Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Computer befallen? (inkl. Hijack-Log)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.10.2009, 16:09   #1
barty
 
Computer befallen? (inkl. Hijack-Log) - Standard

Computer befallen? (inkl. Hijack-Log)



--- edit: ok ich habe grad gesehen das noch weitere Logs gefragt sind; ich schiebe die Logs der 3 in der FAQ angegebenen Programme nach ---

Hallo an alle,

ich hatte vor längerem schonmal diverse Tests durchgeführt um zu testen ob mein Computer befallen ist. Damals waren es ~130 Funde bei Avira AntiVir und ich habe über jeefogui.exe versucht einiges zu entfernen, danach wurde auf jeden Fall auch weniger gefunden. Zudem waren über einen "Schädling" noch die Autorun.inf Dateien der Festplatten infiziert, welche ich mittlerweile gelöscht habe.
Nun habe ich über AntiVir nochmals eine Prüfung durchlaufen lassen, genau wie über Hijack. Beide Logs werde ich unten noch anhängen. Meine Frage ist nun allerdings die folgende:
Kann ich davon ausgehen dass die befallenen Dateien weg sind / über den jeefogui repariert sind? Ich bin nämlich ein "Perfektionist" (naja vielleicht übertrieben aber so ungefähr) und würde gerne bei meiner bald anstehenden Windows 7 Installation alle Festplatten (auch die externe + meinen portablen MP3-Player, der als externe Festplatte funktioniert) formatieren, allerdings trotzdem einige Dateien versuchen zu retten, vor allem Bilder, Videos, MP3s und evtl. auch exe-Dateien, natürlich dann nur ausgewählte. Ist dies möglich? Meine Idee wäre, die wichtigen Daten auf eine bzw. ein paar DVDs zu brennen (da ist die Autorun.inf vermutlich in Ordnung). Funktioniert der "Trick"? Damals hatte sich der "Schädling" der die Autorun befallen hatte nämlich auf jeder Festplatte eingenistet und sich dadurch bei Anschluss der Festplatte am PC sofort auf jegliche andere Autorun Datei pro (virtueller) Festplatte festgesetzt.

Also unten anbei meine Logs. Ich reiche auch gerne noch weitere nach, aber denke das ist doch ein Anfang.

Grüsse an alle,

der barty

PS: versteh gar nicht wieso es hier lustige smiles gibt, die meisten die hier her kommen haben doch vermutlich nicht viel zu lachen

Anhang:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:14, on 27.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
D:\Programme\ICQ6.5\ICQ.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Last.fm\LastFM.exe
c:\programme\avira\antivir desktop\avcenter.exe
D:\Programme\Pinnacle\Shared Files\Programs\PclePvr\VideoControl.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.losstarten.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by BARTY
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [BARTY] C:\WINDOWS\SYSTEM32\BARTY.vbs
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [PMCLoader] D:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe -checktasks
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O4 - Global Startup: Pinnacle Streaming Server.lnk = D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5634 bytes
--- AntiVir läuft noch durch, wird gleich editiiert ---

Geändert von barty (27.10.2009 um 16:27 Uhr)

Alt 27.10.2009, 18:31   #2
barty
 
Computer befallen? (inkl. Hijack-Log) - Standard

Computer befallen? (inkl. Hijack-Log)



Konnte nichts mehr editiieren, deswegen hier die Logs
Zitat:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3042
Windows 5.1.2600 Service Pack 3

27.10.2009 19:25:14
mbam-log-2009-10-27 (19-25-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 237279
Laufzeit: 32 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (LosStarten.de - Meine Startseite) Good: (Google) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
H:\System Volume Information\_restore{ADE1C158-72D2-44EF-8B52-C4274CCE4B01}\RP57\A0048345.exe (Trojan.Agent) -> No action taken.
Die Logs von RSIT habe ich als Anhang dran gehängt damit der Beitrag nicht ewig lang wird. AntiVir habe ich jetzt erstmal rausgelassen, wenn das jemand braucht bitte Bescheid sagen wird direkt nachgereicht.

Grüsse, der Barty

PS: Hab mittlerweile übrigens das Gefühl dass es zwar sch**sse ist weil trotzdem noch Sachen gefunden wurden/werden, aber scheinbar doch nicht so tragisch wie ich es erst gedacht habe. Naja primäres Ziel ist immer noch die Daten sichern zu können ohne dass ich mir auf meine Neuinstallation wieder was hole.
Angehängte Dateien
Dateityp: txt log.txt (20,7 KB, 321x aufgerufen)
Dateityp: txt info.txt (18,8 KB, 395x aufgerufen)
__________________


Geändert von barty (27.10.2009 um 18:50 Uhr)

Alt 30.10.2009, 06:26   #3
barty
 
Computer befallen? (inkl. Hijack-Log) - Standard

Computer befallen? (inkl. Hijack-Log)



Trotz zugegebenermaßem schlecht gewähltem Titel, keiner 'ne Ahnung? Zumindest die Frage mit dem Sichern der Daten wäre interessant, da auf H:\ (meine externe Festplatte) ja wohl eine .exe-Datei infiziert ist und ich von dort auf jeden Fall einige Daten retten wollen würde (wie gesagt, Bilder, Videos, MP3s und wenn möglich auch weitere wie u.a. *.exe). Grüsse, der barty
__________________

Alt 01.11.2009, 21:24   #4
barty
 
Computer befallen? (inkl. Hijack-Log) - Standard

Computer befallen? (inkl. Hijack-Log)



Keiner 'nen Einfall? Wäre mir relativ wichtig das vorher zu wissen, wie gesagt zumindest das mit dem Sichern der Daten. Mein Dank wäre euch sicher ;-)

grüsse

Alt 01.11.2009, 21:41   #5
Acid303
 

Computer befallen? (inkl. Hijack-Log) - Standard

Computer befallen? (inkl. Hijack-Log)



Hallo barty

Ist die Installation von Windows 7 noch in Planung? Falls ja, wirst du dadurch die Plagegeister los (wenn du die Platten formatierst).

Zu deiner Datenrettung:

Bilder - Stellen kein Problem da
MP3 - auch kein problem
Videos - is immer so eine Sache, meist aber unbedenklich

*.exe - Ausführbarer Code!!!! Da solltest du sehr vorsichtig sein (auch zip- und rar-archive)! Falls du sowas sichern willst diese Sachen am besten auf eine extra CD / DVD brennen, und nur diese. Vorm zurück kopieren ins neue System überprüfen.

Gruß

Acid

__________________
Kein Support per PM

Das befolgen der Tips und Anleitungen geschieht auf eigene Gefahr.

Alt 03.11.2009, 15:40   #6
barty
 
Computer befallen? (inkl. Hijack-Log) - Standard

Wurm Kido54.h



hey,

also AntiVir sagt mir beim Anschluss meines MP3-Players immer noch es wurde Wurm Kido54.h gefunden und zwar in der Autorun.inf. Ok, das mit der Datensicherung und den exe-Dateien sehe ich ein. Nur eine Frage zu o.g. Wurm. der schreibt sich ja, soweit ich es verstanden habe, immer in die jeweiligen Autoruns von jeder Festplatte. Muss ich dann alle Festplatten gleichzeitig formatieren und kann meine Sachen nur auf einer CD/DVD sichern? Sonst schreibt sich der Wurm doch direkt wieder überall rein.

Richtig verstanden?

Grüsse und dankeschön,

der barty

Alt 25.11.2009, 09:28   #7
barty
 
Computer befallen? (inkl. Hijack-Log) - Standard

Computer befallen? (inkl. Hijack-Log)



So, bis jetzt ist immer noch nichts groß geschehen aber ich würde euch nochmal die nächsten Schritte beschreiben. Falls daran was "falsch" ist könnt ihr ja Bescheid geben
  1. Daten Sicherung von Dokumenten, MP3s, Videos und ggf. vertrauenswürdigen Exe Dateien (dies nur wenn es gar nicht anders möglich ist und auch nur wenn die entsprechenden Ordner vorher per Programm durchgecheckt worden sind - oder wäre selbst das nicht sinnvoll?) auf DVDs
  2. Formatierung jeglicher Festplatten (Intern, Extern, USB-Sticks sowie MP3 Player)
  3. Checken der DVD auf Windows Viren mit Hilfe einer Linux-Live-CD (gibt es ja bestimmt würd ich mir dann raussuchen)
  4. Überspielen der Daten auf den PC. Klingt doch sinnvoll oder?

Und dann mal toi toi toi dass dieser Mist endlich aufhört.

Antwort

Themen zu Computer befallen? (inkl. Hijack-Log)
antivir, antivir guard, ausgehen, avg, avira, bho, computer, dateien weg, desktop, entfernen, excel, exe-dateien, explorer, festplatte, firefox, frage, hacked, helper, hijackthis, hkus\s-1-5-18, installation, internet, internet explorer, lache, schädling, software, solution, system, trick, windows, windows xp



Ähnliche Themen: Computer befallen? (inkl. Hijack-Log)


  1. [IMINENT] Browser befallen, Programm unerklärlich auf Computer installiert
    Plagegeister aller Art und deren Bekämpfung - 14.10.2013 (5)
  2. System mit ClickCompare Browser Hijack befallen + AV-Schutz nicht aktivierbar
    Log-Analyse und Auswertung - 18.09.2013 (17)
  3. Computer ist von dem GVU Trojaner befallen
    Log-Analyse und Auswertung - 27.07.2013 (3)
  4. system care antivirus hat den Computer befallen
    Log-Analyse und Auswertung - 03.05.2013 (28)
  5. Computer von FBI Ransomware befallen
    Plagegeister aller Art und deren Bekämpfung - 19.01.2013 (12)
  6. Computer durch Polizei gesperrt inkl. WebCam (Österreich)
    Plagegeister aller Art und deren Bekämpfung - 13.11.2012 (11)
  7. BKA-Variante "Der computer ist für die Verletzung..." hat meinen Computer befallen!
    Log-Analyse und Auswertung - 15.08.2012 (15)
  8. Computer befallen von Spyware
    Log-Analyse und Auswertung - 23.07.2012 (1)
  9. Commerzbank Trojaner - Warten Sie bis Ihrer Computer identifiziert wurde-hat mich auch befallen
    Plagegeister aller Art und deren Bekämpfung - 15.12.2011 (4)
  10. TR/ATRAPS.gen auf Stick - Computer auch befallen?
    Log-Analyse und Auswertung - 05.07.2011 (10)
  11. Ist mein Computer befallen ? Er ist super langsam und fährt kaum hoch !
    Log-Analyse und Auswertung - 05.02.2010 (1)
  12. Ich denke mein computer ist von malware befallen ! oder ?
    Log-Analyse und Auswertung - 25.01.2009 (1)
  13. Computer von Trojanern und Viren befallen
    Mülltonne - 23.10.2008 (0)
  14. Hilfe: Irgendetwas hat mein Computer befallen !
    Log-Analyse und Auswertung - 17.10.2005 (10)
  15. Computer befallen von kA was.....
    Plagegeister aller Art und deren Bekämpfung - 12.02.2005 (3)
  16. Hilfe!Computer befallen
    Log-Analyse und Auswertung - 06.11.2004 (4)
  17. Hijack-Problem inkl. HijackThis-Log
    Log-Analyse und Auswertung - 14.06.2004 (2)

Zum Thema Computer befallen? (inkl. Hijack-Log) - --- edit: ok ich habe grad gesehen das noch weitere Logs gefragt sind; ich schiebe die Logs der 3 in der FAQ angegebenen Programme nach --- Hallo an alle, ich - Computer befallen? (inkl. Hijack-Log)...
Archiv
Du betrachtest: Computer befallen? (inkl. Hijack-Log) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.