ANTIVIR findet TR/Autoit.Z! Bitte mal Hijack-Log anschaun!!!

6Antworten
  1. #1
    Avatar von badhotrod
    badhotrod ist offline
    Themen Starter

    Title
    Benutzer
    seit
    24.11.2006
    Beiträge
    6

    Standard ANTIVIR findet TR/Autoit.Z! Bitte mal Hijack-Log anschaun!!!

    Habe seit einiger Zeit Probleme mit verschiedenen Trojanischen Pferden, habe jahrelang AntiVir (kostenlose Version) genutzt und nie ein Problem gehabt. Zusätzlich checke ich regelmäßig mit AdAware & Spybot S&D (allerdings nicht im abgesicherten Modus).

    Plötzlich gingen alle exe.Files nicht mehr zu starten & Verknüpfungen auf Desktop funktionierten auch nicht mehr (dafür wurden sie mit Endung .*lnk angezeigt). Hatte die exe-Files manuell wieder definiert über Ordneroptionen/Dateitypen um Testprogramme starten zu können. Spybot S&D fand dann auch Sachen wie 'Fake.Wget' oder 'CoolWebSearch' etc. (komisch dass AdAware selbige Fehler nicht fand??!!??). Hab ich entfernt, jedoch (nach weiteren Problemen: wiederentdeckt) letztendlich mit DellRestore den Rechner in den Auslieferzustand zurückversetzt & dieses Problem schien behoben.

    Nun hab ich zusätzlich Kaspersky Internet Security installiert, welches mir sofort die Fehlermeldung brachte 'Backdoor.Win32.Agent.jm' (komisch wiederum, dass AntiVir, dem ich bisher total vertraute, nix fand!!!). Jedenfalls hab ich dieses Teil entfernen lassen. Jetzt hab ich beide Virenprogramme laufen, da ich keinem mehr richtig vertraue (sie beharken sich aber auch nicht). Kaspersky IS findet seitdem nix mehr, doch eben kam folgende Warnung von AntiVir:

    "C:\Windows\System32\Installer.exe" ist das Trojanische Pferd TR/Autoit.Z

    ICH BIN JETZT LANGSAM AM VERZWEIFELN HIER, NIMMT DENN DAS KEIN ENDE MEHR?????

    Ist diese Datei wichtig, oder kann ich sie durch AntiVir löschen lassen??? (hab sie vorerst in Quarantäne) Finde nix zu diesem Trojaner im Internet, was ist das für einer??? Beim Check mit Kaspersky stand bei dieser Datei nur, dass sie nicht gecheckt wurde, da Zugriff verweigert (evtl. durch AntiVir Zugriff verweigert???).

    Vertraue mittlerweile weder Kaspersky, noch AntiVir, geschweige denn AdAware & Spybot S+D...dabei dachte ich, dass ich schon viel tue, um einigermaßen sicher zu surfen.
    Übrigens habe ich aufgrund der Gefahr von Backdoor-Problemen mal den Online-Sicherheitscheck von Symantec gemacht mit dem Ergebnis, dass angeblich alles sicher und versteckt ist. Weiß nur nicht mehr, was ich nun glauben soll...

    Was soll ich jetzt machen???
    Hier mal mein hijackthis-log-file:

    Ich hoffe, jemand mit viel Ahnung kann mir ganz schnell helfen, sonst nehm ich bald den Hammer & dann ist Ruhe....(würd ich natürlich nie tun in Wirklichkeit )


    Logfile of HijackThis v1.99.1
    Scan saved at 19:15:29, on 24.11.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\stsystra.exe
    C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
    C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
    C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\STUFFI~1\MXTask.exe
    C:\PROGRA~1\STUFFI~1\mxtask.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.lavasoft.de/help/aw/evhelp/0.htm
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
    O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
    O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
    O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB002" /M "Stylus CX3600"
    O4 - HKCU\..\Run: [Ad-Watch System Protector] C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe
    O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
    O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://update.microsoft.com/windowsupda ... 3850177823
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B32A917E-FD1E-4875-A4AE-A8868E49F13E}: NameServer = 194.97.173.124 194.97.173.125
    O20 - AppInit_DLLs: acaptuser32.dll,,C:\PROGRA~1\KASPER~1\KASPER~1.0\a dialhk.dll
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
    O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
    O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
    O23 - Service: StuffIt Task Manager - Allume Systems, Inc. - C:\PROGRA~1\STUFFI~1\MXTask.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



    Bitte Bitte Bitte um schnelle Hilfe!!!!!!

  2. #2
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Goslar
    Beiträge
    12.171

    Standard

    Hallöchen,

    also im Logfile konnte ich nicht böses entdecken. Lediglich folgenden Eintrag solltest du mal kontrollieren ob die darin enthaltenen IP-Adressen dir bekannt vorkommen:

    Code:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B32A917E-FD1E-4875-A4AE-A8868E49F13E}: NameServer = 194.97.173.124 194.97.173.125
    Was diese Datei installer.exe betrifft, so kansnt du sie doch mal zur Überprüfung an den Support von Kaspersky oder AntiVir schicken.

  3. #3
    Avatar von badhotrod
    badhotrod ist offline
    Themen Starter

    Title
    Benutzer
    seit
    24.11.2006
    Beiträge
    6

    Standard

    Hallo Dirk, Danke für Deine schnelle Antwort!

    Also diese IP-Adresse kommt mir (allerdings wie jede andere aber auch) nicht bekannt vor. Wüsste auch nicht jetzt, was das für'n Dienst sein soll!

    Hab jetzt Kaspersky, AntiVir, AdAware & Spybot im abgesicherten Modus alles checken lassen und es gab keine Funde mehr (die besagte installer.exe ist in AntiVir-Quaratäne). Sicher fühl ich mich durch die ganzen Recherchen der letzten Tage jedoch immer noch nicht. Weil ich so nachvollziehbare Dinge gelesen hab wie: 'wenn ein System kompromittiert wurde, ist das ganze System nicht mehr vertrauenswürdig, da ALLES (sogar Virenscanner etc.) von außen manipuliert wurden sein kann & das durch unbemerkte angelegte Backdoors weiter manipuliert wird...'

    Hab deshalb mal 'nen externen (Online-) Security-Test von Symantec checken lassen, ob was offen ist bei mir. Der Test ergab, das alles sicher ist und alle Ports dicht und versteckt sind.

    Nur kannst Du mir sagen, wie zuverlässig solche Tests sind??? Kann nicht auch der manipulierte PC (evtl. also meiner) dem Security-Test was vorgaukeln, was garnicht stimmt??? Gibts evtl. doch irgendwelche heimlich angelegten Backdoors, von denen ich nix weiß und wie finde ich das denn raus?????

    Du merkst schon, bin derzeit ziemlich unsicher, was das alles angeht, vielleicht kannst Du mich bissl beruhigen und aufklären?

  4. #4
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Goslar
    Beiträge
    12.171

    Standard

    Hallöchen,

    natürlich gibt es keine 100%ige Sicherheit aber du hast deinen PC ja jetzt von mehreren verschiedenen Anbietern testen lassen und es scheint alles in Ordnung zu sein. Du kannst ja, wie bereits vorgeschlagen, die Datei mal an die Jungs von Antivir zur Überprüfung schicken. Möglicherweise ist das ja auch nur ein Fehlalarm...

  5. #5
    Avatar von Johann Schmidt
    Johann Schmidt ist offline

    Title
    Benutzer
    seit
    17.08.2005
    Beiträge
    1.060

    Standard

    Um alle Zweifel bei Dir zu beseitigen: Hast Du mal darüber nachgedacht Dein gesamtes System neu aufzusetzen?
    Dann hättest Du mehrere Fliegen mit einer Klappe geschlagen:
    - ein sauberes System
    - ein schlankes System, da der ganze Müll von der Festplatte(n) ist
    -ein schnelleres System

    Ist zwar ordentlich Arbeit, dennoch lohnt sich aber der Versuch. Und wenn Du ohnehin eine Recovery - CD hast, sollte das Ganze, auch für einen Üngeübten, nicht so schwer sein.

    Auch würde ich Dir empfehlen, ein richtig effektives Security Paket zu installieren, das kostet eben was, hast dann aber eine Firewall, einen Spamfilter, ein Anti Spy Programm, ein Antivirenprogramm, das ständig die Virensignaturen scannt. ( bei mir alle 5 Minuten )

    Außerdem hast Du obendrein bei den professionellen Anbietern z.T. einen sehr guten Support, der ja nicht zu unterschätzen ist. Ein Paket ( Suite ) erspart dann auch unnötig viele Zusatzprogramme, wie Spybot o.ä. da deren Funktionen allesamt im Paket ( Suite ) mit enthalten und sehr gut aufeinander abgestimmt sind.

  6. #6
    Avatar von badhotrod
    badhotrod ist offline
    Themen Starter

    Title
    Benutzer
    seit
    24.11.2006
    Beiträge
    6

    Standard

    Hallo Johann,

    hab eben keine Recovery-CD dabei, das ist das Problem! Bei Dell-PC's kommt alles ohne CD's (OS & Treiber). Bei Problemen soll man die Funktion DellRestore nutzen, um den PC in den Auslieferzustand zu versetzen. Das hab ich gemacht. Dell sagt, ALLES was danach passiert ist (Programme-Installation, Datei-Erstellung etc.), ist komplett entfernt. Nur hab ich Zweifel, dass das dem 'Plattmachen' gleich kommt (hab auch keinerlei Hinweise für eine Formatierung feststellen können, geht wahrscheinlich auch garnicht, da DellRestore ja auf LW C: zugreifen muß...)
    Jetzt muß ich mich halt erstmal an Dell wenden und auf Original-CD's bestehen, mal seh'n was die sagen.

    Übrigens scheine ich vorerst die probleme los zu sein, kommen keinerlei Fehlermeldungen mehr & diverse Online-Security-Tests zeigen allesamt, dass alles dicht und super ist in jederlei Hinsicht.
    Nur Kaspersky Internet Security (hab also eine gute Komplettlösung, hoffe ich mal) zeigt hin & wieder an, dass Angriffe von außen abgewehrt werden. Und zwar immer durch 'Intrusion.Win.MSSQL.worm.Helkern' (UDP auf lokalem Port 1434)... Zum Glück wird's abgewehrt.......

    Eine Frage hätte ich noch zum Formatieren:
    in welchem Format soll ich Festplatten formatieren??? Hab WinXP SP2...

  7. #7
    Avatar von Sir McGrady
    Sir McGrady ist offline

    Title
    Benutzer
    seit
    30.08.2006
    Ort
    Radolfzell am Bodensee
    Beiträge
    493

    Standard

    Zitat Zitat von badhotrod
    .
    Nur Kaspersky Internet Security (hab also eine gute Komplettlösung, hoffe ich mal) zeigt hin & wieder an...
    ich benutze auch kaspersky internet security und bin auch sehr zufrieden damit, da es wirklich eine super komplettlösung ist...

Ähnliche Themen

  1. hijack logfile - bitte hilfe

    Von torte92 im Forum Antivirus und PC Sicherheit
    Antworten: 7
    Letzter Beitrag: 19.06.2011, 15:44
  2. Wurmgefahr, bitte Logfile anschaun

    Von maxl im Forum Antivirus und PC Sicherheit
    Antworten: 1
    Letzter Beitrag: 01.09.2010, 22:29
  3. Meine PC Zusammenstellung, bitte ma anschaun

    Von Da Dog im Forum Kaufberatung
    Antworten: 14
    Letzter Beitrag: 20.07.2008, 17:11
  4. Hijack Protokoll bitte prüfen

    Von McRhein im Forum Antivirus und PC Sicherheit
    Antworten: 9
    Letzter Beitrag: 15.06.2007, 17:19
  5. hijack logfile bitte mal angucken

    Von sebass im Forum Antivirus und PC Sicherheit
    Antworten: 8
    Letzter Beitrag: 16.08.2006, 09:13
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz