|
Trojaner gelöscht / Bitte Logfile checken Liebes Forum, vor ein paar Tagen hatte mir AntiVir eine Trojaner Meldung gegeben: TR/Crypt.ULPM.Gen Ich habe die entsprechende .exe Datei sofort gelöscht. Ich möchte jetzt auf Nummer Sicher gehen und poste deshalb mein HJT Log File. Gibt es da noch Probleme? Danke, Gruß, Lucky Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:01:54, on 31.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\DitExp.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe C:\Programme\Siemens\Gigaset USB Stick 54\OdHost.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.real.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Strato DSL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Stick 54\Gcc.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {ABF53A3A-024E-4762-A3C1-263AEE17F172} - h**p://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=h**p://www.strato.de/dsl/ O17 - HKLM\System\CCS\Services\Tcpip\..\{EBF3A30D-AB43-4386-9B06-A2BE23556CB4}: NameServer = 192.168.231.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{F6D225D3-F349-4F03-924F-A3380828DACC}: NameServer = 192.168.231.101 O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\OUTPOS~1.0\outpost.exe O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing) -- End of file - 6790 bytes |
Hallo und :) Herzlich Willkommen im Trojaner-Baord :) Dein Logfile ist soweit unauffällig. Optional einen escan einschieben und folgendes fixen: * HijackThis - Fix Cecked - Führe deine Hijackthis.exe - Datei aus (bestätige die eventuelle Warnung mit "ok") - Wähle die Option "Do only a System Scan" - Setze bei folgenden Einträgen links im Kästchen einen Haken Zitat:
* MWAV (eScan) - Free Antivirus 1. Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan 2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Edit: Zitat von Bata Alexander: Zitat:
Bitte deinstalliere eines von beiden. Thanks an Bata :) mfg Cleriker |
Hallo Cleriker! Vielen Dank für Deine Antwort. Die IE Startseite habe ich gefixt. Wieso war das ein Problem? Beim zweiten Teil habe ich Probleme: 1. Im abgesicherten Modus komme ich nicht ins Internet und kann somit eScan nicht auf den aktuellen Stand bringen. Ich gehe über WLAN und z.B. ist der USB Stick nicht installiert. Was kann ich da machen? a) Stick im abgesicherten Modus installieren? b) im normalen Modus das Update ziehen? 2. Ich habe eScan trotzdem laufen lassen. Er hat 9 Schädlinge gefunden! Und das obwohl ich regelmäßig Spybot und AntiVir laufen lasse. Leider klappt es mit der "find.bat" nicht. Es hängt sich an folgender Stelle auf: http://i13.photobucket.com/albums/a2...ic/findbat.png Die Stapeldatei schreibt noch ein neues .log File "mwav-02.11.2007_20-32-56.log" und legt eine tmp.log an. Aber in letzterer steht nur 1 Zeile! Das MWAV.log File ist 25MB groß!!! Was soll ich hier machen? 3. Ich habe trotzdem mal die gröbsten Fehler per Hand rausgeschrieben. Wie kann ich diese Viecher loswerden? Was für Schäden richten die an? Vielen Dank für Eure Hilfe! Da bin ich echt drauf angewiesen! Gruß, Lucky Thu Jun 30 22:18:30 2005 => File C:\Alte Daten\Users\xxx\Mail\Trash infected by "Email-Worm.Win32.Sobig.f" Virus! Action Taken: No Action Taken. Fri Nov 02 12:54:47 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Fri Nov 02 12:55:03 2007 => Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Nov 02 12:55:06 2007 => Offending file found: C:\DOKUME~1\xxx\LOKALE~1\Temp\8.exe Fri Nov 02 12:55:06 2007 => System found infected with flashtrack Spyware/Adware (8.exe)! Action taken: No Action Taken. Fri Nov 02 12:55:06 2007 => Offending file found: C:\DOKUME~1\xxx\LOKALE~1\Temp\9.exe Fri Nov 02 12:55:06 2007 => System found infected with broadcastpc Spyware/Adware (9.exe)! Action taken: No Action Taken. Fri Nov 02 12:55:06 2007 => Offending file found: C:\DOKUME~1\xxx\LOKALE~1\Temp\a.exe Fri Nov 02 12:55:06 2007 => System found infected with blurax BackDoor (a.exe)! Action taken: No Action Taken. Fri Nov 02 12:55:13 2007 => Offending file found: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\8.exe Fri Nov 02 12:55:13 2007 => System found infected with flashtrack Spyware/Adware (8.exe)! Action taken: No Action Taken. Fri Nov 02 12:55:13 2007 => Offending file found: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\9.exe Fri Nov 02 12:55:13 2007 => System found infected with broadcastpc Spyware/Adware (9.exe)! Action taken: No Action Taken. Fri Nov 02 12:55:13 2007 => Offending file found: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\a.exe Fri Nov 02 12:55:13 2007 => System found infected with blurax BackDoor (a.exe)! Action taken: No Action Taken. Fri Nov 02 12:57:33 2007 => File C:\DOKUME~1\xxx\LOKALE~1\Temp\9.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken Fri Nov 02 13:23:43 2007 => File C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\9.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. |
Find.bat hängt / eScan Update? Zu Frage 3 habe ich mal selber ein bißchen geforscht. Kann es sein, daß die eScan Meldungen Fehlalarme sind? Ich habe versucht herauszukriegen, wie man u.g. Schädlinge entfernen kann. Dabei bin ich z.B. auf folgende Links gestoßen: Remove Blurax, removal instructions FlashTrack BroadcastPC - Adware removal instructions. Die darin beschriebenen Prozesse, Registry-Einträge, oder Dateien waren bei mir nicht vorhanden. Seht Ihr das das dann auch so als Fehlalarm? Oder was muß ich sonst tun? Bleiben aber immer noch Fragen 1 und 2 offen. Weiß da jemand Rat? Danke, Gruß, Lucky |
Hallo, Zitat:
Zitat:
Zitat:
der Zusammenfassung "neuer_escan" oder so ähnlich. (nur 3kb) zu3: richtig geforscht....Escan bringt eine Menge Fehlalarme, jedoch, so wie dein Auszug aussieht, bist du auf jeden Fall infiziert. Für eine eventuelle Komplettbereinigung benötigen wir aber die komplette Zusammenfassung. mfg Cleriker |
Hallo Cleriker, ich habe eScan im normalen Modus aktualisiert und dann im abgesicherten Modus gescannt. Mit der find.bat ging es jetzt auch, keine Ahnung wieso. Hier ist das Ergebnis. Ich würde mich sehr über weitere Tipps freuen. Wie werde ich den gain.gator los? (Spybot S&D findet diesen nicht!) Ist sonst noch was auffällig? Danke, Gruß, Lucky ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.5.1 Sprache: German Virus-Datenbank Datum: 11/5/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Alte Daten\Desktop und c files\UTILS\PACKER\JAR\Jar gepackt.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Alte Daten\Install us\Sound Forge 4.5e 329\setupfrg.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Alte Daten\Install us\Steinberg Mastering Edition v1\setupsme.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IHYR6NIR\ii_nt86[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Gemeinsame Dateien\Agnitum Shared\Aupdate\Downloaded Files\update_bin.20060512_1732.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\RECYCLER\S-1-5-21-2827754681-596702142-3896284854-1006\Dc1278.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\RECYCLER\S-1-5-21-2827754681-596702142-3896284854-1006\Dc756.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\RECYCLER\S-1-5-21-2827754681-596702142-3896284854-1006\Dc940.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\5WER99OL\update_bin.20060512_1732[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Programme\CrossP\BAD\NP000000.ARJ nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Programme\CrossP\XPCOL.ARJ nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 153920 Gefundene Viren: 1 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 399 Dauer des Scans bisher: 01:33:29 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 22:32:26,29 Batchende: 22:32:39,98 |
Hi, na jetzt verwirrts mich aber . . . dein Auszug beschrieb ein paar Infizierungen und bei der Zusammenfassung ist keine Einzige zu sehen (nur ein Fehlalarm). Hast du irgendwas verändert oder versehentlich den PC gewechselt? mfg Cleriker |
Hallo Cleriker, sorry ich dachte ich hätte es geschrieben. Die Dateien 8.exe, 9.exe und a.exe habe ich einfach gelöscht, damit waren bei dem erneuten eScan dann auch die entsprechenden Warnungen weg. Also diese gain.gator Warnung ist also ein Fehlalarm? Dachte ich mir fast, Spybot müßte den ja eigentlich erkennen. Ich vermute mal, daß jetzt alles clean ist? Wenn dem so ist: Besten Dank für die Hilfestellung! Gruß, Lucky |
In dem escan finde ich nichts mehr besonderes, jedoch stand in deinen Auszügen etwas von Backdoors und das hätte ich gerne gernauer überprüft. Einem NeuAufsetzen bist du laut meiner Empfehlung gar nicht so weit entfernt, denn wenn der Backdoor einer der Variante war, die deine Logindaten ausspionieren, wirst du uns bald wieder hier besuchen. Aber ich sehe schon, du hast dich für die Bereinigung entschieden. Tue mir noch den Gefallen und ja den CCleaner rüber. * CCleaner - Lade dir den CCleaner runter - Ccleaner installieren (die toolbar nicht installieren) und starten - wähle unter Options --> Settings --> German - bereinige dein System - lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben mfg Cleriker |
Hallo Cleriker, ich habe das mit CClean so gemacht, wie Du beschrieben hast. Nochmal zu der Backdoor. Wenn da was wäre, müßte dann nicht Spybot, AntiVir, HijackThis oder eScan etwas dazu finden? |
Zitat:
aus dem net lädt und dir installier, vielleicht. Wenn er aber einem dritten Zugang zu dir verschafft, kannst du deine Logindaten als ausspioniert ansehen und findest es aber nicht herraus. Deshalb ist dieses Thema so kritisch. mfg Cleriker |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board