Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


downloader.elt - HJTLogfile und Datfindbat

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Antwort erstellen

downloader.elt - HJTLogfile und Datfindbat

Beitragvon Snafu am 04.10.2006, 21:21

Hallo,

habe vorhin mit dem PandaOnlinescan einen check durchgeführt, worauf die Datei virus/trj. - downloader.elt gefunden wurde. Sie wurde vom Scanner gelöscht, trotzdem fühle ich mich noch etwas unbehaglich und würde euch bitten, mein HJT-Logfile auszuwerten.
...und mir ggf. bitte weitere Scananweisungen zu geben.

Einen Port-Authority check mit dem Link von nikita's Seite habe ich ausgeführt, es wurden keine offenen Ports gefunden.



Code: Alles auswählen
Logfile of HijackThis v1.99.1
Scan saved at 21:26:47, on 04.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
F:\Pogram data\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120578077702
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD8CD730-FD9F-4121-813C-F81DCF888E61}: NameServer = 205.188.146.145
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe




dazu datfindbat der letzten 3 Monate:

1)

Code: Alles auswählen
Datentr„ger in Laufwerk C: ist 50_01i36
Volumeseriennummer: 0074-842E

Verzeichnis von C:\WINDOWS\system32

04.10.2006  18:53             2.550 Uninstall.ico
04.10.2006  18:53             1.406 Help.ico
04.10.2006  18:53            30.590 pavas.ico
04.10.2006  15:56             1.158 wpa.dbl
04.10.2006  15:56            43.188 nvapps.xml
15.09.2006  22:04            48.816 S32EVNT1.DLL
14.09.2006  15:03           257.456 FNTCACHE.DAT
11.09.2006  19:37         8.960.936 MRT.exe
21.08.2006  14:26            16.896 fltlib.dll
21.08.2006  11:14            23.040 fltmc.exe
16.08.2006  10:18            43.668 xvid-uninstall.exe
14.08.2006  13:49               100 LuResult.txt
10.08.2006  13:49            59.268 perfc009.dat
10.08.2006  13:49           393.638 perfh009.dat
10.08.2006  13:49           406.630 perfh007.dat
10.08.2006  13:49            71.452 perfc007.dat
10.08.2006  13:49           903.454 PerfStringBackup.INI
07.08.2006  16:02           534.208 SymNeti.dll
07.08.2006  16:02           161.472 SymRedir.dll
02.08.2006  12:39            73.728 asuninst.exe
28.07.2006  13:28         3.075.072 mshtml.dll
27.07.2006  15:25           679.424 inetcomm.dll
25.07.2006  22:33           615.936 urlmon.dll
21.07.2006  10:29            72.704 hlink.dll
14.07.2006  17:38           332.288 netapi32.dll
14.07.2006  17:25           546.304 hhctrl.ocx
13.07.2006  15:34         8.494.592 shell32.dll
08.07.2006  10:43             2.652 SpoonUninstall-dBpowerAMP FLAC Codec.dat
08.07.2006  10:43           131.072 SpoonUninstall.exe
08.07.2006  10:42            33.846 SpoonUninstall-dBpowerAMP FLAC Codec.bmp
05.07.2006  12:55         1.057.792 kernel32.dll


2)

Code: Alles auswählen
Datentr„ger in Laufwerk C: ist 50_01i36
Volumeseriennummer: 0074-842E

Verzeichnis von C:\DOKUME~1\Grams\LOKALE~1\Temp

04.10.2006  17:47         2.048.000 Acr5B.tmp
29.09.2006  17:45            17.997 ICQ37.tmp
29.09.2006  17:45             5.921 ICQ36.tmp
30.07.2006  06:44        16.330.024 Install_Messenger.exe
01.01.1970  02:00             2.759 060102tsrygrq.ABI
               5 Datei(en)     18.404.701 Bytes
               0 Verzeichnis(se), 45.182.218.240 Bytes frei


3)

Code: Alles auswählen
Datentr„ger in Laufwerk C: ist 50_01i36
Volumeseriennummer: 0074-842E

Verzeichnis von C:\WINDOWS

04.10.2006  21:07           637.346 setupapi.log
04.10.2006  18:54                32 pavsig.txt
04.10.2006  17:53            54.156 QTFont.qfn
04.10.2006  16:24               202 NeroDigital.ini
04.10.2006  15:57               918 win.ini
04.10.2006  15:56                 0 0.log
04.10.2006  15:55             2.048 bootstat.dat
03.10.2006  20:42         1.362.478 WindowsUpdate.log
03.10.2006  20:42            32.530 SchedLgU.Txt
28.09.2006  22:46           197.729 iis6.log
28.09.2006  22:46           362.437 comsetup.log
28.09.2006  22:46           222.010 ntdtcsetup.log
28.09.2006  22:46           499.180 tsoc.log
28.09.2006  22:46             1.374 imsins.log
28.09.2006  22:46            42.989 ocmsn.log
28.09.2006  22:46            10.603 KB925486.log
28.09.2006  22:46           634.369 ocgen.log
28.09.2006  22:46            63.928 msgsocm.log
28.09.2006  22:46         1.281.121 FaxSetup.log
26.09.2006  22:14                50 wiaservc.log
26.09.2006  22:14               216 wiadebug.log
24.09.2006  17:38               754 WORDPAD.INI
17.09.2006  22:24            21.480 wmsetup.log
15.09.2006  17:51             1.374 imsins.BAK
15.09.2006  17:51            11.329 KB920685.log
15.09.2006  17:51            13.737 KB920872.log
15.09.2006  17:51            11.493 KB919007.log
15.09.2006  17:51             7.761 KB922582.log
15.09.2006  17:51            50.985 updspapi.log
08.09.2006  17:21             1.409 QTFont.for
19.08.2006  10:33            58.186 CDPlayer.ini
15.08.2006  12:06           215.074 setupact.log
14.08.2006  13:55             1.697 LUINSTALL.LOG
09.08.2006  16:46            33.227 spupdsvc.log
09.08.2006  16:18            21.916 KB920214.log
09.08.2006  16:18            21.912 KB922616.log
09.08.2006  16:18            22.421 KB921398.log
09.08.2006  16:17            21.816 KB920683.log
09.08.2006  16:17            20.345 KB920670.log
09.08.2006  16:17            20.506 KB917422.log
09.08.2006  16:17            23.738 KB918899.log
09.08.2006  16:17            14.060 KB921883.log
09.08.2006  16:16            13.875 KB904942.log
09.08.2006  16:12             7.665 WMCSetup.log
09.08.2006  16:11           316.640 WMSysPr9.prx
08.08.2006  10:21               132 wininit.ini
08.08.2006  09:57               248 system.ini
06.08.2006  15:26             4.816 mozver.dat
18.07.2006  14:34                 0 lgfwup.ini
17.07.2006  22:19               156 CTRec.INI
14.07.2006  14:23            11.834 KB917159.log
14.07.2006  14:23            12.344 KB914388.log
14.07.2006  14:23            10.319 KB916595.log


4)

Code: Alles auswählen
Datentr„ger in Laufwerk C: ist 50_01i36
Volumeseriennummer: 0074-842E

Verzeichnis von C:\WINDOWS\Temp

04.10.2006  15:56               373 WGANotify.settings
04.10.2006  15:55            16.384 Perflib_Perfdata_3ac.dat
04.10.2006  15:55                43 WGAErrLog.txt
03.10.2006  16:53            16.384 Perflib_Perfdata_368.dat
02.10.2006  15:24            16.384 Perflib_Perfdata_5e4.dat
01.10.2006  14:01            16.384 Perflib_Perfdata_3e4.dat
30.09.2006  16:10            16.384 Perflib_Perfdata_2c8.dat
29.09.2006  16:13            16.384 Perflib_Perfdata_44c.dat
28.09.2006  22:43            16.384 Perflib_Perfdata_4cc.dat
27.09.2006  16:42            16.384 Perflib_Perfdata_504.dat
26.09.2006  13:08            16.384 Perflib_Perfdata_3a0.dat
25.09.2006  17:23            16.384 Perflib_Perfdata_6fc.dat
25.09.2006  11:59                 0 T30DebugLogFile.txt
25.09.2006  11:59            16.384 Perflib_Perfdata_46c.dat
23.09.2006  12:40            16.384 Perflib_Perfdata_550.dat
              15 Datei(en)        197.024 Bytes
               0 Verzeichnis(se), 45.182.197.760 Bytes frei


5)

Code: Alles auswählen
Datentr„ger in Laufwerk C: ist 50_01i36
Volumeseriennummer: 0074-842E

Verzeichnis von C:\

04.10.2006  21:39                 0 sys.txt
04.10.2006  21:39               827 down.txt
04.10.2006  21:39             1.130 tmp.txt
04.10.2006  21:38            15.136 system.txt
04.10.2006  21:37               493 systemtemp.txt
04.10.2006  21:36           108.536 system32.txt
04.10.2006  15:55       536.399.872 hiberfil.sys
04.10.2006  15:55       805.306.368 pagefile.sys
14.09.2006  15:43             5.214 TDSLCheck.txt
Zuletzt geändert von Snafu am 08.10.2006, 18:53, insgesamt 1-mal geändert.
Snafu
 
Beiträge: 148
Registriert: 25.01.2005, 16:12
Wohnort: Leipzig
Nach oben

Beitragvon Snafu am 07.10.2006, 20:54

*Nikita ganz lieb anschaut :(
Snafu
 
Beiträge: 148
Registriert: 25.01.2005, 16:12
Wohnort: Leipzig
Nach oben

Beitragvon Snafu am 10.10.2006, 18:10

Kann es sich nicht wenigstens jemand ansehen? :cry:
Snafu
 
Beiträge: 148
Registriert: 25.01.2005, 16:12
Wohnort: Leipzig
Nach oben

Beitragvon Nikita am 11.10.2006, 09:38

ich kann nichts mehr finden, Panda scheint es rausgeloescht zu haben...uebrigens hast du den Pfad der Malware nicht mit angegeben, waere interessant gewesen
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon Snafu am 11.10.2006, 18:37

das hat Panda leider nicht mit angegeben, nur eben
Code: Alles auswählen
found virus/trj:trojan.downloader.elt


trotzdem danke :D
Snafu
 
Beiträge: 148
Registriert: 25.01.2005, 16:12
Wohnort: Leipzig
Nach oben
Antwort erstellen

Ähnliche Themen

Downloader Trojan - wie beseitigen ?
Forum: Online- und PC-Sicherheit
Autor: HerrStrubbel
Antworten:
HijackThis/datfindbat -> Thread erstellen
Forum: Papierkorb
Autor: Computerdirk
Antworten:
Downloader.Harnig Wintime.exe
Forum: Online- und PC-Sicherheit
Autor: Tankgirl
Antworten:
regedit.exe /s WXMCE_WPA_CRACK.reg\downloader.small.dh (?)
Forum: Online- und PC-Sicherheit
Autor: Ertel
Antworten:
Code Heuristic/Trojan.Downloader
Forum: Online- und PC-Sicherheit
Autor: Asmodina
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO