Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte überpüfen: Log und Trojaner (https://www.trojaner-board.de/44782-bitte-ueberpuefen-log-trojaner.html)

Sinus 18.10.2007 19:21
Bitte überpüfen: Log und Trojaner
 
Hallo & guten Abend!

Mein Notebook ist leider infiziert, seit längerem poppt ständig Werbung auf, selbst bei google-links gelange ich nur auf Werbeseiten....

Hier mal der logfile, ich hoffe, es ist ok so.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:09, on 18.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\ntvdm.exe
D:\Dokumente und Einstellungen\M******\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} -

C:\WINNT\system32\tmp27.tmp.dll
O2 - BHO: Flash Module - {669CFA6D-450B-4d88-A9D7-D2371E845370} - btaskv.dll (file

missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} -

C:\WINNT\WebAssist.dll
O2 - BHO: HelloWorldBHO - {B3A05538-8F91-49C1-8EE3-6EB142B41E2A} -

C:\Programme\Microsoft Help\Microsoft.System.Help.Library.dll
O2 - BHO: H - {E0E37093-DF7C-4c82-A0BD-9FD8EF7A009B} - soing1.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE"

/STANDALONE
O4 - HKLM\..\Run: [MAGIXautostart] D:\Dokumente und

Einstellungen\M******\Desktop\foto_manager_sued_d.exe
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto

Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKCU\..\Run: [swg]

C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] D:\Dokumente und

Einstellungen\M******\Anwendungsdaten\ntos.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet

Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: taskmgr.exe.lnk = C:\WINNT\system32\taskmgr.exe
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = C:\Programme\NETGEAR\WG111T

Konfigurationsprogramm\wlan111t.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} -

C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello -

{B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -

{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) -

http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.local
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} -

C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame

Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin)

- VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc.

- C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. -

C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates,

Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Pml Driver HPZ12 - HP -

C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe

--
End of file - 4615 bytes


Kaspersky hat folgendes gefunden:


Name des infizierten Objekts Virusname Letzte Aktion
C:\WINNT\blpxigef.exe Infizierte Objekte: Trojan-Spy.Win32.Broker.m übersprungen

C:\WINNT\Debug\ipsecpa.log Das Objekt ist gesperrt übersprungen

C:\WINNT\Debug\oakley.log Das Objekt ist gesperrt übersprungen

C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINNT\hra.exe Infizierte Objekte: Trojan-PSW.Win32.Zbot.c übersprungen

C:\WINNT\Minidump\Mini010807-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini012307-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini021706-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini021706-02.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini021706-03.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini021906-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini022006-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini022206-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini022807-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini040807-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini040807-02.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini050607-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini051105-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini051307-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini051806-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini060107-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini060107-02.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini060505-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini061207-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini062206-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini063007-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini070207-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini070207-02.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini070807-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini071807-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini072005-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini072406-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini072705-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini080105-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini080505-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini080505-02.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini080605-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini081307-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini081607-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini081907-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini091407-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini100707-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini101306-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini101505-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini101506-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini102205-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\Minidump\Mini111106-01.dmp Das Objekt ist gesperrt übersprungen

C:\WINNT\repair\default Das Objekt ist gesperrt übersprungen

C:\WINNT\repair\ntuser.dat Das Objekt ist gesperrt übersprungen

C:\WINNT\repair\sam Das Objekt ist gesperrt übersprungen

C:\WINNT\repair\security Das Objekt ist gesperrt übersprungen

C:\WINNT\repair\software Das Objekt ist gesperrt übersprungen

C:\WINNT\repair\system Das Objekt ist gesperrt übersprungen

C:\WINNT\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINNT\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\default.sav Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\software.sav Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\SYSTEM.ALT Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\system.sav Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\TempKey.LOG Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\userdiff Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\config\userdiff.LOG Das Objekt ist gesperrt übersprungen

C:\WINNT\system32\tmp27.tmp.dll Infizierte Objekte: Trojan.Win32.BHO.g übersprungen

C:\WINNT\Temp\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\WINNT\vtivgvdk.exe Infizierte Objekte: Trojan-PSW.Win32.Zbot.c übersprungen

C:\WINNT\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

C:\WINNT\xlxowlxx.exe Infizierte Objekte: Trojan-PSW.Win32.Zbot.c übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google\Toolbar Dictionary\googledict_en2de.dat Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\Db\Agent_NB-MR.log Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\Db\PrdMgr_NB-MR.log Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Network Associates\VirusScan\OnAccessScanLog.txt Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\Default User\Cookies\index.dat Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\*******\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms0311.jar-49e66c7c-707bec90.zip/TakePrivileges.class Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak übersprungen

D:\Dokumente und Einstellungen\*******\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms0311.jar-49e66c7c-707bec90.zip/Installer.class Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak übersprungen

D:\Dokumente und Einstellungen\******\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms0311.jar-49e66c7c-707bec90.zip ZIP: infiziert - 2 übersprungen

D:\Dokumente und Einstellungen\******\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms0311.jar-7694ecd-3adb3f16.zip/TakePrivileges.class Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak übersprungen

D:\Dokumente und Einstellungen\******\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms0311.jar-7694ecd-3adb3f16.zip/Installer.class Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak übersprungen

D:\Dokumente und Einstellungen\******\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms0311.jar-7694ecd-3adb3f16.zip ZIP: infiziert - 2 übersprungen

D:\Dokumente und Einstellungen\*******\Cookies\index.dat Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\******\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\*******\NTUSER.DAT Das Objekt ist gesperrt übersprungen

D:\Dokumente und Einstellungen\*******\ntuser.dat.LOG


-------------------------------------------
Mein Mann, der dafür normalerweise zuständig ist, musste bis Sonntag weg....

Frage: Bekommt das ein Otto-Normalverbraucher mit viel gutem Willen hin? Oder sollte ich da lieber die Finger von lassen?

Danke für Tips!

cosinus 18.10.2007 21:55
Hallo sinus ;)

Dein HJT-Logfile sieht nicht ganz vollständig aus. Außerdem hat es viele sinnlose Zeilenumbrüche, poste es deshalb nochmal aber komplett und übersichtlich. Idealerweise mit Code-Tags umschlossen - die CODE-Tags bekommst du über den Rautebutton # über das Textfeld.

Dem Kaspersky-Logfile zufolge hast du aber schonmal mindestens eine üble Zbot-Infektion. Ich weiß nicht ob du dich da unbedingt rantrauen willst oder den Rechner nicht gleich lieber neu aufsetzen magst.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131