Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
WINXP:Server.bat Trojaner

WINXP:Server.bat Trojaner


Plagegeister aller Art und deren Bekämpfung: WINXP:Server.bat Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.01.2008, 19:53   #1
PatZil
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner


Guten Abend.

Habe seit gestern ein Problem mit einer Datei, bzw. Anwendung.
Zuerst ist meine Firewall angegangen, da "C:\WINXP:Server.bat" auf das Internet zugreifen wollte, habe dies aber dank der Firewall verhindern können.

Und jetzt kam beim Start von XP auch die Meldung von AntiVir, das ein Trojaner gefunden wurde.

HiJack This spuckt die Datei auch aus:

O4 - HKCU\..\Run: [SharK] C:\WINXP:Server.bat

Antivir sagt:

Ist das Trojanische Pferd TR/Agent.304128.1

Wie kann ich diese Datei löschen? AntiVir schafft es nicht und mit Fix Checked unter HiJack funktioniert es auch nicht.

Bitte um Hilfe!

PatZil

Alt 20.01.2008, 20:06   #2
Clermont-Ferrand
Gast
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner


Poste zusätzlich ein HijackThis-Logfile. Editiere bitte aber vorher persönliche Angaben und Links. (Beides steht in meiner Signatur)

BTW, AntiVir ist bekannt für 'ne gute Erkennung, allerdings manchmal zu gut, wenn Du Glück hast, ist es ein FP.

Lade die betreffende Datei auch bei VirusTotal hoch und poste das komplette Ergebnis. (Link ist ebenfalls in meiner Sig)
__________________
Alt 20.01.2008, 20:21   #3
PatZil
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner


Okay, hier die

HiJack This Log-File:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:23, on 20.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {***} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {***} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [System Files Updater] C:\WINXP\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [SharK] C:\WINXP:Server.bat
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {***} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {***} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {***} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {***} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {***} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {***} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 5793 bytes
und das Virus Total Ergebnis.

Zitat:
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2008.1.19.10;2008.01.18;-
AntiVir;7.6.0.48;2008.01.20;-
Authentium;4.93.8;2008.01.20;-
Avast;4.7.1098.0;2008.01.20;-
AVG;7.5.0.516;2008.01.20;-
BitDefender;7.2;2008.01.20;-
CAT-QuickHeal;9.00;2008.01.19;-
ClamAV;0.91.2;2008.01.20;-
DrWeb;4.44.0.09170;2008.01.20;-
eSafe;7.0.15.0;2008.01.16;-
eTrust-Vet;31.3.5470;2008.01.18;-
Ewido;4.0;2008.01.20;-
FileAdvisor;1;2008.01.20;-
Fortinet;3.14.0.0;2008.01.20;-
F-Prot;4.4.2.54;2008.01.19;-
F-Secure;6.70.13260.0;2008.01.20;-
Ikarus;T3.1.1.20;2008.01.20;-
Kaspersky;7.0.0.125;2008.01.20;-
McAfee;5211;2008.01.18;-
Microsoft;1.3109;2008.01.20;-
NOD32v2;2808;2008.01.20;-
Norman;5.80.02;2008.01.20;-
Panda;9.0.0.4;2008.01.20;-
Prevx1;V2;2008.01.20;-
Rising;20.27.62.00;2008.01.20;-
Sophos;4.24.0;2008.01.20;-
Sunbelt;2.2.907.0;2008.01.17;-
Symantec;10;2008.01.20;-
TheHacker;6.2.9.191;2008.01.19;-
VBA32;3.12.2.5;2008.01.19;-
VirusBuster;4.3.26:9;2008.01.20;-
Webwasher-Gateway;6.6.2;2008.01.20;-

weitere Informationen
File size: 5530 bytes
MD5: b1e50f129e5905ab3da30c6faae5dcc8
SHA1: a6dc0428439834bb627a1fba2d6681a39941cf1a
PEiD: -
Die Datei kann ich ja auch nicht finden und per AntiVir lässt sie sich nicht löschen, denke also schon das es eine bösartige Datei ist.

PatZil
__________________
Alt 20.01.2008, 21:24   #4
KarlKarl
/// Helfer-Team
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner


Hi,

die Datei ist ein ADS, der an dein Windowsverzeichnis gehängt wurde, der ':' ist das entscheidende Zeichen, das zu erkennen.

Ansonsten ist es vermutlich eine normale Batchdatei, was von der aus auf deinem System passiert, kann man nur durch ihren Inhalt begutachten. Dazu Notepad starten, Datei -> öffnen -> Dateityp auf "alle" stellen -> "C:\WINXP:Server.bat" in das Feld für den Dateinamen kopieren -> öffnen. Das sollte den Inhalt sichtbar (und kopierbar) machen.

Gruß, Karl

Alt 20.01.2008, 21:32   #5
Jaipur
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner


Hallo PatZil,

eine kurze Frage:

Hand aufs Herz, ist das ein legales Windows, das Du da nutzt?

Gruß

Jaipur


Alt 21.01.2008, 16:00   #6
PatZil
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner


Hi,

habe die Datei entfernen können.
Und ja, es handelt sich um ein original Windows XP.

Gruß PatZil

Alt 21.01.2008, 18:27   #7
KarlKarl
/// Helfer-Team
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner


Nicht mehr zu erfahren, was drin stand? Könnten Befehle gewesen sein, die schwere Löcher in das System reißen.

Alt 21.01.2008, 22:50   #8
PatZil
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner


Die Datei ist noch bei AntiVit unter Quarantäne, herstellen also möglich.

Ist ziemlich verschlüsselt, das einzige was heraussticht ist die Seite w*w.shark-project.info

Alt 31.01.2008, 14:51   #9
sufffer
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner


wie hast du von der seite erfahren? also wenn es ein shark BdT ist dann würde ich sofort dein system neu aufsetzen und passwörter dannach erneuern!

Antwort

Themen zu WINXP:Server.bat Trojaner
antivir, datei, firewall, fix, funktioniert, gen, gestern, guten, interne, internet, löschen, löschen?, meldung, pferd, problem, shark, start, this, troja, trojane, trojaner, trojaner gefunden, trojanische, trojanische pferd, verhindern, winxp, zugreifen


« Trojaner ADW ADCLICKER.BJ was soll ich tun?? | Antivir meldet TR/Agent.16384.I »


Ähnliche Themen: WINXP:Server.bat Trojaner


  1. WinXP SP3 Malware - Virenscanner usw. lassen sich nicht installieren! Dualbootsystem WinXP/Win7
    Log-Analyse und Auswertung - 13.12.2013 (15)
  2. GVU Trojaner auf WinXP Sp3
    Log-Analyse und Auswertung - 03.08.2013 (9)
  3. WinXP GVU Trojaner 2.12 eingefangen
    Log-Analyse und Auswertung - 20.05.2013 (6)
  4. WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 14.04.2013 (15)
  5. GVU-Trojaner bei WinXP
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (21)
  6. GVU Trojaner WinXP Professional SOS
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (1)
  7. BKA-Trojaner 1.13 auf winxp
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (19)
  8. BKA Trojaner 1.13 auf WinXP
    Log-Analyse und Auswertung - 15.10.2012 (2)
  9. WinXP BKA-Trojaner v1.13
    Log-Analyse und Auswertung - 21.09.2012 (16)
  10. WinXP GVU Trojaner 2.07 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 15.09.2012 (14)
  11. GVU Trojaner WinXP
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (15)
  12. GVU-Trojaner mit Wasserwebcam WinXP SP3
    Log-Analyse und Auswertung - 18.07.2012 (7)
  13. WinXP GVU Trojaner 2.07
    Log-Analyse und Auswertung - 17.07.2012 (9)
  14. GVU Trojaner WinXP SP3 - weg?
    Log-Analyse und Auswertung - 07.06.2012 (5)
  15. GVU Trojaner unter winxp
    Log-Analyse und Auswertung - 26.05.2012 (45)
  16. REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe
    Log-Analyse und Auswertung - 15.08.2009 (19)
  17. Ftp server (Filezilla / Quick n´easy FTP server lite)
    Alles rund um Windows - 10.01.2009 (7)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema WINXP:Server.bat Trojaner - Guten Abend. Habe seit gestern ein Problem mit einer Datei, bzw. Anwendung. Zuerst ist meine Firewall angegangen, da "C:\WINXP:Server.bat" auf das Internet zugreifen wollte, habe dies aber dank der Firewall - WINXP:Server.bat Trojaner...
Archiv
Du betrachtest: WINXP:Server.bat Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131