Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte Dringend Hilfe (https://www.trojaner-board.de/12756-bitte-dringend-hilfe.html)

Karottensuppe 26.01.2005 12:55
Ok danke. ja und dann lass ich den escan laufen und dann? Ist das ding weg oder was soll ich dann machen?

Lutz 26.01.2005 16:17
eScan in neueren Versionen findet nur noch Viren, Würmer, ... löscht diese aber nicht mehr.

Poste bitte, was gefunden wurde.
Öffne dazu die mwav.log im Verzeichnis c:\bases und gebe über das Menü Bearbeiten -> Suchen -> infected oder tagged ein -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Karottensuppe 26.01.2005 19:06
Zitat:
Zitat von Lutz
eScan in neueren Versionen findet nur noch Viren, Würmer, ... löscht diese aber nicht mehr.

Poste bitte, was gefunden wurde.
Öffne dazu die mwav.log im Verzeichnis c:\bases und gebe über das Menü Bearbeiten -> Suchen -> infected oder tagged ein -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Also,ich finde nur eine Datei mwav und wenn ich die Öfnne öffnet sich der escan.und ein Verzeichnis c:/bases finde ich überhaupt nicht.
Was soll ich machen, das ding macht mich wahnsinnig.
Das einzige was ich probiert habe ist den escan geöffnet dann auf View gedrückt da öffnet sich ein Fenster mit dem Namen vlist-Editor, da habe ich probiert bei Suchen tagged oder infected einzugeben aber er findet nichts.
was kann ich weiter tun?

Chris14 26.01.2005 19:26
...
du musst den ordner bases auf c: auch erstellen^^
in c: gehen, rechtsklick, neuer ordner erstellen, namen bases eingeben.

Karottensuppe 26.01.2005 19:36
ok habe ich und nun?

Chris14 26.01.2005 19:42
du solltest nun dieser Anleitung vorgehen
wenn du den escan fertig hast (der muss fertig durchlaufen), das:
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

Karottensuppe 26.01.2005 19:45
ok mache ich, danke erstmal.schaust du dann noch mal vorbei?
Ich mach das aber erst heute nacht, beim letzten scan hat das 2,5 stunden gedauert.
muss ich noch was beachten, ich habe was gelesen von systemaktualisierung (oder so ähnlich) zurücksetzen?

Karottensuppe 26.01.2005 19:47
was muss ich drücken wenn der escan fertig durchgelaufen ist.und erstellt er die mvw.log selbst?

Karottensuppe 26.01.2005 21:40
Ich hoffe das ist jetzt richtig wie ich es gemacht habe?


.Wed Jan 26 19:08:18 2005 => Total Disinfected Files: 0
Wed Jan 26 20:42:42 2005 => File C:\WINDOWS\apiak.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:42:55 2005 => File C:\WINDOWS\System32\yaqylq.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:42:56 2005 => File C:\WINDOWS\apiak.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:42:57 2005 => File C:\WINDOWS\system32\tibs3.exe infected by "Trojan-Downloader.Win32.Tibser.c" Virus. Action Taken: No Action Taken
Wed Jan 26 20:43:21 2005 => File C:\WINDOWS\system32\syspo.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:22 2005 => File C:\WINDOWS\alchem.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:22 2005 => File C:\WINDOWS\apiox32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:25 2005 => File C:\WINDOWS\htasys.dll infected by "TrojanDownloader.Win32.Subt" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:30 2005 => File C:\WINDOWS\msbb.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:31 2005 => File C:\WINDOWS\msbbhook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:31 2005 => File C:\WINDOWS\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:33 2005 => File C:\WINDOWS\polall1t.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:33 2005 => File C:\WINDOWS\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:37 2005 => File C:\WINDOWS\rut.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:37 2005 => File C:\WINDOWS\satmat.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:40 2005 => File C:\WINDOWS\twaintec.dll infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:46 2005 => File C:\WINDOWS\wsem300.dll infected by "TrojanDownloader.Win32.Dyfuca.cv" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:43:47 2005 => File C:\WINDOWS\ZServ.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:46:01 2005 => File C:\WINDOWS\system32\ozzkhnq.dll infected by "I-Worm.Tanatos.b.dam2" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:46:27 2005 => File C:\WINDOWS\system32\SetHp.exe infected by "Trojan.Win32.StartPage.rk" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:46:54 2005 => File C:\WINDOWS\system32\vfvie.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:46:58 2005 => File C:\WINDOWS\system32\WebInstall.dll infected by "TrojanDownloader.Win32.Tinytest" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:17 2005 => File C:\WINDOWS\system32\xzxaf.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:43 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\49.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:43 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\4A.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:48 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:47:48 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\alchem.exe infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:49:42 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\ICD6.tmp\ysbactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gk" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:49:44 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\iinstall.exe infected by "TrojanDownloader.Win32.IstBar.fi" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:49:58 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:49:58 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:05 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\optimize.exe infected by "TrojanDownloader.Win32.Dyfuca.cq" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:07 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\powerscan.exe infected by "not-a-virus:AdWare.PowerScan.b" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:07 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:08 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\randreco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:11 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\sa43.tmp.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:11 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\sa44.tmp.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:11 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\sa6.tmp.exe infected by "TrojanDownloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:12 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\satmat.cab infected by "Trojan-Downloader.Win32.Stubby.d" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:12 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\satmat.exe infected by "Trojan-Downloader.Win32.Stubby.d" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:51:15 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\sidefind.exe infected by "TrojanDownloader.Win32.IstBar.eo" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:18 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F14.tmp\polall1t.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F14.tmp\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F14.tmp\twaintec.cab infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F14.tmp\twaintec.dll infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F7B.tmp\mxTarget.cab infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:19 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F7B.tmp\mxTarget.dll infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:20 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI1F7B.tmp\preInsMt.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:20 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI23A9.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:20 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI23A9.tmp\ZServ.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI5377.tmp\polall1t.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI5377.tmp\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI5377.tmp\twaintec.cab infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI5377.tmp\twaintec.dll infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI582F.tmp\polall1t.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:21 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI582F.tmp\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:22 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI582F.tmp\twaintec.cab infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 20:55:22 2005 => File C:\DOKUME~1\INGOBE~1\LOKALE~1\Temp\THI582F.tmp\twaintec.dll infected by "not-a-virus:AdWare.BiSpy.m" Virus. Action Taken: No Action Taken.
Wed Jan 26 21:08:13 2005 => Total Disinfected Files: 0

woelkchen 25.02.2005 22:43
Hallöchen! Schade, dass hier nicht weiter geantwortet wurde, das hätte mich mal interessiert. Ich hab nämlich ein ähnliches, wenn auch scheinbar nicht ganz so großes (hoffentlich) Problem:

Ich habe vorhin escan, ad-aware, spybot und hijack runtergeladen und alle mal im abgesicherten Modus laufen lassen.
Zuerst allerdings Escan und anschliessend die anderen.

Was bei EScan herauskam ist folgendes:

Die "not-a-virus" Einträge sind mir, sofern sie wirklich nicht schaden im Grunde egal und ich glaube das einige auch spybot schon erledigt hat, aber ich werde gleich nochmal im abgesicherten modus escan laufen lassen.
Wichtig ist mir zu wissen wie ich den TrojanDownloader weg bekommen!!!!!

Wenn mir aber auch bezüglicher der "not-a-virus" Viecher geholfen werden kann, vielen Danke :)


File C:\WINDOWS\System32\winb2s32.dll infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\dsktrf.dll infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.b" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\zfhrxnr.exe infected by "Trojan-Downloader.Win32.Agent.jc" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\winagent.exe infected by "Backdoor.Win32.Webdor.p" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\reg6523.exe infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\MELLI~1.WOE\LOKALE~1\Temp\sa1.tmp.exe infected by "Trojan-Downloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\MELLI~1.WOE\LOKALE~1\Temp\sa2.tmp.exe infected by "Trojan-Downloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\MELLI~1.WOE\LOKALE~1\TEMPOR~1\Content.IE5\CT6JCTEN\dsktrf[1].dll infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.b"
Virus. Action Taken: No Action Taken.

File C:\Downloads\AGSetup0609.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Downloads\edonkey59.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.

File C:\Downloads\eDonkey0.45.exe infected by "not-a-virus:AdWare.ToolBar.Ucmore.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\All Users\Melli\Lokale Einstellungen\Temp\BDECache\bde159.tmp infected by "not-a-virus:AdWare.Brilliandigital.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\All Users\Melli\Lokale Einstellungen\Temp\BDECache\bde174.tmp infected by "not-a-Virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\All Users\Melli\Lokale Einstellungen\Temp\BDECache\bde149.tmp infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\All Users\Melli\Lokale Einstellungen\Temp\BDECache\bde151.tmp infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Melli.WOELKCHEN\Lokale Einstellungen\Temp\sa1.tmp.exe infected by "Trojan-Downloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Melli.WOELKCHEN\Lokale Einstellungen\Temp\sa2.tmp.exe infected by "Trojan-Downloader.Win32.Small.uf" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{35D70639-225E-4AE7-A8BB-A182D4ABCC3E}\RP125\A0037272.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{35D70639-225E-4AE7-A8BB-A182D4ABCC3E}\RP133\A0056373.exe infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken.


Achjaaa ich bin ja gewollt die infected Dateien einfach zu löschen, aber ich fürchte, erstens das bringts nicht und zweitens das schadet mehr als alles andere, liege ich da richtig?

Ach und wenn nötig poste ich morgen früh noch die Hijack-Ergebnisse.
Danke schon mal für die erhoffte Hilfe (:

woelkchen

dartus 26.02.2005 00:08
Hallo woelkchen,

Zitat:
Zitat von woelkchen
File C:\WINDOWS\winagent.exe infected by "Backdoor.Win32.Webdor.p" Virus. Action Taken: No Action Taken.
woelkchen
Leider wird Dir hier bei einem derartigen Befall zu Format C: geraten, um wieder ein sicheres und vertrauenswürdiges System zu haben.

Hier eine erstklassige Anelitung:

http://www.trojaner-board.de/showthread.php?t=12154

Thema datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

woelkchen 26.02.2005 10:57
Was passiert, wenn ich die Datei einfach lösche???? -_-

Und was kann ich machen, wenn ich NICHT C foramtiere??? Auch wenns dann nicht 100%ig sicher ist, irgendwas muss ja wohl zu machen sein. Bei www.sophos.de zum Beispiel steht es gibt Schutz (nagut Schutz und Behebung ist vielleicht was anderes)...

Und was kann ich gegen die anderen Einträge machen (TrojanDownloader ZB)???

dartus 26.02.2005 14:16
Hallo woelkchen,

lies bitte:

http://de.wikipedia.org/wiki/Backdoor

http://oschad.de/wiki/index.php/Kompromittierung

Format c: ist deshalb unumgänglich, da nicht ersichtlich ist, was bereits
am System noch "angepasst" wurde.

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:53 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131