| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: brauche info über verbreitung von trojano-3172Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.01.2006, 19:19
| #1 |
| |  brauche info über verbreitung von trojano-3172 Hallo zusammen, mich hat es auch erwischt, ich habe mir mindestens 2 Schädlinge eingefangen, die als "adloader-g" und "trojano-3172" identifiziert wurden. Leider hat mein Virenscanner (Norton Antivirus) zu spät angeschlagen, so dass sich die Schädlinge verbreiten und den Virenscanner blockieren konnten. Dieser meldete immer wieder ein sauberes System, was von Avast 4 deutlich wiederlegt wurde. Avast fand unter anderem folgende Dateien: (x) steht für Nummerierung paytime.exe ibm00(x) tool(x).exe winstall.exe Avast konnte diese alle (beim booten) entfernen, allerdings meldete sich Avast kurze Zeit später mit der Meldung, das zu viele Mails verschickt werden sollten. Ich befand mich also trotz Säuberung in der Hand eines Spammers. Avast fand auch nix mehr, so dass ich letztendlich den Rechner neu installiert habe. Deshalb kann ich hier auch kein log-File mitgeben. In unserem Netzwerk treten nun aber einige komische Effekte auf, die man mit den Schädlingen in Verbindung bringen könnte. Weiß jemand von euch, ob einer der Schädlinge eine Verbreitungsroutine mitbringt, die über die Standardprotokolle von Windows (also nicht über P2P-, Chatprotokolle o.ä.) geht? Mir geht es darum herauszufinden, ob sich die Schädlinge vielleicht unerkannt weiterverbreitet haben. Im Netz habe ich leider so gut wie keine brauchbaren Informationen zur Schadhaftigkeit und über Verbreitungswege der Schädlinge gefunden. Hängt möglicherweise auch mit der nicht einheitlichen Namensgebung der Schädlinge zusammen. Vielleicht kann mir auch jemand erklären, warum mein Rechner trotz angeblich sauberem System zum Spammen missbraucht werden konnte. Vielen Dank schonmal im Voraus, Gruß Marcus |
|
10.01.2006, 19:24
| #2 |
  | brauche info über verbreitung von trojano-3172 hallo,
__________________poste doch bitte einmal ein Hjt logfile nach der anleitung in meiner signatur.
__________________ |
|
10.01.2006, 19:29
| #3 |
 | brauche info über verbreitung von trojano-3172 Hallo,
__________________schau mal unter dem Namen Spysheriff, da wirst du wahrscheinlich bei deiner Recherche eher fündig. Es könnte sein das sich Spysheriff unter anderem auch durch die Sicherheitslücke verbreitet, die mit dem Dezemberpatch von Microsoft gestopft wurde, siehe hier. Aber Spysheriff installiert sich auch durch verseuchte Cracks. Grüße Wildone |
|
10.01.2006, 20:14
| #4 |
| | brauche info über verbreitung von trojano-3172 Hallo Wildone, das sieht schonmal ganz gut aus. Bis auf die Datei Spysheriff.exe selbst hatte ich alles drauf, und so ziemlich alles, was dazu auf wintotal.de zu finden ist passt auch. Vielen Dank dafür. Ich such mal weiter. Bis später, Gruß Marcus |
|
12.01.2006, 14:57
| #5 |
| | brauche info über verbreitung von trojano-3172 Hier mein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:52:21, on 12.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Symantec AntiVirus\SavRoam.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\...\Desktop\hjt\HijackThis.exe O1 - Hosts: a O1 - Hosts: xxx.xxx.180.9 spree ... O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB9A4B0-E619-452C-8FD9-8C4B4FC2420B}: Domain = ... O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB9A4B0-E619-452C-8FD9-8C4B4FC2420B}: NameServer = 192.168.x.x,192.168.x.x O17 - HKLM\System\CS1\Services\Tcpip\..\{3CB9A4B0-E619-452C-8FD9-8C4B4FC2420B}: Domain = ... O17 - HKLM\System\CS1\Services\Tcpip\..\{3CB9A4B0-E619-452C-8FD9-8C4B4FC2420B}: NameServer = 192.168.x.x,192.168.x.x O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe O23 - Service: WAEQO - Sysinternals - ... .sysinternals.com - C:\DOKUME~1\...\LOKALE~1\Temp\WAEQO.exe Gruß Marcus |
|
| Themen zu brauche info über verbreitung von trojano-3172 |
| antivirus, avast, booten, dateien, entfernen, erkannt, folge, gen, hallo zusammen, hängt, ide, immer wieder, log-file, mails, meldung, netzwerk, neu, norton, rechner, scan, schädlinge, system, unerkannt, verbindung, virenscanner, warum, windows |
Linear-Darstellung
