Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Anfänger braucht Hilfe/Trojaner an Bord? (https://www.trojaner-board.de/24243-anfaenger-braucht-hilfe-trojaner-bord.html)

heeerne 04.12.2005 17:14
Anfänger braucht Hilfe/Trojaner an Bord?
 
Hallo an alle-hab jetzt mal ne Stunde so alles mögliche durchgelesen, komme aber alleine nicht wirklich weiter. Hoffe zumindest bis hierhin den Forum-Regeln zu entsprechen und poste mal mein HJ-Log File. Hab mir dummerweise Spyaxe eingefangen und anscheinend ein paar Trojaner oder so...:headbang:
Als Unwissender hab ich mal mit Hilfe der Systemwiederherstellung meinen PC auf vorgestern zurückgesetzt und Spyaxe ist (glaub ich zumindest) weg. Allerdings findet F-Secure Trojaner die ich nicht löschen kann. Also werft bitte mal nen Blick drüber und teilt mir eure Meinung mit-bitte nicht allzu kompliziert- Danke im voraus-LG heeerne


Logfile of HijackThis v1.99.1
Scan saved at 16:53:08, on 04.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wltrysvc.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\F-Secure\FSGUI\fsguiexe.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Christof\LOKALE~1\Temp\Rar$EX00.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {07041BB2-F22C-413C-9597-622D474EE889} (DLCFRAME (version 1,2,4,41)) - http://service.wuerth.de/duebeltechnik/DLCFrame.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{09672FFC-8201-43A2-8CBF-2AA497E387F3}: NameServer = 195.34.133.10,195.34.133.11
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\system32\wltrysvc.exe

cacatoa 04.12.2005 18:01
Hi,
bitte was genau findet f-secure wo (Pfadangabe)?
cacatoa

heeerne 04.12.2005 18:05
Hi, lass gerade F Secure noch mal drüber laufen. Soll ich dir dann den ganzen Scan Bericht posten oder nur die Pfade?
Danke-bis dann.

cacatoa 04.12.2005 18:34
kannst gerne den ganzen Bericht posten.
cacatoa

heeerne 04.12.2005 18:50
Hi,
ich werd noch Nüsse. Scan Bericht zeigt jetzt keine Infektionen mehr auf. Post ihn aber trotzdem. Vor 2 Stunden fand er so was: Trojan.Win32.Puper.bp
und zwar im Pfad: C:\SYSTEM VOLUM....\A007739.LTB


Anbei Scan Bericht-mit der Bitte um deine/eure Expertenmeinung.
LG-heeerne


Scan-Bericht
Sonntag, 4. Dezember 2005 18:03:55 - 18:36:22
Computername: CHEF
Ziel: C:\
________________________________________
Ergebnis
Keine Viren festgestellt
________________________________________
Statistiken
Dateien:
• Gescannt: 26160
• Infiziert: 0
• Verdächtig: 0
• Desinfiziert: 0
• Umbenannt: 0
• Gelöscht: 0
• Nicht gescannt: 5
Boot-Sektoren:
• Gescannt: 1
• Infiziert: 0
• Verdächtig: 0
• Desinfiziert: 0
Dateien nicht gescannt:
• Datei C:\pagefile.sys kann nicht geöffnet werden.
• Datei C:\WINDOWS\system32\config\default kann nicht geöffnet werden.
• Scannen von C:\WINDOWS\Downloaded Installations\{872653C6-5DDC-488B-B7C2-CF9E4D9335E5}\iTunes.cab\iTunes.exe wurde abgebrochen. [F-Secure AVP]
• Scannen von C:\Programme\Adobe\Acrobat 7.0\Setup Files\AcroPro\EFG\data1.cab\PreflightLib.dll wurde abgebrochen. [F-Secure AVP]
• Datei C:\Dokumente und Einstellungen\Christof\Desktop\c__raAny.rar\dummy file name of encryted archive ist verschlüsselt.
________________________________________
Optionen
Version der Virendefinitionen:
• 2005-12-03_01
Scan-Module:
• F-Secure AVP: 6.0.167.6190, 2005-12-04
• F-Secure Libra: 2.01.10, 2005-12-02
• F-Secure Orion: 1.02.33, 2005-12-01
Scan-Optionen:
• Dateien mit folgenden Erweiterungen scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML AVB BAT CEO CMD LSP MAP MHT MIF PHP POT NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2
• Archive scannen: ein
Aktion:
• Nach Scannen fragen
________________________________________

cacatoa 04.12.2005 19:31
Der ist in der Systemwiederherstellung gelandet.
Systemwiederherstellung aus, Rechner aus, Rechner an, Systemwiederherstellung wieder an.
Dann ist System volume.. leer.
cacatoa

heeerne 04.12.2005 19:50
Oute mich jetzt als absolute Nuss-verstehe nicht was du meinst bzw. was ich nun tun soll??

cacatoa 05.12.2005 08:11
Hi,
nicht tragisch; hier steht wie es geht.
Außerdem: immer mal bei Tante google nachfragen....;)
cacatoa

heeerne 05.12.2005 14:11
Hi Cacatoa,
danke für deine Tipps - hab's mir durchgelesen. Heisst das im Endeffekt, dass sich der Virus erst dann löschen lässt, wenn die Systemwiederherstellung ausgeschaltet ist? Allerdings zeigt F Secure mittlerweile keinen Virus mehr an?!? Viell. hat sich das Problem ja irgendwie von selbst gelöst.....
Bezüglich meiner Log-File konntest du nichts Schlimmes erkennen?
LG heeerne

Wildone 05.12.2005 14:22
Hallo,
Logfile sieht soweit sauber aus. Der Virus ist (inaktiv) in der Systemwiederherstellung, diese wird automatisch geleert wenn du sie ausschaltest, und somit ist dann auch der Virus weg. Würde es mal auf jeden Fall machen, auch wenn F-Secure nichts mehr meldet, Schaden kann es ja nichts.



Grüße Wildone

heeerne 05.12.2005 16:24
Danke, hab ich gemacht-scheint wieder sauber zu sein.
THX für eure Unterstützung!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:35 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129