Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Backtera Virus

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 22.05.2006, 17:49   #1
Frederick
 
Backtera Virus - Standard

Backtera Virus



eben hat sich bei mir eine seite geöffnet, die mir folgendes sagt:

IP-Adresse: 88.73.247.110
Browser: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1; HbTools 4.7.7)
Betriebssystem: Windows XP
PC Information: Erreicht
PC-Ort: Germany, Eschborn

Achtung! Sicherheitscenter hat potenzielle Sicherheitsverwundbarkeit auf Ihrem PC ermittelt, die Ihre private Informationen und Dokumente zu einem Remotecomputer schicken kann. Einer der Prozesse (Win32res.exe) hat gerade diese Informationen gesendet:

hab auch gleich mal spybot durchlaufen lassen und 109! Probleme gefunden,hauptsächlich durch verfolgende cookies. ein problem - in hotbar -konnte nicht behoben werden, weil irgednwas in meine reg-datenbank sitzt.
also passiert is bis jetzt noch nichts. kaspersky findet keine fehler und adaware findet seine typischen 8 probleme, die er immer findet, egal auf welchem rechner ich es durchlaufen lasse.

hier mal mein HijackThis log...

Logfile of HijackThis v1.99.1
Scan saved at 18:41:59, on 22.5.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\totalcmd\TOTALCMD.EXE
c:\Christian\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht++p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

h++p://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet

Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} -

C:\Programme\SpyCatcher 2006\SCActiveBlock.dll (file missing)
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef

/Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless

Assistant.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter

Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -

startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame

Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

/logon
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus

Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Programme\SpyCatcher 2006\SpyCatcher.exe"

reminder
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\HbTools\Bin\4.7.7.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [iefhbscl] C:\WINDOWS\system32\guincesu.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "c:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

"C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"

AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0

\Reader\reader_sl.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-

Bibliothek\PCLib.exe
O8 - Extra context menu item: &Google-Suche -

res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen -

res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite -

res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1

\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten -

res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten -

res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1

\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation

Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -

http://cdn.messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1

\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. -

C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus

Personal\kavsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner -

C:\Programme\CyberLink\Shared files\RichVideo.exe

Alt 22.05.2006, 17:52   #2
Frederick
 
Backtera Virus - Standard

Backtera Virus



achja... angebliche virus heißt backtera virus.
und mein laptop ist seit ca. 3 tagen extrem langsam....
__________________


Alt 22.05.2006, 18:28   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backtera Virus - Standard

Backtera Virus



Zitat:
C:\WINDOWS\system32\guincesu.exe
C:\Programme\HbTools\Bin\4.7.7.0\HbtWeatherOnTray.exe
Lass diese Dateien mal bei Virustotal oder Jotti auswerten. Poste die Ergebnisse.
Kein Wunder, dass Dein Rechner Zicken macht. Bei dem was da alles im Autostart ist...
__________________
__________________

Alt 22.05.2006, 20:57   #4
Frederick
 
Backtera Virus - Standard

Backtera Virus



datei 1 virus total:
omplete scanning result of "guincesu.exe", received in VirusTotal at 05.22.2006, 21:49:16 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.22.2006 ADSPY/HotBar.BQ.1
Authentium 4.93.8 05.22.2006 no virus found
Avast 4.6.695.0 05.22.2006 no virus found
AVG 386 05.22.2006 Adware Generic.NJR
BitDefender 7.2 05.22.2006 no virus found
CAT-QuickHeal 8.00 05.21.2006 AdWare.HotBar.bq (Not a Virus)
ClamAV devel-20060426 05.22.2006 no virus found
DrWeb 4.33 05.22.2006 Adware.Hotbar
eTrust-InoculateIT 23.72.14 05.21.2006 no virus found
eTrust-Vet 12.4.2221 05.22.2006 no virus found
Ewido 3.5 05.22.2006 Adware.HotBar
Fortinet 2.77.0.0 05.22.2006 Adware/HotBar
F-Prot 3.16c 05.22.2006 no virus found
Ikarus 0.2.65.0 05.22.2006 AdWare.Win32.HotBar.bq
Kaspersky 4.0.2.24 05.22.2006 not-a-virus:AdWare.Win32.HotBar.bq
McAfee 4767 05.22.2006 potentially unwanted program Adware-HotBar
Microsoft 1.1440 05.22.2006 Hotbar (threat-c)
NOD32v2 1.1553 05.22.2006 probably a variant of Win32/Adware.HotBar
Norman 5.90.17 05.22.2006 W32/HotBar.DY
Panda 9.0.0.4 05.22.2006 no virus found
Sophos 4.05.0 05.22.2006 no virus found
Symantec 8.0 05.22.2006 no virus found
TheHacker 5.9.8.146 05.22.2006 Adware/HotBar.bq
UNA 1.83 05.22.2006 Adware.HotBar
VBA32 3.11.0 05.22.2006 AdWare.Win32.HotBar.bq



allerdings find ich die 2. datei nicht. in dem ordner,wo sie eigentlich sein müsste, stehen nur 4 .dll dateien.

ich weiß aber, was das ist. bei h++p://mysongbook.com war ein link zu einer datei, welche dir immer das wetter in der startleiste anzeigt und das hatte ich schon seit langem mal versuchsweiße installiert....

Alt 22.05.2006, 23:36   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backtera Virus - Standard

Backtera Virus



Ok, das scheint noch recht harmlose Adware wahrscheinlich zu sein. Die Datei guincesu.exe kannst Du löschen, evtl. musst Du das mit Killbox machen.
Imho kannst Du auch den Ordner C:\Programme\HbTools\ löschen.
Führe danach eScan mit aktuellen Signaturen aus und poste das mit der FIND.BAT erstellt Logfile "escan_neu.txt" (alles siehe Anleitung in meiner Signatur).

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.05.2006, 09:05   #6
Frederick
 
Backtera Virus - Standard

Backtera Virus



Zitat:
Zitat von cosinus
Ok, das scheint noch recht harmlose Adware wahrscheinlich zu sein. Die Datei guincesu.exe kannst Du löschen, evtl. musst Du das mit Killbox machen.
Imho kannst Du auch den Ordner C:\Programme\HbTools\ löschen.
Führe danach eScan mit aktuellen Signaturen aus und poste das mit der FIND.BAT erstellt Logfile "escan_neu.txt" (alles siehe Anleitung in meiner Signatur).
Ok. Hab die Datei guincesu.exe gelöscht und den hbtools Ordner manuell gelöscht. Escan hab ich durchlaufen lassen, danach S&D und danach find.bat ausgeführt. Hier der log...


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 23 01:21:32 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Tue May 23 01:21:32 2006 => System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: No Action Taken.
Tue May 23 01:21:32 2006 => System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: No Action Taken.
Tue May 23 01:21:32 2006 => System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: No Action Taken.
Tue May 23 01:33:19 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Tue May 23 01:33:19 2006 => System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: No Action Taken.
Tue May 23 01:33:20 2006 => System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: No Action Taken.
Tue May 23 01:33:20 2006 => System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: No Action Taken.
Tue May 23 01:21:34 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Tue May 23 01:21:34 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 23 01:21:34 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 23 01:21:34 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 23 01:21:35 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Tue May 23 01:21:35 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Tue May 23 01:21:36 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 23 01:33:21 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Tue May 23 01:33:21 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 23 01:33:22 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 23 01:33:22 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 23 01:33:24 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Tue May 23 01:33:25 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Tue May 23 01:33:25 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Tue May 23 01:21:49 2006 => File C:\!KillBox\guincesu.exe tagged as "not-a-virus:AdWare.Win32.HotBar.bq". Action Taken: No Action Taken.
Tue May 23 03:10:51 2006 => File C:\Frederick\Programme\Software\BitTorrent-4.4.1.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
Tue May 23 06:34:32 2006 => File C:\Programme\Everest Poker\cstart-tmp.exe tagged as "not-a-virus:AdWare.Win32.Casino.l". Action Taken: No Action Taken.
Tue May 23 06:34:34 2006 => File C:\Programme\Everest Poker\cstart.exe tagged as "not-a-virus:AdWare.Win32.Casino.t". Action Taken: No Action Taken.
Tue May 23 06:34:46 2006 => File C:\Programme\Everest Poker\Everest Poker.exe tagged as "not-a-virus:AdWare.Win32.Casino.t". Action Taken: No Action Taken.
Tue May 23 07:48:22 2006 => File C:\WINDOWS\system32\ddeml32.dll tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken.
Tue May 23 08:00:43 2006 => File C:\WINDOWS\system32\inyxauda.exe tagged as "not-a-virus:AdWare.Win32.HotBar.bq". Action Taken: No Action Taken.
Tue May 23 08:02:18 2006 => File C:\WINDOWS\system32\odbcp33r.dll tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Tue May 23 01:21:35 2006 => Offending Folder found: C:\WINDOWS\system32\1024
Tue May 23 01:21:35 2006 => Offending Folder found: C:\Programme\security toolbar
Tue May 23 01:21:36 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Frederick\Anwendungsdaten\hbtools
Tue May 23 01:33:24 2006 => Offending Folder found: C:\WINDOWS\system32\1024
Tue May 23 01:33:25 2006 => Offending Folder found: C:\Programme\security toolbar
Tue May 23 01:33:25 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Frederick\Anwendungsdaten\hbtools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Tue May 23 01:21:34 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\security toolbar !!!
Tue May 23 01:21:34 2006 => Offending Key found: HKCU\Software\hbtools !!!
Tue May 23 01:33:21 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\security toolbar !!!
Tue May 23 01:33:21 2006 => Offending Key found: HKCU\Software\hbtools !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue May 23 01:23:25 2006 => Total Errors: 13
Tue May 23 08:07:58 2006 => Total Errors: 149
Tue May 23 01:23:25 2006 => Time Elapsed: 00:02:37
Tue May 23 08:07:58 2006 => Time Elapsed: 06:23:37
Tue May 23 01:23:25 2006 => Total Objects Scanned: 13131
Tue May 23 08:07:58 2006 => Total Objects Scanned: 64091
Tue May 23 01:20:09 2006 => Virus Database Date: 5/17/2006
Tue May 23 01:23:25 2006 => Virus Database Date: 5/17/2006
Tue May 23 01:23:28 2006 => Virus Database Date: 5/17/2006
Tue May 23 01:26:37 2006 => Virus Database Date: 5/23/2006
Tue May 23 01:31:41 2006 => Virus Database Date: 5/17/2006
Tue May 23 08:07:58 2006 => Virus Database Date: 5/17/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--------------------------------------------------
C:\Frederick\Programme\HiJackThis\MWAV.log
--------------------------------------------------


Oh, und ich sehe gerade, das aus irgendeinem Grund mein Kaspersky außer Gefecht gesetzt ist. Grund:Keine Ahnung. Anzeichen dafür: Es lässt sich partut nicht mehr starten...

Geändert von Frederick (23.05.2006 um 09:17 Uhr)

Alt 23.05.2006, 09:11   #7
Sunny
Administrator
> Competence Manager
 

Backtera Virus - Standard

Backtera Virus



Guten Morgen,

abgesehen von der "harmlosen" Spyware, bereitet mir der hier Kopfzerbrechen:
troj/taladra-f BackDoor --> Sophos

Poste mal bitte noch die 4 Logs der Datfind.bat von den letzten 3 Monaten..

Gruß
Daniel
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 23.05.2006, 09:27   #8
Frederick
 
Backtera Virus - Standard

Backtera Virus



log 1

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34CB-DCF0

Verzeichnis von C:\WINDOWS\system32

18.05.2006 12:55 43.520 CmdLineExt03.dll
04.05.2006 06:26 5.818.784 MRT.exe
28.04.2006 13:26 1.167.928 inyxauda.exe
24.04.2006 13:11 176.167 rmoc3260.dll
24.04.2006 13:11 5.632 pndx5032.dll
24.04.2006 13:11 6.656 pndx5016.dll
24.04.2006 13:11 278.528 pncrt.dll
19.04.2006 22:09 778.240 divx_xx07.dll
19.04.2006 22:09 778.240 divx_xx0c.dll
19.04.2006 22:09 761.856 divx_xx11.dll
19.04.2006 22:09 619.156 DivX.dll
19.04.2006 18:53 341.832 FNTCACHE.DAT
19.04.2006 00:35 700.416 divxdec.ax
19.04.2006 00:34 421.888 pxdrv.dll
19.04.2006 00:34 108.544 pxcpyi64.exe
19.04.2006 00:34 172.032 PxMas.dll
19.04.2006 00:34 109.568 pxinsi64.exe
19.04.2006 00:34 372.736 Px.dll
19.04.2006 00:34 61.440 pxhpinst.exe
19.04.2006 00:34 56.320 pxinsa64.exe
19.04.2006 00:34 339.968 PxWave.dll
19.04.2006 00:31 1.044.480 libdivx.dll
19.04.2006 00:31 200.704 ssldivx.dll
19.04.2006 00:30 3.596.288 qt-dx331.dll
19.04.2006 00:30 53.248 dpuGUI10.dll
19.04.2006 00:30 90.112 dpl100.dll
19.04.2006 00:30 593.920 dpuGUI11.dll
19.04.2006 00:30 200.704 dtu100.dll
19.04.2006 00:30 344.064 dpus11.dll
19.04.2006 00:30 57.344 dpv11.dll
19.04.2006 00:30 294.912 dpu11.dll
19.04.2006 00:30 294.912 dpu10.dll
19.04.2006 00:30 245.408 unicows.dll
19.04.2006 00:30 4.276 divxsm.tlb
19.04.2006 00:30 536.576 DivXsm.exe
19.04.2006 00:30 10.716 dsm_ja.qm
19.04.2006 00:30 15.331 dsm_de.qm
19.04.2006 00:30 15.172 dsm_fr.qm
19.04.2006 00:30 352.401 DivXMedia.ax
10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe
07.04.2006 09:51 14.675 odbcp33r.dll
07.04.2006 09:49 34.625 ddeml32.dll
30.03.2006 23:50 311.938 perfh009.dat
30.03.2006 23:50 317.168 perfh007.dat
30.03.2006 23:50 40.326 perfc009.dat
30.03.2006 23:50 48.552 perfc007.dat
30.03.2006 23:50 723.744 PerfStringBackup.INI
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
22.03.2006 02:38 12.288 DivXWMPExtType.dll
22.03.2006 02:38 8.523 dpude.qm
22.03.2006 02:38 3.136 dtu_de.qm
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll

log 2

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34CB-DCF0

Verzeichnis von C:\DOKUME~1\Cebbe\LOKALE~1\Temp

23.05.2006 08:53 402 jusched.log
23.05.2006 08:41 6.551.518 MWAV.LOG
23.05.2006 08:41 3.123 mwXface.log
23.05.2006 01:24 474 EUpdate.ini
23.05.2006 01:24 91 IUpdate.ini
23.05.2006 01:24 0 success.sem
23.05.2006 01:24 2.206 Download.log
23.05.2006 01:24 14.560 update.txt
23.05.2006 01:24 371 riskware.avc
23.05.2006 01:24 646 remove.ini
23.05.2006 01:24 14.254 mail.avx
23.05.2006 01:24 214 ftpsites.txt
23.05.2006 01:24 49.714 ext005.avx
23.05.2006 01:24 47.688 ext004.avx
23.05.2006 01:24 47.844 ext003.avx
23.05.2006 01:24 48.001 ext002.avx
23.05.2006 01:23 1.552 daily-ex.avx
23.05.2006 01:23 2.861 filelist.lst
23.05.2006 01:20 241.664 MYDB.DLL
23.05.2006 01:01 16.384 ~DF285D.tmp
22.05.2006 13:32 281 wahtmltmp00.htm
21.05.2006 15:06 416 java_install_reg.log
20.05.2006 03:09 0 kwa7FF.tmp
20.05.2006 03:08 0 4cu7FC.tmp
20.05.2006 03:00 0 j357F6.tmp
20.05.2006 03:00 0 18m7F5.tmp
17.05.2006 10:58 14.276 avp.klb
17.05.2006 10:58 62.558 unp014.avc
17.05.2006 10:58 2.743 daily-ex.avc
17.05.2006 10:58 36.753 daily.avc
15.05.2006 16:32 74.089 virus010.avc
15.05.2006 16:32 30.637 unp033.avc
15.05.2006 16:32 113.241 krnexe32.avc
15.05.2006 16:32 47.690 unp027.avc
15.05.2006 16:32 29.709 krnengn.avc
15.05.2006 16:32 46.073 gen004.avc
15.05.2006 16:32 24.231 fa.avc
15.05.2006 16:32 35.715 ext006.avc
15.05.2006 16:32 8.675 base098.avc
15.05.2006 16:32 49.787 base097.avc
15.05.2006 16:32 49.940 base096.avc
15.05.2006 16:32 49.825 base087.avc
15.05.2006 16:32 49.919 base094.avc
15.05.2006 16:32 49.950 base095.avc
15.05.2006 16:32 49.817 base084.avc
15.05.2006 16:32 49.270 base076.avc
15.05.2006 16:32 50.043 base071.avc
15.05.2006 16:32 49.685 base055.avc
14.05.2006 23:28 352.256 esupdate.exe
14.05.2006 22:51 370.240 mexe.com
14.05.2006 22:51 370.240 mwavscan.com
14.05.2006 22:48 42.560 Getvlist.exe
11.05.2006 23:50 122.880 msvlclnt.dll
11.05.2006 22:50 50.419 unp032.avc
11.05.2006 20:29 78.454 virus011.avc
11.05.2006 20:29 14.068 ext999.avc
11.05.2006 20:29 49.624 base088.avc
11.05.2006 20:29 49.419 base086.avc
11.05.2006 13:41 616.113 Cid.sdb
11.05.2006 13:41 157.208 spydb.avs
11.05.2006 13:41 388.046 Dir.sdb
11.05.2006 13:41 1.724.360 File1.sdb
11.05.2006 13:41 132.588 Spyware.sdb
11.05.2006 13:41 157.208 spydb.old
11.05.2006 13:41 121.245 File2.sdb
10.05.2006 15:00 49.882 base068.avc
10.05.2006 15:00 50.019 base070.avc
10.05.2006 15:00 49.815 base061.avc
09.05.2006 13:33 42.401 language.ini
09.05.2006 13:33 42.401 English.Age
08.05.2006 15:10 56.355 virus019.avc
08.05.2006 15:10 50.354 unp022.avc
08.05.2006 15:10 80.078 unp019.avc
08.05.2006 15:10 50.846 unp001.avc
08.05.2006 15:10 49.674 base062.avc
08.05.2006 15:10 50.023 base054.avc
08.05.2006 15:10 49.837 base053.avc
08.05.2006 15:10 49.986 base052.avc
08.05.2006 15:10 49.548 base050.avc
08.05.2006 15:10 45.973 base049.avc
08.05.2006 15:10 50.938 base051.avc
08.05.2006 15:10 1.955 avp.set
03.05.2006 11:26 81.369 virus016.avc
03.05.2006 11:26 68.364 unp010.avc
03.05.2006 11:26 47.844 ext003.avc
03.05.2006 11:26 48.001 ext002.avc
03.05.2006 11:26 69.806 ca.avc
03.05.2006 11:26 48.743 base091.avc
03.05.2006 11:26 49.006 base093.avc
03.05.2006 11:26 49.919 base069.avc
29.04.2006 12:15 49.907 base089.avc
28.04.2006 13:53 74.136 virus007.avc
28.04.2006 13:53 48.966 base080.avc
28.04.2006 13:53 50.644 base081.avc
28.04.2006 13:53 49.409 base057.avc
28.04.2006 13:53 50.064 base056.avc
26.04.2006 12:45 13.832 German.con
26.04.2006 12:44 58.154 German.Age
25.04.2006 13:24 48.507 base090.avc
25.04.2006 06:05 409.600 viewtcp.exe
24.04.2006 15:10 36.532 virus020.avc
24.04.2006 15:10 79.267 virus017.avc
24.04.2006 15:10 46.590 unp025.avc
24.04.2006 15:10 33.283 unp024.avc
24.04.2006 15:10 57.728 unp005.avc
23.04.2006 14:07 32.782 krnexe.avc
22.04.2006 13:25 33.865 gen999.avc
21.04.2006 16:33 71.406 virus009.avc
21.04.2006 16:33 17.071 unp000.avc
21.04.2006 16:33 77.356 virus012.avc
21.04.2006 16:33 49.890 base010.avc
20.04.2006 19:59 49.565 base060.avc
20.04.2006 19:59 49.492 base059.avc
20.04.2006 19:59 49.756 base058.avc
15.04.2006 16:57 75.355 virus008.avc
15.04.2006 16:57 5.333 base999.avc
15.04.2006 16:57 49.993 base001.avc
12.04.2006 18:28 22.142 base011.avc
12.04.2006 18:28 49.847 base009.avc
12.04.2006 18:28 49.897 base008.avc
12.04.2006 18:28 49.731 base007.avc
12.04.2006 18:28 49.896 base006.avc
12.04.2006 18:27 492.032 Download.exe
10.04.2006 19:54 58.534 about.bmp
10.04.2006 19:54 58.534 bitmap1.bmp
10.04.2006 18:09 78.238 virus013.avc
10.04.2006 18:09 3.865 krn003.avc
10.04.2006 18:09 99.389 krnunp.avc
10.04.2006 18:09 43.766 gen002.avc
10.04.2006 18:09 32.342 gen001.avc
10.04.2006 18:09 49.177 base085.avc
10.04.2006 18:09 49.438 base004.avc
10.04.2006 18:09 49.974 base005.avc
10.04.2006 18:09 49.532 base002.avc
10.04.2006 18:09 49.286 base003.avc
06.04.2006 18:04 6.389 smart.avc
06.04.2006 18:04 38.647 krn002.avc
06.04.2006 14:15 60.982 unp015.avc
06.04.2006 14:15 54.519 unp003.avc
06.04.2006 14:15 49.887 base092.avc
01.04.2006 18:04 50.031 base075.avc
31.03.2006 17:03 29.097 unp021.avc
31.03.2006 17:03 55.442 unp011.avc
31.03.2006 17:03 27.828 unp004.avc
29.03.2006 18:47 340.992 MWAVReg.EXE
28.03.2006 12:57 47.688 ext004.avc
24.03.2006 18:48 49.705 French.Age
24.03.2006 17:02 99.881 troj009.avc
23.03.2006 16:28 69.617 krn001.avc
22.03.2006 17:53 69.262 unp016.avc
22.03.2006 17:53 49.905 base074.avc
21.03.2006 11:42 73.516 unp002.avc
21.03.2006 11:42 95.932 krnmacro.avc
20.03.2006 15:14 45.570 unp031.avc
20.03.2006 15:14 20.613 unp029.avc
20.03.2006 15:14 71.551 unp023.avc
20.03.2006 15:14 44.873 unp028.avc
20.03.2006 15:14 49.734 ext005.avc
17.03.2006 13:24 36.102 unp012.avc
17.03.2006 13:24 101.219 troj001.avc
17.03.2006 13:24 50.143 base073.avc
14.03.2006 10:41 49.907 base082.avc
14.03.2006 10:41 50.158 base079.avc
14.03.2006 10:41 50.471 base078.avc
10.03.2006 12:29 109.249 troj003.avc
09.03.2006 16:42 5.610 German.dow
07.03.2006 18:43 35.138 Chinese.Age
07.03.2006 16:23 49.083 ext001.avc
03.03.2006 15:55 5.854 French.dow
03.03.2006 15:55 11.566 French.con
02.03.2006 16:46 98.816 MWAVL.exe
02.03.2006 16:21 48.230 unp026.avc
02.03.2006 16:21 49.636 base067.avc
02.03.2006 16:21 50.059 base066.avc
02.03.2006 16:21 50.085 base065.avc
02.03.2006 16:21 49.832 base063.avc
02.03.2006 16:21 49.932 base064.avc

log 3

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34CB-DCF0

Verzeichnis von C:\WINDOWS

23.05.2006 10:23 1.649 wincmd.ini
23.05.2006 08:44 50 wiaservc.log
23.05.2006 08:44 159 wiadebug.log
23.05.2006 08:43 0 0.log
23.05.2006 08:43 1.645.905 WindowsUpdate.log
23.05.2006 08:43 2.048 bootstat.dat
23.05.2006 08:41 589.208 ntbtlog.txt
23.05.2006 01:31 26 Lic.xxx
23.05.2006 01:27 32.544 SchedLgU.Txt
23.05.2006 01:23 784 win.ini
22.05.2006 03:50 116 NeroDigital.ini
21.05.2006 15:05 0 SEARCH
15.05.2006 23:54 54.156 QTFont.qfn
15.05.2006 13:15 181.385 setupapi.log
12.05.2006 20:40 2.030 ModemLog_AC97 Data Fax SoftModem with SmartCP.txt
10.05.2006 12:34 82.800 ntdtcsetup.log
10.05.2006 12:34 58.483 iis6.log
10.05.2006 12:34 137.319 comsetup.log
10.05.2006 12:34 152.233 tsoc.log
10.05.2006 12:34 21.518 ocmsn.log
10.05.2006 12:34 1.374 imsins.log
10.05.2006 12:34 13.713 KB913580.log
10.05.2006 12:34 200.814 ocgen.log
10.05.2006 12:34 19.701 msgsocm.log
10.05.2006 12:34 376.247 FaxSetup.log
10.05.2006 12:34 20.559 updspapi.log
09.05.2006 20:46 62.633 wmsetup.log
09.05.2006 17:08 49.649 DirectX.log
08.05.2006 22:04 1.136 wcx_ftp.ini
08.05.2006 13:49 1.409 QTFont.for
01.05.2006 21:27 11 wanpatan.ini
27.04.2006 20:58 12.811 mozver.dat
26.04.2006 03:02 12.257 KB900485.log
24.04.2006 13:13 25 cdplayer.ini
19.04.2006 18:14 400 ODBC.INI
19.04.2006 18:11 63 vbaddin.ini
12.04.2006 18:19 1.830 spupdsvc.log
12.04.2006 11:53 17.826 KB908531.log
12.04.2006 11:53 16.993 KB911562.log
12.04.2006 11:52 19.901 KB912812.log
12.04.2006 11:51 11.148 KB911565.log
12.04.2006 11:50 12.094 KB911567.log
01.04.2006 23:27 65 gvcasinos.ini
09.03.2006 04:11 178.384 setupact.log
03.03.2006 23:14 50 IrisAPE.ini

log 4

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34CB-DCF0

Verzeichnis von C:\

23.05.2006 10:27 0 sys.txt
23.05.2006 10:26 9.156 system.txt
23.05.2006 10:26 14.268 systemtemp.txt
23.05.2006 10:25 103.805 system32.txt
23.05.2006 09:59 6.346 eScan_neu.txt
23.05.2006 08:43 938.004.480 hiberfil.sys
23.05.2006 08:43 1.409.286.144 pagefile.sys
23.05.2006 08:07 0 23990098.$$$
23.05.2006 08:07 6 AVPCallback.log
10.05.2006 16:20 74.941 debug.log
01.03.2006 23:10 64 winamplog.txt

Anmerkung: Kaspersky geht wieder.

Alt 27.05.2006, 16:29   #9
ebibaby
 
Backtera Virus - Standard

Backtera Virus



Habe auch den Backtera Virus. eure Lösung ist leider im Gespräch abgebrochen. Vielleicht kann mir auch jmd helfen.

[edit]
wie birne bereits geantwortet hat, eröffne für dein problem bitte einen eigenen beitrag
bevor hier keiner mehr weiß wer hier wem hilft

GUA
[/edit]

Alt 27.05.2006, 16:45   #10
Birne
Gast
 
Backtera Virus - Standard

Backtera Virus



ebibay lies doch den Thread nochmals durch oder mache selber einen thread

Alt 11.06.2006, 12:57   #11
Th3Punisher
 
Backtera Virus - Standard

Backtera Virus



und was genau passiert denn da bei euch und woher wollt ihr wissen dass der virus drauf ist ich habe die meldung eben gerade auch bekommen und da stand das der am 1.juni aktiviert wurde usw. und ganz fett stand da dass man sich so ein sicherheitprogramm dafür runterladen sollte...also ich denk mal dass es nur werbung ist so wie es früher mal auch bei spyware stormer war

Antwort

Themen zu Backtera Virus
adobe, adobe reader, bho, canon, cyberlink, downloader, excel, explorer, fehler, firefox, helper, hijack, hijackthis, hotkey, icq, icqtoolbar, internet, internet explorer, kaspersky, launch, microsoft, mozilla firefox, pdf, photoshop, pop-up-blocker, programme, prozesse, remotecomputer, software, urlsearchhook, virus, windows, windows xp, yahoo





Zum Thema Backtera Virus - eben hat sich bei mir eine seite geöffnet, die mir folgendes sagt: IP-Adresse: 88.73.247.110 Browser: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1; HbTools 4.7.7) Betriebssystem: Windows XP PC - Backtera Virus...
Archiv
Du betrachtest: Backtera Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.