Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojanisches Pferd entdeckt > Hijackthis

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.12.2009, 19:57   #1
simone1987
 
Trojanisches Pferd entdeckt > Hijackthis - Standard

Trojanisches Pferd entdeckt > Hijackthis



hallo ihr lieben,

ich habe seit einiger zeit das problem, dass ich bestimmte dateien nicht mehr fehlerfrei öffnen kann, mein ton am thinkpad funktioniert nicht mehr, lässt sich nicht mehr installieren genauso wie sämtliche antivirenprogramme. hab schon alles mögliche ausprobiert....
ein stick, der zuvor an meinem pc hing, hat nun an einem anderen pc ein trojanisches pferd angezeigt, sehr wahrscheinlich von mir.
ich habe nun auch so eine hijacker-lliste erstellt und hoffe sehr, dass mir damit jemand weiterhelfen kann:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:36:46, on 15.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\PROGRA~1\ICQ6TO~1\ICQSER~1.EXE
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\vVX1000.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Dokumente und Einstellungen\xxx\Desktop\N360S300GE.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.watchit.convar.com/
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [N360] "C:\Programme\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360\562C4DD5\3.5.2.11\InstStub.exe" /RELAUNCH /RUNONCE /NOPROMPT /SCANNER /PRODID N360
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: ICQ Service - Unknown owner - C:\PROGRA~1\ICQ6TO~1\ICQSER~1.EXE
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

--
End of file - 5061 bytes


vielen dank schon einmal im voraus!

Alt 15.12.2009, 20:03   #2
Chris4You
 
Trojanisches Pferd entdeckt > Hijackthis - Standard

Trojanisches Pferd entdeckt > Hijackthis



Hi,

eigentlich bin ich ja in Urlaub...
Mal sehen...

Danach bitte MAM, RSIT und Gmer:

Malwarebytes Antimalware (MAM)
Achtung benenne die Exe gleich im Downloaddialog auf z.B. test.exe um...
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Wenn Du es nicht zum Laufen bekommst, im abgesicherten Modus probieren (F8 beim Booten drücken)...
Falls MAM immer noch nicht geht, bitte mit RSIT weitermachen...

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
__________________

__________________

Alt 16.12.2009, 00:19   #3
simone1987
 
Trojanisches Pferd entdeckt > Hijackthis - Standard

Trojanisches Pferd entdeckt > Hijackthis



vielen vielen dank, du hast mir bereits sehr geholfen! und das, obwohl du eigentlich im urlaub bist ;-)
dieses MAM hat funktioniert, aber den log zu posten würde wohl den rahmen dieses forums sprengen, es wurden nämlich 1011 (!!!) infizierte dateien gefunden... habe sie alle entfernt.
war das jetzt schon alles oder muss ich noch etwas beachten?
__________________

Alt 16.12.2009, 00:47   #4
simone1987
 
Trojanisches Pferd entdeckt > Hijackthis - Standard

Trojanisches Pferd entdeckt > Hijackthis



habe gerade nochmal einen quick-scan durchgeführt und es wurden noch einmal 4 infizierte objekte gefunden, die nicht gelöscht werden konnten... befinden sich nun unter quarantäne. einfach auf "alle löschen"??

hier der neue log:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3366
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16.12.2009 00:40:01
mbam-log-2009-12-16 (00-40-01).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 114758
Laufzeit: 27 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\srosa (Worm.Bagle) -> Delete on reboot.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Worm.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Worm.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Worm.Bagle) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 16.12.2009, 07:26   #5
Chris4You
 
Trojanisches Pferd entdeckt > Hijackthis - Standard

Trojanisches Pferd entdeckt > Hijackthis



Hi,

lade das lange MAM-Log hier hoch:
Fileuplod:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

Schliesse alle USB-Geräte (Sticks, Festplatten etc.) an den Rechner an, halte dabei die Shift-Taste gedrückt.

Starte dann ComboFix und poste das Log!

Achtung, ComboFix ist noch down, mal sehen wann er wieder zur Verfügung steht...
In der Zwischenzeit bitte Dr. Web:
http://www.trojaner-board.de/59299-a...eb-cureit.html

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Bitte auch GMER laufen lassen und Log posten!

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (16.12.2009 um 08:22 Uhr)

Antwort

Themen zu Trojanisches Pferd entdeckt > Hijackthis
bho, cdburnerxp, dateien, desktop, dll, einstellungen, explorer, firefox, funktioniert nicht mehr, google, hijack, hijack this, hijacker, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, lenovo, microsoft, monitor, mozilla, problem, registry, rundll, software, stick, system, thinkvantage registry monitor service, trojaner, trojanisches pferd, windows, windows xp



Ähnliche Themen: Trojanisches Pferd entdeckt > Hijackthis


  1. trojanisches pferd?
    Log-Analyse und Auswertung - 19.02.2014 (9)
  2. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 13.06.2013 (13)
  3. Trojanisches Pferd
    Log-Analyse und Auswertung - 10.05.2011 (1)
  4. Trojanisches Pferd TR/Patched.Gen //// Trojanisches Pferd TR/Refroso.ayol
    Überwachung, Datenschutz und Spam - 26.12.2010 (6)
  5. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 03.08.2008 (3)
  6. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 19.01.2008 (8)
  7. Trojanisches Pferd
    Log-Analyse und Auswertung - 02.11.2007 (9)
  8. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 28.07.2007 (4)
  9. Trojanisches Pferd TR/Dldr.Dyfuca.DB - Hijackthis-Log
    Plagegeister aller Art und deren Bekämpfung - 03.12.2006 (8)
  10. Trojanisches Pferd TR/BHO.b.3.
    Plagegeister aller Art und deren Bekämpfung - 11.01.2006 (7)
  11. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 16.08.2005 (1)
  12. Trojanisches Pferd TR
    Plagegeister aller Art und deren Bekämpfung - 21.06.2005 (1)
  13. Trojanisches Pferd TR/Starpage.qr.DLL
    Log-Analyse und Auswertung - 11.04.2005 (1)
  14. Trojanisches Pferd Hiderun.A.5
    Log-Analyse und Auswertung - 02.03.2005 (1)
  15. Trojanisches Pferd
    Log-Analyse und Auswertung - 26.01.2005 (3)
  16. Trojanisches Pferd?
    Plagegeister aller Art und deren Bekämpfung - 04.04.2004 (1)
  17. Trojanisches Pferd AVG ???
    Plagegeister aller Art und deren Bekämpfung - 12.02.2003 (1)

Zum Thema Trojanisches Pferd entdeckt > Hijackthis - hallo ihr lieben, ich habe seit einiger zeit das problem, dass ich bestimmte dateien nicht mehr fehlerfrei öffnen kann, mein ton am thinkpad funktioniert nicht mehr, lässt sich nicht mehr - Trojanisches Pferd entdeckt > Hijackthis...
Archiv
Du betrachtest: Trojanisches Pferd entdeckt > Hijackthis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.