Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Frage zu Trojan.Autoit.E und svchost.exe (https://www.trojaner-board.de/17267-frage-trojan-autoit-e-svchost-exe.html)

Billy15 01.05.2005 09:20
Frage zu Trojan.Autoit.E und svchost.exe
 
Halo zusammen,
ich habe mir im Dezember 2004 einen neuen Rechner gekauft und hatte darauf als Anriviren-Software BitDefender Vers. 7 mit eingebauter firewall installiert. BitDefender fand vorgestern in der Datei rmcompt.exe (von eTrust Antivirus, das ich allerdings nicht einsetzte, war aber beim Kauf auf dem Rechner) den Trojaner Trojan.Autoit.E. BitDefender konnte eine Desinfizierung nicht durchführen und hat deshalb die infizierte Datei verschoben. Ich habe die Datei dann manuell gelöscht, BitDefender de-installiert und die neueste Version 6.30 von AntiVir installiert. Hier wurde kein Virus mehr gefunden. Dann habe ich als firewall zonealarm installiert. Bei der Installation wurde die Datei svchost.exe (Generic Host Process for Win32 services) schon als bekannt gemeldet. Ich habe hier den Zugriff gestattet.
Nun habe ich folgendes Problem:
Wenn ich mich mit firefox anmelde, dann kann die Startseite nicht mehr angezeigt werden. Auch google kann ich nicht mehr aufrufen.
Die neueste Version von CWShredder und SpyBot fand keine Malware.
Was kann ich jetzt tun?
Ich habe mal den hijack this-log angehängt.
Könnt ihr mir helfen? Wäre supi.
Danke im Voraus.

cacatoa 01.05.2005 11:44
Bitte poste Dein HJT-Logfile ganz einfach mit copy and paste hier ins Forum.
cacatoa

Billy15 01.05.2005 16:39
Logfile setze ich ins Forum

Danke und Gruß

cacatoa 01.05.2005 17:45
Ja, und wo isses nu?
cacatoa

Combine 01.05.2005 20:43
Hab mir ma angekuckt


O14 - IERESET.INF: START_PAGE_URL=http://www.marktkauf.de/

Fix das besser mal

O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe

scnanne lassen hier http://virusscan.jotti.org/de/

Billy15 02.05.2005 06:54
@cacatoa:
Logfile ist hier als Dateianhang angefügt (siehe mein 1. Posting) und ist noch hier im Trojaner-Board in anderem Forum ausgedruckt ersichtlich.
Hier auch für Dich nochmal:

Logfile of HijackThis v1.99.1
Scan saved at 10:05:05, on 01.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Heiko\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.marktkauf.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.marktkauf.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094832227000
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Hier auch noch der e-scan Report vom Sonntag:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 01 19:33:40 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun May 01 21:31:31 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 01 21:18:17 2005 => File D:\download\MSOffice97 Neue Rechtschreibung\spdeu9x.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 01 21:31:31 2005 => Total Virus(es) Found: 1
Sun May 01 21:31:31 2005 => Total Errors: 15
Sun May 01 21:31:31 2005 => Time Elapsed: 02:09:51
Sun May 01 21:31:31 2005 => Total Objects Scanned: 49947
Sun May 01 19:20:25 2005 => Virus Database Date: 2005/05/01
Sun May 01 21:31:31 2005 => Virus Database Date: 2005/05/01
Sun May 01 21:49:06 2005 => Virus Database Date: 2005/05/01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Gruß Billy15

cacatoa 02.05.2005 09:15
Hi,
wie Combine :daumenhoc schon geschreiben hat, mal den O14 Eintrag fixen.
CA-Einträge stammen normalerweise von pest-patrol. Also online scanne lassen, wenn sei nicht von dir stammen.
cacatoa

Billy15 02.05.2005 14:59
Hallo zusammen,

also:
Habe den O14-Eintrag gefixt. Brachte leider keine Besserung :(

Auch der Datei-scan der Datei C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe
bei Jotti war ergebnislos.

Was kann ich jetzt noch tun? Nach wie vor komme ich bei firefox nicht auf die Startseite, google und yahoo kann ich nicht aufrufen. Es kommt immer eine leere Seite und der Hinweis: Seite kann nicht angezeigt werden.

Wie und wo kann ich den online-scan, den cacatoa erwähnt, durchführen?

Grüße vom
Billy15

cacatoa 02.05.2005 18:13
@ billy,
sorry habe den Lin vergessen zu schreiben: Online scan von Dateien: Hier.
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:27 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129