Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BDS.Padodor.v2 - wer weiß was davon?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.09.2004, 10:38   #1
Rensen
 
BDS.Padodor.v2 - wer weiß was davon? - Unglücklich

BDS.Padodor.v2 - wer weiß was davon?



...Antivir meldet bei den letzten Scan "BDS.Padodor.V2" gefunden.

Die betroffene Datien sind angeblich repariert. Aus interesse habe ich eine suche ins Netz nach der o.g. Parador gestartet und bekomme keine genaue Info dazu. Das beste was ich gefunden habe:
http://www.lurhq.com/berbew.html

Dazu habe ich die typischen Symtome des Padodors noch vorhanden: Eine falsche Popup Fenster fordert Benutzername und Passwort bei bestimmte Internet seiten (z.B.Anmeldung bei Provider)



...da ist was foul...

Alt 29.09.2004, 10:48   #2
MountainKing
 
BDS.Padodor.v2 - wer weiß was davon? - Standard

BDS.Padodor.v2 - wer weiß was davon?



Bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.


Andere Variante:

http://www.sophos.de/virusinfo/analy...jpadodorl.html
__________________


Alt 29.09.2004, 11:50   #3
Rensen
 
BDS.Padodor.v2 - wer weiß was davon? - Standard

BDS.Padodor.v2 - wer weiß was davon?



einmal logfiles für mountainking...

...hab neugestartet und die bedenkliche Meldungen sind verschwunden. Bin aber froh über weitere Infos

G.

Logfile of HijackThis v1.98.2
Scan saved at 12:46:23, on 29.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\Bbabc835.exe
C:\WINDOWS\System32\msservice.exe
C:\WINDOWS\System32\msjarun.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\1XConfig.exe
__________________

Alt 29.09.2004, 11:53   #4
Rensen
 
BDS.Padodor.v2 - wer weiß was davon? - Standard

BDS.Padodor.v2 - wer weiß was davon?



...sorry - da fehlte was am Logfile...

(zu viel Kaffee getrunken)

Logfile of HijackThis v1.98.2
Scan saved at 12:46:23, on 29.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\Bbabc835.exe
C:\WINDOWS\System32\msservice.exe
C:\WINDOWS\System32\msjarun.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dennisborries.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R3 - URLSearchHook: (no name) - {965A592F-8EFA-4250-8630-7960230792F1} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10A93751-C315-2FC7-D353-6C5579A12F11} - C:\WINDOWS\System32\tby.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [me69N] C:\WINDOWS\Bbabc835.exe
O4 - HKLM\..\Run: [pmr] C:\Programme\Common Files\Presentia\pmr.exe
O4 - HKLM\..\Run: [fash] C:\WINDOWS\fash.exe
O4 - HKLM\..\Run: [Microsoft Service] msservice.exe
O4 - HKLM\..\Run: [Microsoft JavaVM] msjarun.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Microsoft Service] msservice.exe
O4 - HKLM\..\RunServices: [Microsoft JavaVM] msjarun.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Microsoft JavaVM] msjarun.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [Microsoft Service] msservice.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...6f4329c216c9b6

Alt 29.09.2004, 12:11   #5
Cidre
Administrator, a.D.
 
BDS.Padodor.v2 - wer weiß was davon? - Standard

BDS.Padodor.v2 - wer weiß was davon?



Überprüfe diese Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\Bbabc835.exe
C:\WINDOWS\System32\msservice.exe
C:\WINDOWS\System32\msjarun.exe
svchosting.exe

__________________
Gruß, Cidre


Alt 29.09.2004, 12:54   #6
Rensen
 
BDS.Padodor.v2 - wer weiß was davon? - Standard

BDS.Padodor.v2 - wer weiß was davon?



Cool, die Seite kannte ich noch nicht. Ich frage mich nur warum msjarun.exe unterschiedliche Ergebnisse erzeugt. Was meinst du?

Die Ergebnisse:

C:\WINDOWS\Bbabc835.exe
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen

C:\WINDOWS\System32\msservice.exe
Kaspersky Anti-Virus
Trojan.Win32.Agent.b

C:\WINDOWS\System32\msjarun.exe
BitDefender
Backdoor.SDBot.Gen
Dr.Web
Win32.HLLW.MyBot.based
Kaspersky Anti-Virus
Backdoor.Win32.Agobot.va
mks_vir
Trojan.Agobot.Va
NOD32
probably unknown NewHeur_PE (probable variant)
Norman Virus Control
Sandbox: W32/Backdoor; [ General information ]

* File might be compressed.
* **Locates window "NULL [class mIRC]" on desktop.
* File length: 116193 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\msjarun.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Microsoft JavaVM"="msjarun.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Microsoft JavaVM"="msjarun.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Microsoft JavaVM"="msjarun.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Connects to "jump.afz.biz" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses password l0cked.
* IRC: Uses nickname X, 5278530.
* IRC: Uses username ezkieyaca.
* IRC: Joins channel ##x-fun## with password locked.
* IRC: Sets the usermode for user X, 5278530 to +B.
* IRC: Sets the channel mode for channel ##x-fun## to +s.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex [X01].
* Will automatically restart after boot (I'll be back...).

Antwort

Themen zu BDS.Padodor.v2 - wer weiß was davon?
angeblich, benutzer, benutzername, beste, bestimmte, falsche, fenster, fordert, gefunde, gestartet, interesse, interne, internet, melde, meldet, meldung, passwort, popup, provider, scan, seite, seiten, suche, typische, vorhanden




Ähnliche Themen: BDS.Padodor.v2 - wer weiß was davon?


  1. Gmx versendet Mails mit meinem Account an meine Adressliste und ich weiß nichts davon
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (13)
  2. Meine Website verteilt Trojaner - und ich weiß nichts davon?
    Plagegeister aller Art und deren Bekämpfung - 28.12.2011 (0)
  3. Ad Aware - was haltet ihr davon ?
    Überwachung, Datenschutz und Spam - 29.09.2010 (1)
  4. Was haltet ihr davon???
    Log-Analyse und Auswertung - 26.08.2010 (3)
  5. bds/padodor.ax
    Plagegeister aller Art und deren Bekämpfung - 07.11.2007 (0)
  6. Logfile nach BDS/Padodor.v2 Fund
    Log-Analyse und Auswertung - 14.09.2007 (1)
  7. was davon muss ich löschen
    Log-Analyse und Auswertung - 04.08.2005 (3)
  8. was haltet ihr davon ??
    Log-Analyse und Auswertung - 08.04.2005 (1)
  9. HiJackThis Log- was haltet ihr davon?
    Log-Analyse und Auswertung - 12.03.2005 (25)
  10. hijacked by Worm/Padodor.Am.2
    Log-Analyse und Auswertung - 31.01.2005 (1)
  11. was ich davon fixen od.löschen?
    Log-Analyse und Auswertung - 26.01.2005 (2)
  12. Padodor.AG.2 / MBCJLI32.EXE (Hilfe~Thread Fortsetzung)
    Plagegeister aller Art und deren Bekämpfung - 07.01.2005 (7)
  13. Was kann ich davon löschen?
    Log-Analyse und Auswertung - 04.12.2004 (7)
  14. log - hab keine ahnung davon...
    Log-Analyse und Auswertung - 01.10.2004 (5)
  15. Was haltet ihr davon ?
    Antiviren-, Firewall- und andere Schutzprogramme - 12.05.2004 (4)
  16. was ist davon zu halten ???
    Plagegeister aller Art und deren Bekämpfung - 14.02.2004 (2)

Zum Thema BDS.Padodor.v2 - wer weiß was davon? - ...Antivir meldet bei den letzten Scan "BDS.Padodor.V2" gefunden. Die betroffene Datien sind angeblich repariert. Aus interesse habe ich eine suche ins Netz nach der o.g. Parador gestartet und bekomme keine - BDS.Padodor.v2 - wer weiß was davon?...

Alle Zeitangaben in WEZ +1. Es ist jetzt 12:49 Uhr.


Copyright ©2000-2025, Trojaner-Board
Archiv
Du betrachtest: BDS.Padodor.v2 - wer weiß was davon? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.