"="C:\Spiele\Quake III Arena\quake3.exe:*isabled:quake3"
"C:\Programme\Steam\steamapps\USER\half-life\hl.exe"="C:\Programme\Steam\steamapps\USER\half-life\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Programme\Pidgin\pidgin.exe"="C:\Programme\Pidgin\pidgin.exe:*:Enabled:Pidgin"
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil"
"C:\Programme\EA Games\Command and Conquer Generals\game.dat"="C:\Programme\EA Games\Command and Conquer Generals\game.dat:*:Enabled:game"
"C:\Programme\EA Games\Command & Conquer Generals Zero Hour\game.dat"="C:\Programme\EA Games\Command & Conquer Generals Zero Hour\game.dat:*:Enabled:game"
"C:\WINDOWS\SYSTEM32\dplaysvr.exe"="C:\WINDOWS\SYSTEM32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Spiele\ANNO1602\1602.EXE"="C:\Spiele\ANNO1602\1602.EXE:*:Enabled:1602"
"C:\Programme\Steam\steamapps\USER\team fortress 2\hl2.exe"="C:\Programme\Steam\steamapps\USER\team fortress 2\hl2.exe:*:Enabled:hl2"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"E:\Emulatoren\ZSNES\zsnesw.exe"="E:\Emulatoren\ZSNES\zsnesw.exe:*:Enabled:zsnesw"
"E:\Emulatoren\Supernintendo\Snes9XW.exe"="E:\Emulatoren\Supernintendo\Snes9XW.exe:*:Enabled:Snes9XW"
"C:\Programme\Pinnacle\VideoSpin\Programs\RM.exe"="C:\Programme\Pinnacle\VideoSpin\Programs\RM.exe:*:Enabled:Render Manager"
"C:\Programme\Pinnacle\VideoSpin\Programs\umi.exe"="C:\Programme\Pinnacle\VideoSpin\Programs\umi.exe:*:Enabled:umi"
"C:\Programme\Pinnacle\VideoSpin\Programs\VideoSpin.exe"="C:\Programme\Pinnacle\VideoSpin\Programs\VideoSpin.exe:*:Enabled:Pinnacle VideoSpin"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{17dec350-52a5-11de-a140-002215571d40}]
shell\AutoRun\command - H:\LaunchU3.exe -a


======List of files/folders created in the last 1 months======

2009-09-06 10:01:16 ----A---- C:\WINDOWS\ntbtlog.txt
2009-09-06 09:16:58 ----D---- C:\rsit
2009-09-02 00:36:33 ----D---- C:\Programme\Pidgin
2009-09-01 15:49:39 ----D---- C:\DVDVideoSoft
2009-09-01 15:49:31 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-08-31 23:24:05 ----D---- C:\Programme\Pinnacle
2009-08-31 23:23:27 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Pinnacle
2009-08-11 14:22:39 ----D---- C:\Dokumente und Einstellungen\ADMIN_USER\Anwendungsdaten\Help
2009-08-11 14:19:27 ----D---- C:\Programme\WaveZIP
2009-08-11 14:18:39 ----A---- C:\WINDOWS\uninst.exe

======List of files/folders modified in the last 1 months======

2009-09-06 10:41:57 ----D---- C:\WINDOWS\temp
2009-09-06 10:41:56 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-06 10:40:27 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-06 10:37:59 ----RD---- C:\Programme
2009-09-06 10:37:41 ----D---- C:\WINDOWS\system32\DRIVERS
2009-09-06 10:37:41 ----D---- C:\Programme\Panda Security
2009-09-06 10:37:27 ----SHD---- C:\WINDOWS\Installer
2009-09-06 10:37:26 ----D---- C:\WINDOWS\WinSxS
2009-09-06 10:37:05 ----RSD---- C:\WINDOWS\FONTS
2009-09-06 10:37:05 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-06 10:37:04 ----D---- C:\WINDOWS\SYSTEM32
2009-09-06 10:34:01 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-09-06 10:30:02 ----D---- C:\WINDOWS
2009-09-06 09:57:27 ----D---- C:\Dokumente und Einstellungen\ADMIN_USER\Anwendungsdaten\.purple
2009-09-06 09:17:01 ----D---- C:\WINDOWS\Prefetch
2009-09-06 08:56:12 ----D---- C:\Programme\Steam
2009-09-06 08:55:07 ----A---- C:\WINDOWS\iwb.INI
2009-09-04 15:52:56 ----D---- C:\Dokumente und Einstellungen\ADMIN_USER\Anwendungsdaten\gtk-2.0
2009-09-03 13:14:42 ----D---- C:\HammerAutosave
2009-09-01 05:11:42 ----A---- C:\WINDOWS\win.ini
2009-09-01 05:11:35 ----D---- C:\Programme\RADVideo
2009-08-23 21:54:03 ----D---- C:\WINDOWS\HELP
2009-08-19 23:01:02 ----A---- C:\WINDOWS\system.ini
2009-08-11 14:19:47 ----D---- C:\Program Files
2009-08-09 14:23:39 ----D---- C:\Dokumente und Einstellungen\ADMIN_USER\Anwendungsdaten\Winamp
2009-08-07 23:06:05 ----HD---- C:\WINDOWS\INF

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2007-12-17 12400]
R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-05-01 40192]
R1 SASDIFSV;SASDIFSV; \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2004-05-01 88448]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2004-05-01 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2004-05-01 55936]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-05-01 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-10-29 3341824]
R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2007-11-14 84992]
R3 BlueletAudio;Bluetooth Audio Service; C:\WINDOWS\system32\DRIVERS\blueletaudio.sys [2005-05-31 20480]
R3 BTHidEnum;Bluetooth HID Enumerator; C:\WINDOWS\system32\DRIVERS\vbtenum.sys [2005-04-30 11860]
R3 FStarForce;FStarForce; C:\WINDOWS\system32\DRIVERS\FStarForce.sys [2008-10-24 9216]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2004-05-01 9600]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-05-20 4800000]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller; C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-02-02 36864]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-05-01 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-05-01 61824]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2004-05-01 5888]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 VClone;VClone; C:\WINDOWS\system32\DRIVERS\VClone.sys [2008-09-24 29184]
R3 VComm;Virtual Serial port driver; C:\WINDOWS\system32\DRIVERS\VComm.sys [2004-10-19 61312]
R3 VcommMgr;Bluetooth VComm Manager Service; C:\WINDOWS\System32\Drivers\VcommMgr.sys [2005-03-25 82148]
S3 BT;Bluetooth PAN Network Adapter; C:\WINDOWS\system32\DRIVERS\btnetdrv.sys [2005-04-30 10804]
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\WINDOWS\System32\Drivers\btcusb.sys [2005-05-31 23000]
S3 BTNetFilter;Bluetooth Network Filter; \??\C:\WINDOWS\system32\drivers\BTNetFilter.sys []
S3 catchme;catchme; \??\C:\DOKUME~1\ADMINI~1.BOO\LOKALE~1\Temp\catchme.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 LHidFlt2;Logitech HID/USB Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFlt2.Sys [2004-05-01 25505]
S3 LHidUsb;Logitech USB Receiver device driver; C:\WINDOWS\System32\Drivers\LHidUsb.Sys [2004-05-01 37887]
S3 LMouFlt2;Logitech Mouse Class Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFlt2.Sys [2004-05-01 70801]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 Pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\Pcouffin.sys [2009-01-09 47360]
S3 Profos;Profos; \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\profos.sys []
S3 SASENUM;SASENUM; \??\C:\Programme\SUPERAntiSpyware\SASENUM.SYS []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 Trufos;Trufos; \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\trufos.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-05-01 73472]
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-05-01 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-10-29 585728]
R2 BlueSoleil Hid Service;BlueSoleil Hid Service; C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe [2005-04-06 110592]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
S2 ATI Smart;ATI Smart; C:\WINDOWS\SYSTEM32\ati2sgag.exe [2008-10-28 593920]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]

-----------------EOF-----------------

Ich bin schon an der Grenze dazu, den Trojaner als dauerhaften Mitbewohner zu akzeptieren, so lange habe ich ihn schon nicht wegbekommen..

Alt 06.09.2009, 10:09   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



Hallo,

was ist denn da mit Deinem Patchstand los?

Code:
ATTFilter
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
         
Windows hat nur das SP2 und HijackThis kann nicht die Version des IE lesen!
Bitte mal diese Liste beachten und abarbeiten. (ab dem 2. Abschnitt, RSIT kannste erstmal weglassen)

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 06.09.2009, 11:06   #3
Kampy
 
immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



Also die Liste hab ich natürlich längst gemacht bevor ich das Logfile erstellt habe. Ich vermute, weil ich keinen Internet Explorer habe findet er die Version nicht. Irgendwas ersichtlich aus dem Logfile?

P.S: Gibt es vielleicht eine Seite, die das analysiert und mir Hinweise geben kann?
__________________

Geändert von Kampy (06.09.2009 um 11:13 Uhr)

Alt 06.09.2009, 11:49   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



Komplett deinstallieren kann man den IE nicht. Er ist fester Bestandteil von Windows. Was hast Du mit dem gemacht?

Hat Malwarebytes was gefunden?

Im Logfile hab ich sonst nix entdeckt. Kommst Du mi Adminrechten in diesen Pfad rein?

Code:
ATTFilter
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files
         
Wenn ja, dann leer diesen Ordner. Außerdem solltest Du unbedingt Updates für Dein System einspielen.

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.


Auch bitte Java und den AdobeReader prüfen (falls zutreffend bzw. erforderlich):


Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.


Java-Update
Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logs bitte immer in CODE-Tags posten

Alt 06.09.2009, 20:44   #5
Kampy
 
immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



also den internet explorer kann man schon entfernen. ist nicht so einfach wie jedes andere programm, aber möglich ist es schon. Okay Acrobat Reader hab ich einfach mal deinstalliert. Den benutz ich eh nicht. Java Script okay das update ich mal.

Was den Virus betrifft, ich kann natürlich in das Verzeichnis gehen und den Ordner leeren - sogar löschen, aber er erstellt sich automatisch wieder.

Kein Programm hat irgendwas gefunden bis jetzt (also was das problem betrifft)


Alt 07.09.2009, 08:39   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



Also ich seh dort so nichts Auffälliges im Logfile. Ich würde nicht ausschließen, dass Du durch das Deinstallieren des IE auch Probleme eingehandelt hast. Den IE kann man theroretisch nicht komplett deinstallieren, Windows benutzt die Kernkomponenten des IE. Zudem ist ja auch nur das SP2 installiert.

Zur womöglichen Schädlingsdatei: Kannst Du die irgendwie anfassen und zB bei Virustotal auswerten lassen`?
__________________
--> immer wieder Trojaner, immer gleiches Verzeichnis

Alt 07.09.2009, 11:05   #7
Kampy
 
immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



Der Internet Explorer ist schon seit Urzeiten bei mir deinstalliert, also das wird es wohl kaum sein. Was die Schädlinge betrifft, wenn sie wieder auftauchen werd ich sie mal hochladen da, aber die sind ja eigentlich nicht das Problem. Antivir erkennt sie und ich kann sie auch löschen. Es muss ein anderes Programm o.Ä. da sein, das die Viren erstellt.

Ich sollte mal meine Windows Updates auf den neusten Stand bringen - vielleicht ist es das ja.

Alt 07.09.2009, 11:09   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



Dann werte die Datei bitte mal bei Virustotal aus und poste die Ergebnisse inkl. Prüfsummen.
__________________
Logs bitte immer in CODE-Tags posten

Alt 07.09.2009, 16:14   #9
Kampy
 
immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



okay ich habe jetzt 103 Sicherheitsupgrades (*hust*) nachgeholt und der Ordner der immer wieder auftaucht ist jetzt wieder da - und jetzt kommt das aber, ABER es ist kein Virus mehr drinne! Ist es vielleicht geschafft? War es einfach eine Windows Sicherheitslücke, die ich nicht geschlossen hatte? Noch trau ich meinen Augen nicht, aber vielleicht war es das tatsächlich.

Alt 07.09.2009, 16:25   #10
Adler-Wolf
 

immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



Wie schon cosinus gesagt hat mache auch noch ein Scann mit Malwarebytes-Anti-Malware
und Poste das Log den Vollständigen Scanns.

Vor dem Scann das Updaten nicht vergessen.

Alt 10.09.2009, 14:20   #11
Kampy
 
immer wieder Trojaner, immer gleiches Verzeichnis - Standard

immer wieder Trojaner, immer gleiches Verzeichnis



wie gesagt der Virus kommt nicht wieder - es muss also an einer Windows Sicherheitslücke gelegen haben, die ich nicht gefixt hatte.

Antwort

Themen zu immer wieder Trojaner, immer gleiches Verzeichnis
ad-aware, ad-watch, antivir, antivir guard, avgntflt.sys, avira, defender, desktop, device driver, dropper.gen, einstellungen, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, locker, logfile, nodrives, realtek, registry, skype.exe, software, starten, superantispyware, system, trojaner, videospin, virus, windows, windows xp



Ähnliche Themen: immer wieder Trojaner, immer gleiches Verzeichnis


  1. Windows 7: Avira meldet immer wieder ADWARE/Adware.Gen4 bzw. .Gen7, zudem taucht Optimizer Pro immer wieder auf
    Log-Analyse und Auswertung - 14.12.2014 (9)
  2. Windows 7 , PC stürzt immer wieder ab, nach säuberung mit Vipre immer noch viele verdächtig Datein im Autorun
    Log-Analyse und Auswertung - 15.01.2014 (12)
  3. Musik Player harkt immer, die Seiten bauen sich langsam auf, immer wieder scheint der PC insgesamt zu harken
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (3)
  4. GVU, Polizei, BKA Trojaner kommt immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 06.11.2012 (3)
  5. TR/Spy.59392.133 wird immer und immer wieder gefunden...
    Plagegeister aller Art und deren Bekämpfung - 30.10.2011 (11)
  6. Es erstellt sich immer ein Ordner und er kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)
  7. Plötzliche Werbung immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 06.03.2011 (5)
  8. Trojaner immer wieder
    Plagegeister aller Art und deren Bekämpfung - 04.03.2011 (30)
  9. IE öffnet immer wieder werbefenster sowie geht immer wieder der ton aus
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (2)
  10. Firefox startet automatisch (immer und immer wieder)
    Log-Analyse und Auswertung - 09.01.2010 (9)
  11. win32.delf.uc immer immer wieder
    Log-Analyse und Auswertung - 09.03.2009 (4)
  12. Pc stürzt immer und immer wieder ab...
    Mülltonne - 30.11.2008 (0)
  13. Media Player öffnet sich selbstständig immer und immer wieder
    Log-Analyse und Auswertung - 30.10.2008 (0)
  14. Trojaner kommen immer wieder
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (4)
  15. Trojaner, kommt immer wieder...!
    Plagegeister aller Art und deren Bekämpfung - 14.01.2007 (3)
  16. Immer wieder Trojaner-Attacken
    Log-Analyse und Auswertung - 04.08.2006 (3)
  17. altnet immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 24.02.2005 (7)

Zum Thema immer wieder Trojaner, immer gleiches Verzeichnis - Hallo Trojaner-Board. Seit Monaten versuche ich diesen Virus loszuwerden und manchmal hatte ich schon gedacht, es geschafft zu haben, aber dann war's immer ein anderer scheinbar. Ich habe schon alle - immer wieder Trojaner, immer gleiches Verzeichnis...
Archiv
Du betrachtest: immer wieder Trojaner, immer gleiches Verzeichnis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.