![]() |
|
Plagegeister aller Art und deren Bekämpfung: BDS.Padodor.v2 - wer weiß was davon?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() BDS.Padodor.v2 - wer weiß was davon?![]() Die betroffene Datien sind angeblich repariert. Aus interesse habe ich eine suche ins Netz nach der o.g. Parador gestartet und bekomme keine genaue Info dazu. Das beste was ich gefunden habe: http://www.lurhq.com/berbew.html Dazu habe ich die typischen Symtome des Padodors noch vorhanden: Eine falsche Popup Fenster fordert Benutzername und Passwort bei bestimmte Internet seiten (z.B.Anmeldung bei Provider) ...da ist was foul... |
![]() | #2 |
![]() ![]() ![]() | ![]() BDS.Padodor.v2 - wer weiß was davon? Bitte ein Log mit diesem Programm erstellen:
__________________http://www.trojaner-board.de/51130-a...ijackthis.html Inhalt hier ins Forum posten. Andere Variante: http://www.sophos.de/virusinfo/analy...jpadodorl.html |
![]() | #3 |
| ![]() BDS.Padodor.v2 - wer weiß was davon? einmal logfiles für mountainking...
__________________...hab neugestartet und die bedenkliche Meldungen sind verschwunden. Bin aber froh über weitere Infos G. Logfile of HijackThis v1.98.2 Scan saved at 12:46:23, on 29.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\System32\TFNF5.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\TOSHIBA\TouchED\TouchED.Exe C:\WINDOWS\System32\TPSMain.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\Bbabc835.exe C:\WINDOWS\System32\msservice.exe C:\WINDOWS\System32\msjarun.exe C:\Programme\Winamp\winampa.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\phonostar\ps_agent.exe C:\WINDOWS\System32\TPSBattM.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\1XConfig.exe |
![]() | #4 |
| ![]() BDS.Padodor.v2 - wer weiß was davon? ...sorry - da fehlte was am Logfile... (zu viel Kaffee getrunken) Logfile of HijackThis v1.98.2 Scan saved at 12:46:23, on 29.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\System32\TFNF5.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\TOSHIBA\TouchED\TouchED.Exe C:\WINDOWS\System32\TPSMain.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\Bbabc835.exe C:\WINDOWS\System32\msservice.exe C:\WINDOWS\System32\msjarun.exe C:\Programme\Winamp\winampa.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\phonostar\ps_agent.exe C:\WINDOWS\System32\TPSBattM.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dennisborries.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R3 - URLSearchHook: (no name) - {965A592F-8EFA-4250-8630-7960230792F1} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {10A93751-C315-2FC7-D353-6C5579A12F11} - C:\WINDOWS\System32\tby.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\Run: [me69N] C:\WINDOWS\Bbabc835.exe O4 - HKLM\..\Run: [pmr] C:\Programme\Common Files\Presentia\pmr.exe O4 - HKLM\..\Run: [fash] C:\WINDOWS\fash.exe O4 - HKLM\..\Run: [Microsoft Service] msservice.exe O4 - HKLM\..\Run: [Microsoft JavaVM] msjarun.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\RunServices: [Microsoft Service] msservice.exe O4 - HKLM\..\RunServices: [Microsoft JavaVM] msjarun.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe O4 - HKCU\..\Run: [Microsoft JavaVM] msjarun.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [Microsoft Service] msservice.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...6f4329c216c9b6 |
![]() | #5 |
Administrator, a.D. ![]() ![]() ![]() ![]() | ![]() BDS.Padodor.v2 - wer weiß was davon? Überprüfe diese Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\Bbabc835.exe C:\WINDOWS\System32\msservice.exe C:\WINDOWS\System32\msjarun.exe svchosting.exe |
![]() | #6 |
| ![]() BDS.Padodor.v2 - wer weiß was davon? Cool, die Seite kannte ich noch nicht. Ich frage mich nur warum msjarun.exe unterschiedliche Ergebnisse erzeugt. Was meinst du? Die Ergebnisse: C:\WINDOWS\Bbabc835.exe Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen C:\WINDOWS\System32\msservice.exe Kaspersky Anti-Virus Trojan.Win32.Agent.b C:\WINDOWS\System32\msjarun.exe BitDefender Backdoor.SDBot.Gen Dr.Web Win32.HLLW.MyBot.based Kaspersky Anti-Virus Backdoor.Win32.Agobot.va mks_vir Trojan.Agobot.Va NOD32 probably unknown NewHeur_PE (probable variant) Norman Virus Control Sandbox: W32/Backdoor; [ General information ] * File might be compressed. * **Locates window "NULL [class mIRC]" on desktop. * File length: 116193 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\msjarun.exe. * Deletes file 1. [ Changes to registry ] * Creates value "Microsoft JavaVM"="msjarun.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". * Creates value "Microsoft JavaVM"="msjarun.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". * Creates value "Microsoft JavaVM"="msjarun.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". [ Network services ] * Looks for an Internet connection. * Connects to "jump.afz.biz" on port 6667 (TCP). * Connects to IRC server. * IRC: Uses password l0cked. * IRC: Uses nickname X, 5278530. * IRC: Uses username ezkieyaca. * IRC: Joins channel ##x-fun## with password locked. * IRC: Sets the usermode for user X, 5278530 to +B. * IRC: Sets the channel mode for channel ##x-fun## to +s. [ Security issues ] * Possible backdoor functionality [Authenticate] port 113. [ Process/window information ] * Creates a mutex [X01]. * Will automatically restart after boot (I'll be back...). |
![]() |
Themen zu BDS.Padodor.v2 - wer weiß was davon? |
angeblich, benutzer, benutzername, beste, bestimmte, falsche, fenster, fordert, gefunde, gestartet, interesse, interne, internet, melde, meldet, meldung, passwort, popup, provider, scan, seite, seiten, suche, typische, vorhanden |