Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Hilfe bei Problem (https://www.trojaner-board.de/11112-bitte-um-hilfe-problem.html)

Kuschl0r 22.12.2004 17:22

Bitte um Hilfe bei Problem
 
Also ich habe seit ungefaehr einer Woche Probleme mit meinem Laptop
Es tauchen immer wieder komische Prozesse wie zum Beispiel
iexpl0res.exe
msa.exe
msc32.exe
tftp
ftp
cmd
usw.
auf. Ich werde sie auch groesstenteils wieder los nur tauchen immer wieder solche Dateien auf. Einmal sind auch elitebar und 1stbar aufgetaucht.
Ich benutze die Programme ZoneAlarm Ad-Aware und AntiVir (wobei AntiVir bis jetzt noch nicht eine einzige Datei entdeckt hat) Wenn ich mit Ad-Aware Scanne findet es immer 3-4 Sachen (Darunter Alexa und Elitebar)
Allerdings habe ich schon 2 mal gesucht und auf einmal wurden 300-400 kritische Objekte angezeigt.
Danke im Voraus.

Edit: Ich habe vergessen zu schreiben das auch ein paarmal Popup Fenster dawaren mit den Seiten searchmiracle.com und irgendetwas wie TSG Clan
ausserdem hatte ich Registry Einträge von Counterstrike Source obwohl ich das Spiel nichtmal auf dem Laptop laufen habe (war als Prozess CSS.exe drin)



Hijackthis-Log :

Logfile of HijackThis v1.99.0
Scan saved at 16:50:05, on 22.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Kuschl0r\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\RunServices: [] iexpl0res.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF7A0A98-8162-493C-A27F-E647B3E3BB2E}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Cidre 22.12.2004 17:29

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Kuschl0r 22.12.2004 18:31

Ok hier sind die Ergebnisse:


Wed Dec 22 17:52:15 2004 => File C:\WINDOWS\System32\windupdates.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Wed Dec 22 18:13:09 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZHIYDUB8\nublet[1].exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Wed Dec 22 18:21:20 2004 => File C:\WINDOWS\system32\windupdates.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Cidre 22.12.2004 18:58

Hast du wirklich im abgesicherten Modus gescannt?
Lösche die von eScan beanstandeten Dateien manuell.

Kuschl0r 22.12.2004 19:00

Japp abgesicherter Modus seit ich da gescannt hab kommt alle 2 Minuten die folgende Meldung von Antivirus :


C:\PROGRAMME\OPERA\PROFILE\CACHE4\OPR0020B.HTML

Contains signature of the HTML script virus HTML/Exploit.Mhtml

hab natuerlich loeschen lassen, aber kommt immer wieder

Cidre 22.12.2004 19:10

Leere das Cache von Opera. http://www.java.com/de/download/help/webcache.jsp

Kuschl0r 22.12.2004 19:27

So ich habe jetzt alles geloescht und finde auch mit Ad - Aware usw. nichts mehr. Allerdings ist in Hijackthis noch ein komischer Eintrag :

O17 - HKLM\System\CCS\Services\Tcpip\..\{EF7A0A98-8162-493C-A27F-E647B3E3BB2E}: NameServer = 217.237.151.225 217.237.150.225

Edit: achja danke schonmal Cidre du hast mir wirklich sehr geholfen :)

Cidre 22.12.2004 19:36

Das sind DNS Server der Telekom. Hier kannst du es selbst nachprüfen: http://www.iks-jena.de/cgi-bin/whois


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131