Der trojanische Hengst

Status
Für weitere Antworten geschlossen.
O

OrlandoRafaelo

Guest
Der trojanische Hengst

Avira hat uns angezeigt, dass wir uns einen Trojaner gefangen haben ( TR/Skintrim.Bay.2 ). Wir haben Avira mit der Löschung beauftragt. Anschließend haben wir eine Systemprüfung gemacht, mit dem Ergebnis „Kein Befund“. Können wir sicher sein, dass der Trojaner wirklich entfernt wurde, und wenn nicht, wie oder womit kann man solche lästigen Störenfriede aufspüren und vernichten?

Sonne zum Gruß

Roland

 

Sini1

Well-known member
Mitglied seit
24 März 2008
Beiträge
1.381
re

Hallo und Wilkommen bei Winpower.

HijackThis Installieren und Logfile Posten.

Malwarebytes Installieren, Update durchführen und PC im Abgesicherten Modus ( F8 ) Scannen.

Download HijackThis

Download Malwarebytes

Poste bitte dein Logfile hier:
Please, Anmelden or Registrieren to view URLs content!


MFG:pennywise

 
O

OrlandoRafaelo

Guest
HijackThislässt sich bei mir nie installieren! wieso?

 

Xiaolong

Well-known member
Mitglied seit
2 September 2006
Beiträge
1.994
Da hat sich Penny etwas unglücklich ausgedrückt. HiJackThis wird nur gestartet und nicht installiert. Dann auf "Scan and safe a logfile" klicken und das Ergebnis hier posten.

 
O

OrlandoRafaelo

Guest
Das habe ich auch verstanden... Aber bei mir wird immer angezeigt, dass eine bestimmte DLL Datei fehlt, um dieses Programm zu öffnen! Auf meinem virtuellen Computer funktioniert es, aber auf dem richtigen nicht. Kann es an irgendeiner besonderen Einstellung liegen?

 
O

OrlandoRafaelo

Guest
Das ist die fehlende DLL Datei: MSVBVM60.DLL
Meine Automatischen Updates sind deaktiviert!

 
O

OrlandoRafaelo

Guest
Hallo Jungs,

Avira hat uns angezeigt, dass wir uns einen Trojaner gefangen haben ( TR/Skintrim.Bay.2 ). Wir haben Avira mit der Löschung beauftragt. Anschließend haben wir eine Systemprüfung gemacht, mit dem Ergebnis „Kein Befund“. Können wir sicher sein, dass der Trojaner wirklich gelöscht wurde?
Daraufhin haben wir mit Hijckthis ein Protokoll erstellt.
Was gehört da nicht rein?

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 20:46:43, on 03.06.2009Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Programme\Avira\AntiVir Desktop\sched.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\RunDLL32.exeC:\Programme\Analog Devices\Core\smax4pnp.exeC:\Programme\Analog Devices\SoundMAX\Smax4.exeC:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exeC:\Programme\Acronis\TrueImageHome\TimounterMonitor.exeC:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exeC:\Programme\Avira\AntiVir Desktop\avgnt.exeC:\WINDOWS\system32\ctfmon.exeC:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exeC:\Programme\FRITZ!DSL\FwebProt.exeC:\Programme\FRITZ!DSL\StCenter.exeC:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exeC:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exeC:\Programme\Avira\AntiVir Desktop\avguard.exeC:\Programme\FRITZ!DSL\IGDCTRL.EXEC:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exeC:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\svchost.exeC:\Programme\Canon\CAL\CALMAIN.exeC:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exeC:\WINDOWS\system32\wscntfy.exeC:\WINDOWS\System32\svchost.exeC:\Programme\Mozilla Firefox\firefox.exeC:\Programme\OpenOffice.org 2.2\program\soffice.exeC:\Programme\OpenOffice.org 2.2\program\soffice.BINC:\WINDOWS\Explorer.EXEC:\Programme\Mozilla Thunderbird\thunderbird.exeC:\Dokumente und Einstellungen\Galaxia\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Virtual PC.exeC:\WINDOWS\system32\msiexec.exeD:\registrybooster\Uniblue\RegistryBooster\RegistryBooster.exeD:\HJTInstall\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankO2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dllO2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dllO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dllO3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dllO4 - HKLM\..\Run: [sW20] C:\WINDOWS\system32\sw20.exeO4 - HKLM\..\Run: [sW24] C:\WINDOWS\system32\sw24.exeO4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [soundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [soundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /trayO4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe bootO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exeO4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exeO4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /minO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"O4 - HKCU\..\Run: [uniblue RegistryBooster 2009] D:\registrybooster\Uniblue\RegistryBooster\RegistryBooster.exe /SO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exeO4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exeO8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.htmlO8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.htmlO8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.htmlO8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.htmlO8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.htmlO8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.htmlO8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.htmlO8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.htmlO9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.htmlO9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.htmlO9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.htmlO9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.htmlO9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.htmlO9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.htmlO12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dllO16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) -
Please, Anmelden or Registrieren to view URLs content!
- HKLM\System\CCS\Services\Tcpip\..\{253D6541-0D65-4486-B472-DEA7B6238C34}: NameServer = 192.168.122.252,192.168.122.253O17 - HKLM\System\CS1\Services\Tcpip\..\{253D6541-0D65-4486-B472-DEA7B6238C34}: NameServer = 192.168.122.252,192.168.122.253O17 - HKLM\System\CS2\Services\Tcpip\..\{253D6541-0D65-4486-B472-DEA7B6238C34}: NameServer = 192.168.122.252,192.168.122.253O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exeO23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exeO23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exeO23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXEO23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exeO23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exeO23 - Service: Droppix Service - Droppix - C:\Programme\Gemeinsame Dateien\Droppix\DxService.exeO23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exeO23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeO23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exeO23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exeO23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe--End of file - 8790 bytes

(Aus doppeltem Thread hierher kopiert von Gorthaur)

 

Gorthaur

Well-known member
Mitglied seit
7 Mai 2004
Beiträge
1.521
Die Logfile sieht soweit ganz gut aus. Einzig der folgende Eintrag wirkt leicht verdächtig, weil er sich in einem anderen Verzeichnis befindet, als gewöhnlich:

D:\registrybooster\Uniblue\RegistryBooster\RegistryBooster.exe

 
Status
Für weitere Antworten geschlossen.
Oben