Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HJT-File alles OK? (https://www.trojaner-board.de/36393-hjt-file-alles-ok.html)

smojo 18.02.2007 00:37
HJT-File alles OK?
 
Hallo miteinander!

Ich hatte vor kurzem 3 Trojaner an Bord:
Crypt.FKM.Gen
Crypt.F.Gen
Click.Small.JS.8

Ich habe sie bei der Erkennung durch Antivir gleich gelöscht.

Meine Fragen:

1. Kann man aufgrund eines HJT-Files beurteilen, ob ein System frei von Trojanern ist?
2. Wie sieht es bei meinem HJT-File aus?
3. Ich habe nachdem Erkennen der Trojaner die LAN-Verbindung unter XP deaktiviert, ist mein PC jetzt noch zugänglichvon außen?
4. Und noch eine Frage, die evtl. nicht hierher gehört: Ich habe inzwischen parallel zu XP Ubuntu installiert und bin damit im Netz unterwegs, und hoffe, dadurch besser geschützt zu sein. Trügt diese Hoffnung, da ich ja noch möglicherweise Trojaner auf der Festplatte habe, wenn auch auf einer anderen Partition?

Jetzt ist es doch mehr geworden als ich am Anfang schreiben wollte.
Falls sich jemand die Mühe macht, mir zu antworten: Vielen Dank schon mal im Vorraus!

Grüße!

smojo

Hier mein HJT-File:

Logfile of HijackThis v1.99.1

Scan saved at 23:06:17, on 17.02.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\CloneCD\CloneCDTray.exe

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\DAEMON Tools\daemon.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Programme\WinTV\Ir.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Programme\FRITZ!DSL\FwebProt.exe

C:\Programme\FRITZ!DSL\StCenter.exe

C:\Programme\WISO\Sparbuch 2007\rswisoservice.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

J:\Hijackthis\HijackThis.exe



O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe

O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe

O4 - Startup: WISO Urteilsmonitor.lnk = ?

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing)

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Sunny 18.02.2007 10:10
Zitat:
Zitat von smojo (Beitrag 254481)
Ich hatte vor kurzem 3 Trojaner an Bord:
Crypt.FKM.Gen
Crypt.F.Gen
Click.Small.JS.8
Ich habe sie bei der Erkennung durch Antivir gleich gelöscht.
Hallo. :)

Wo wurden die Schädlinge gefunden? Bitte genaue Pfadangabe posten.
(im letzten Report von Antivir sollte das noch vermerkt sein!)

Zitat:
1. Kann man aufgrund eines HJT-Files beurteilen, ob ein System frei von Trojanern ist?
Nein, kann man nicht!
Das Hijacklog gibt nur einen groben Überblick des Systems bzw der laufenden Programme.

Zitat:
2. Wie sieht es bei meinem HJT-File aus?
Ich frage mich bei deinem Log, warum der Antivir-Guard deaktiviert bzw. Antivir nicht vollständig geladen ist?

Zitat:
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
Zitat:
3. Ich habe nachdem Erkennen der Trojaner die LAN-Verbindung unter XP deaktiviert, ist mein PC jetzt noch zugänglichvon außen?
Eigentlich nicht, denn wenn keine I-Net Verbindung mehr besteht, wie soll dann von außen noch auf dein System zugegriffen werden? ;)

Zitat:
4. Und noch eine Frage, die evtl. nicht hierher gehört: Ich habe inzwischen parallel zu XP Ubuntu installiert und bin damit im Netz unterwegs, und hoffe, dadurch besser geschützt zu sein. Trügt diese Hoffnung, da ich ja noch möglicherweise Trojaner auf der Festplatte habe, wenn auch auf einer anderen Partition?
Du bist nur so sicher wie du dich selbst mit der gesamten Materie auskennst! ;) Abgesehen davon bist du mit keinem Betriebssystem sicher wenn du selbst Crackseiten besuchst, Software installierst welche aus unseriösen Quellen stammt, oder aber auf alles klickst was nicht bei 3 auf dem Baum ist. ;)

Abgesehen davon:
Viren/Trojaner/Malware welche für Windows-System programmiert wurden,
sind auch ausschließlich nur für diese.
D.h. Ubuntu wäre davon nicht betroffen!
(genauso ist es dann natürlich umgekehrt. ;)

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


Gruß :daumenhoc
Sunny

smojo 18.02.2007 22:25
Hallo Sunny!

Vielen Dank erst Mal für Deine Antworten!

Ich hab ja jetzt ein paar Dinge zu tun... Ich melde mich dann wieder!

Danke,

smojo

smojo 19.02.2007 11:20
Hallo Sunny!

Zum Scannen mit Blacklight bin ich noch nicht gekommen. Die übrigen Ergebnisse sind wie folgt:

Zitat:
Zitat:
Ich hatte vor kurzem 3 Trojaner an Bord:
Crypt.FKM.Gen
Crypt.F.Gen
Click.Small.JS.8
Wo wurden die Schädlinge gefunden? Bitte genaue Pfadangabe posten.
(im letzten Report von Antivir sollte das noch vermerkt sein!)
TR/Crypt.FKM.Gen wurde gefunden in C:\WINDOWS\system32\dqetiydv.exe.
Datei wurde gelöscht.

TR/Crypt.F.Gen wurde gefunden in C:\WINDOWS\system32\keoodwks.exe.
Datei wurde gelöscht.

TR/Click.Small.JS.8 wurde gefunden in C:\ukwxbvix.pop.
Datei wurde gelöscht.

Zitat:
Ich frage mich bei deinem Log, warum der Antivir-Guard deaktiviert bzw. Antivir nicht vollständig geladen ist?
Der Antivir-Guard lässt sich nicht starten. Ich bin dem Problem noch nicht weiter auf den Grund gegangen. *schäm!

Zitat:
Zitat:
Ich habe nachdem Erkennen der Trojaner die LAN-Verbindung unter XP deaktiviert, ist mein PC jetzt noch zugänglichvon außen?
Eigentlich nicht, denn wenn keine I-Net Verbindung mehr besteht, wie soll dann von außen noch auf dein System zugegriffen werden? ;)
Stimmt! Aber wie ist es mit Verbindungen nach außen? Kommt es vor, dass eine unerwünschte Software die LAN-Verbindung aktiviert?

Zitat:
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Feb 18 22:53:52 2007 => Version 9.1.4
Sun Feb 18 22:51:04 2007 => Virus-Datenbank Datum: 2/16/2007
Sun Feb 18 22:53:28 2007 => Virus-Datenbank Datum: 2/17/2007
Mon Feb 19 00:40:06 2007 => Virus-Datenbank Datum: 2/17/2007
Mon Feb 19 01:35:45 2007 => Virus-Datenbank Datum: 2/17/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Feb 18 22:54:30 2007 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Feb 19 00:30:56 2007 => Datei D:\Dokumentenmappe\noch aufräumen oder installieren\Quatsch\BEBEN.EXE markiert als not-virus:BadJoke.Win16.Aloap. Keine Aktion vorgenommen.
Mon Feb 19 00:37:02 2007 => Datei F:\Nicht installierte Software\DAEMON Tools\SetupDTSB.exe markiert als not-a-virus:AdTool.Win32.WhenU.a. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Feb 18 22:54:30 2007 => Offending file found: C:\Dokumente und Einstellungen\Admin\Favoriten\lesezeichen-symbolleiste\ebay.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Feb 19 00:40:06 2007 => Gefundene Viren: 3
Mon Feb 19 00:40:06 2007 => Anzahl Fehler: 61
Mon Feb 19 00:40:06 2007 => Dauer des Scans bisher: 01:46:04
Mon Feb 19 00:40:06 2007 => Gescannte Dateien: 146475
Sun Feb 18 22:53:52 2007 => Specherüberprüfung: Aktiviert
Sun Feb 18 22:53:52 2007 => Registry Überprüfung: Aktiviert
Sun Feb 18 22:53:52 2007 => System-Ordner Überprüfung: Deaktiviert
Sun Feb 18 22:53:52 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Feb 18 22:53:52 2007 => Überprüfung der Dienste: Aktiviert
Sun Feb 18 22:53:52 2007 => Überprüfung der Festplatten: Deaktiviert
Sun Feb 18 22:53:52 2007 => Überprüfung aller Festplatten :Aktiviert

Vielen Dank für Deine und Eure Hilfe!

Gruß

smojo:daumenhoc

smojo 19.02.2007 20:21
Hallo!

Hier ist noch das Ergebnis vom Blacklight-Scan:

02/19/07 19:58:28 [Info]: BlackLight Engine 1.0.55 initialized

02/19/07 19:58:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)

02/19/07 19:58:30 [Note]: 7019 4

02/19/07 19:58:30 [Note]: 7005 0

02/19/07 19:58:35 [Note]: 7006 0

02/19/07 19:58:35 [Note]: 7011 2620

02/19/07 19:58:35 [Note]: 7026 0

02/19/07 19:58:35 [Note]: 7026 0

02/19/07 19:58:42 [Note]: FSRAW library version 1.7.1021

02/19/07 20:01:53 [Note]: 2000 1012

02/19/07 20:01:53 [Note]: 2000 1012

02/19/07 20:01:53 [Note]: 2000 1012

02/19/07 20:02:56 [Note]: 7007 0


Danke und Gruß

smojo

irrlicht 19.02.2007 21:15
Hallo,
du siehst die beiden "tagged files" ?
Folge dem angegebenen Pfad zur angemeckerten Datei und lösche sie.
Soweit ist dann alles in Ordnung
Irrlicht

smojo 20.02.2007 11:46
Das hört sich ja prima an! Danke!

Eine Frage noch:
Wie bekomme ich meinen AntivirGuard wieder aktiviert. Das Programm selbst gibt keinen Tipp dazu. De- und wieder installieren?

Gruß smojo


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131