Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner Dauermeldung bei Grafiktreiberupdate

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.08.2010, 09:23   #1
studentin11
 
Trojaner Dauermeldung bei Grafiktreiberupdate - Standard

Trojaner Dauermeldung bei Grafiktreiberupdate



Wunderschönen guten Morgen,

ich habe hier einen Laptop (Vista 32, Radeon HD2400)
und mal abgesehen davon, daß ich gerade erfolglos versuche den Grafiktreiber ind der aktuellsten Version neu aufzusetzen, um Age of EmpiresII zocken zu können (!!"$='!!**!), findet Antivir plötzlich viele neue Trojaner.

Also hier mein Highjack- ich hoffe ihr könnt mir helfen

Code:
ATTFilter
ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:04:31, on 08.08.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe
C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\phonostar\ps_agent.exe
C:\Program Files\phonostar\ps_timer.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Users\Sebastian\AppData\Local\kvsvafi.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\conime.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.politikwissenschaft.tu-

darmstadt.de/fileadmin/pg/lehrveranstaltungen/***.pdf
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?

LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common 

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: TBSB04045 - {C6BFC16B-D6FF-47EB-B5D7-F91FB78F94CE} - C:\Program Files\IEToolbar\Amazon Toolbar\amazon.dll 

(file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6

\bin\jp2ssv.dll
O3 - Toolbar: Amazon Toolbar - {EEB30C11-DF11-46DF-B763-BAF798CA65F3} - C:\Program Files\IEToolbar\Amazon 

Toolbar\amazon.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [HWSetup] \HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [Desktop SMS] C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-

B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-

2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Program Files\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Program Files\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [kvsvafi] "c:\users\sebastian\appdata\local\kvsvafi.exe" kvsvafi
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER 

DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google 

Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - 

http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-

home?tag=Toshibadebholink-21&site=home (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - 

http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir 

Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir 

Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device 

Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program 

Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program 

Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program 

Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common 

Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common 

Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec 

Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD 

PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power 

Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba 

Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common 

Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9895 bytes
         
PS: Ich schaffs übrrigensauch nicht mich als Admin anzumelden (obwohl ich die anleitung gefunden hatte: Computer->verwalten-> finde keine Konten)
Wollte ja mal ne toolbar löschen, noch nicht mal das geht!! oh mann :-)

Bin für jede Hilfe dankbar!
Viele liebe Grüße!

Alt 08.08.2010, 12:49   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Dauermeldung bei Grafiktreiberupdate - Standard

Trojaner Dauermeldung bei Grafiktreiberupdate



Zitat:
findet Antivir plötzlich viele neue Trojaner.
Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.
__________________

__________________

Alt 08.08.2010, 17:08   #3
studentin11
 
Trojaner Dauermeldung bei Grafiktreiberupdate - Standard

Trojaner Dauermeldung bei Grafiktreiberupdate



Hej, tut mir leid, daß hab ich heute3 morgen völlig verpennt. Also ich hatte heute morgen schon die Funde:

In der Datei 'C:\Users\Sebastian\AppData\Local\bbwbfxs.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen2' [trojan] gefunden.

In der Datei 'C:\Users\Sebastian\AppData\Local\anamht.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/Adware.Gen2' [adware] gefunden.

Virenscan1 nur der Ordner \temp\:
Code:
ATTFilter
Beginne mit der Suche in 'C:\Users\Sebastian\AppData\Local\Temp'
C:\Users\**\AppData\Local\Temp\18ea.exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.2657
C:\Users\**\AppData\Local\Temp\580b.exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.2519
C:\Users\**\AppData\Local\Temp\H8SRT3f3e.tmp
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.3315
C:\Users\**\AppData\Local\Temp\jar_cache53223.tmp
  [0] Archivtyp: ZIP
    --> Main.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
C:\Users\**\AppData\Local\Temp\jar_cache63330.tmp
  [0] Archivtyp: ZIP
    --> Main.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
         
Die Meldungen wiederholteen sich ständig und konnten nicht gelöscht werden. Hab dann \temp\ gecleant bis auf 3 Dateien (kein admin), wies im Forum empfohlen wurde, aber die Funde wiederholen sich s. großer vollständiger Systemscan Virenscan2.
Was kann ich tun?

Virenscan2:
Code:
ATTFilter
Beginne mit der Suche in 'C:\' <Vista>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\$Recycle.Bin\S-1-5-21-131765033-1981511223-3583299404-1000\$R689C6X.tmp
  [0] Archivtyp: ZIP
    --> Main.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
C:\$Recycle.Bin\S-1-5-21-131765033-1981511223-3583299404-1000\$RNE0ZZK.tmp
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.3315
C:\$Recycle.Bin\S-1-5-21-131765033-1981511223-3583299404-1000\$RO5TP6K.tmp
  [0] Archivtyp: ZIP
    --> Main.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
C:\$Recycle.Bin\S-1-5-21-131765033-1981511223-3583299404-1000\$RZ5RIBD.exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.2657
C:\$Recycle.Bin\S-1-5-21-131765033-1981511223-3583299404-1000\$RZLYZEI.exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.AA.2519
C:\Program Files\myphotobook\xtras\process.exe
    [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PrcView.A
C:\Users\**\AppData\Local\anamht.exe
    [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen2
C:\Users\**\AppData\Local\vueccqyx.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen2
C:\Users\**\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\13ecae4c-6e367a6a
  [0] Archivtyp: ZIP
    --> AppletPanel.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.DF
    --> Main.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
C:\Users\**\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\e958e72-35d22c54
  [0] Archivtyp: ZIP
    --> myf/y/AppletX.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.G
    --> myf/y/LoaderX.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.AE
    --> myf/y/PayloadX.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.AD
         
__________________

Alt 08.08.2010, 17:19   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner Dauermeldung bei Grafiktreiberupdate - Standard

Trojaner Dauermeldung bei Grafiktreiberupdate



Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojaner Dauermeldung bei Grafiktreiberupdate
agere systems, antivir, antivir guard, avg, avira, bho, desktop, ebay, excel, firefox, google, hijack, hijackthis, internet, internet explorer, mozilla, object, rundll, saver, server, software, symantec, system, trojaner, trojaner vista aoe2 vista hd2400, uleadburninghelper, vista, vista 32, windows



Zum Thema Trojaner Dauermeldung bei Grafiktreiberupdate - Wunderschönen guten Morgen, ich habe hier einen Laptop (Vista 32, Radeon HD2400) und mal abgesehen davon, daß ich gerade erfolglos versuche den Grafiktreiber ind der aktuellsten Version neu aufzusetzen, um - Trojaner Dauermeldung bei Grafiktreiberupdate...
Archiv
Du betrachtest: Trojaner Dauermeldung bei Grafiktreiberupdate auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.