Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte helft mir habe ein riesen großes Problem (https://www.trojaner-board.de/46285-bitte-helft-mir-habe-riesen-grosses-problem.html)

nici8880 25.11.2007 18:05
Bitte helft mir habe ein riesen großes Problem
 
Hallo wärt ihr so nett und würdet mir helfen denn ich habe ein viren problem.
Ich poste euch mein logfile zum hijackthis. Es kommt bei meinem avira antivir programm immer diese meldung TR/Agent.38912 und der sitzt in gebxxwx.dll.

Hier mein Logfile vom 25.11.2007

[Y] Logfile of Trend Micro HijackThis v2.0.2 - Ihre Version sollte aktuell sein.
[WINXP] Platform: Windows XP SP2 (WinNT 5.01.2600) -
[Y] MSIE: Internet Explorer v7.00 (7.00.6000.16544) - Ihre Version sollte aktuell sein.
[Y] Boot mode: Normal - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] D:\WINDOWS\System32\smss.exe - Systemprozess - Anwendung, die benutzt wird um Sitzungen zu starten, verwalten und löschen.
[Y] D:\WINDOWS\system32\winlogon.exe - Systemprozess - Windows Login Routine
[Y] D:\WINDOWS\system32\services.exe - Systemprozess - Verwaltet die Systemdienste.
[Y] D:\WINDOWS\system32\lsass.exe - Systemprozess
[Y] D:\WINDOWS\system32\svchost.exe - Systemprozess - Allgemeiner Hostprozessname für Dienste.
[Y] D:\WINDOWS\System32\svchost.exe - Systemprozess - Allgemeiner Hostprozessname für Dienste.
[Y] D:\WINDOWS\system32\spoolsv.exe - Systemprozess
[AVSCAN] D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe - Part of AntiVir
[Y] D:\WINDOWS\Explorer.exe - Systemprozess für Desktop und Taskleiste.
[?] D:\WINDOWS\SYSTEM32\USRmlnkA.exe - Dies ist ein unbekannter Prozess.
[AVSCAN] D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe - Part of AntiVir
[Y] D:\WINDOWS\system32\ctfmon.exe -
[Y] D:\Programme\ICQ6\ICQ.exe - ICQ chat client
[Y] D:\Programme\Windows Live\Messenger\MsnMsgr.Exe - Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\msn messenger\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. MSN Messenger
[Y] D:\WINDOWS\SYSTEM32\USRshutA.exe - Fuzzy Algorithmusprüfung (4.14 / 5.00), Sicher
[?] D:\WINDOWS\SYSTEM32\USRmlnkA.exe - Dies ist ein unbekannter Prozess.
[Y] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe - Customized Firefox Updater
[Y] D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe - Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\antivir.*\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Antivir Scheduler
[Y] D:\Programme\ArcorOnline\AOButler.exe - Fuzzy Algorithmusprüfung (3.67 / 5.00), Sicher
[Y] D:\Programme\Windows Live\Messenger\usnsvc.exe - Windows Live Messenger
[Y] D:\Programme\Internet Explorer\iexplore.exe - Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
[Y] D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe - Microsoft Windows Live Login Helper
[Y] D:\Programme\Trend Micro\HijackThis\HijackThis.exe - Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
[Y] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de - Diese Seite wurde als gut identifiziert!
[Y] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de - Diese Seite wurde als gut identifiziert!
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de - Diese Seite wurde als gut identifiziert!
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de - Diese Seite wurde als gut identifiziert!
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de - Diese Seite wurde als gut identifiziert!
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de - Diese Seite wurde als gut identifiziert!
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de - Diese Seite wurde als gut identifiziert!
[Y] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG - Diese Seite wurde als gut identifiziert!
[Y] R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll -
[Y] O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll - ICQ Toolbar
[Y] O4 - HKLM\..\Run: [USRpdA] D:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA - Modem driver files from US Robotics
[X] O4 - HKLM\..\Run: [qxkhgjmz] regsvr32 /u "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qxkhgjmz.dll" - Fuzzy Algorithmusprüfung (2.99 / 5.00), Schädlich
[Y] O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min - AntiVir® PersonalEdition Classic - System Tray icon and control program
[Y] O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe - Office related
[Y] O4 - HKCU\..\Run: [Arcor Online] D:\PROGRA~1\ARCORO~1\Arcor.exe /inst_typ:2 /kunden_typ:bestand - Fuzzy Algorithmusprüfung (4.26 / 5.00), Sicher
[Y] O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent -
[Y] O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background - Microsoft s MSN Messenger 6
[Y] O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') - Office related
[Y] O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') - Office related
[Y] O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') - Office related
[Y] O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') - Office related
[Y] O4 - Global Startup: Arcor Online Software starten.lnk = D:\Programme\ArcorOnline\Arcor.exe - Fuzzy Algorithmusprüfung (3.8 / 5.00), Sicher
[Y] O4 - Global Startup: ICQ6.lnk = D:\Programme\ICQ6\ICQ.exe - Fuzzy Algorithmusprüfung (4.04 / 5.00), Sicher
[Y] O4 - Global Startup: Windows Live Messenger .lnk = D:\Programme\Windows Live\Messenger\msnmsgr.exe - MSN Messenger
[Y] O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll - Der Eintrag wurde als Gut erkannt.
[Y] O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll - Der Eintrag Sun Java Konsole wurde als Gut erkannt.
[Y] O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe - Der Eintrag ICQ6 wurde als Gut erkannt.
[Y] O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe - Der Eintrag ICQ6 wurde als Gut erkannt.
[Y] O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe - Der Eintrag Messenger wurde als Gut erkannt.
[Y] O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe - Der Eintrag Windows Messenger wurde als Gut erkannt.
[Y] O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194885852247 - Dieser Eintrag wurde als gut identifiziert!
[Y] O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab - Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
[Y] O17 - HKLM\System\CCS\Services\Tcpip\..\{AE418EF2-520A-41D4-8D39-DBA84B70B5C8}: NameServer = 195.50.140.178 195.50.140.114 - Die Eingegebene IP oder Domäne '195.50.140.178 195.50.140.114' wurde als gut identifiziert.
[Y] O23 - Service: WEB.DE Browser Update (AdminSVC) - hablamax - D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe - Dieser Dienst (adminsvc.exe) wurde als gut identifiziert.
[Y] O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe - Dieser Dienst (sched.exe) wurde als gut identifiziert.
[AVSCAN] O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe - Dieser Dienst (avguard.exe) wurde als gut identifiziert.




Gruß nicole

cosinus 25.11.2007 20:38
Hallo.

Werte die fragliche Datei mal bei Virustotal aus und poste die Ergebnisse. Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
* Hijackthis
* eScan
* Silentrunners
* combofix

nici8880 13.09.2008 09:23
hallo gast welche fragliche datei soll ich denn bei virustotal auswerten lassen ???

Gruß nicole


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129